本報記者 李冰
日前����,中國互聯(lián)網(wǎng)金融協(xié)會公布《移動金融客戶端應(yīng)用軟件典型違規(guī)案例》���,經(jīng)梳理���,這已是中國互聯(lián)網(wǎng)金融協(xié)會年內(nèi)第三次公布相關(guān)違規(guī)案例。
受訪者普遍認(rèn)為����,移動金融App違規(guī)收集個人信息背后原因是機構(gòu)在收集大量的用戶信息以進行分析和挖掘時����,在隱私保護方面存在欠缺�,未遵循用戶知情同意、目的限制原則和最小必要原則����,導(dǎo)致違規(guī)問題頻發(fā)���。
違規(guī)收集個人信息
根據(jù)中國互聯(lián)網(wǎng)金融協(xié)會公布內(nèi)容來看�,某移動金融App使用的第三方SDK收集用戶“設(shè)備MAC地址����、AndroidID����、OAID”等個人信息���,但未在App隱私政策中向用戶告知上述第三方SDK(軟件開發(fā)工具)收集個人信息情況����。
其問題根源是�,該移動金融App在使用第三方SDK前未進行SDK個人信息保護能力評估,對其使用的第三方SDK收集個人信息范圍未全面掌握�,造成所使用的第三方SDK私自收集個人信息���。
事實上���,此前監(jiān)管部門對上述問題曾有過明確規(guī)定�。《工業(yè)和信息化部關(guān)于進一步提升移動互聯(lián)網(wǎng)應(yīng)用服務(wù)能力的通知》中要求App開發(fā)者加強軟件開發(fā)工具(SDK)使用管理:使用SDK前對其進行個人信息保護能力評估�,通過合同等形式明確約定各方權(quán)利和義務(wù)�,確保個人信息處理依法合規(guī);集中展示并及時更新嵌入的SDK名稱����、功能及其處理個人信息的規(guī)則����。
同時����,《工業(yè)和信息化部關(guān)于開展縱深推進App侵害用戶權(quán)益專項整治行動的通知》中明確整治任務(wù)包括違規(guī)收集個人信息�。重點整治App、SDK未告知用戶收集個人信息的目的、方式、范圍且未經(jīng)用戶同意���,私自收集用戶個人信息的行為����。
“協(xié)會發(fā)布相關(guān)案例在業(yè)內(nèi)具有警示作用,機構(gòu)應(yīng)全面了解第三方SDK收集個人信息范圍����,并在App自身隱私政策中完整向用戶告知;同時�,機構(gòu)也應(yīng)全面評估使用的第三方SDK是否存在風(fēng)險,選擇使用合規(guī)SDK���。”中國(上海)自貿(mào)區(qū)研究院金融研究室主任劉斌對《證券日報》記者說����。
年內(nèi)已公布三期典型違規(guī)案例
經(jīng)梳理,年內(nèi)中國互聯(lián)網(wǎng)金融協(xié)會已發(fā)布三期移動金融客戶端應(yīng)用軟件典型違規(guī)案例���。中國互聯(lián)網(wǎng)金融協(xié)會在1月22日發(fā)布《移動金融客戶端應(yīng)用軟件典型違規(guī)案例》第一期���,某金融App申請連接使用藍牙key功能���,用戶在同意“存儲”權(quán)限申請告知后拒絕權(quán)限申請�。App重新運行時���,仍向用戶彈窗申請該權(quán)限���,且該權(quán)限與當(dāng)前服務(wù)場景無關(guān);3月5日發(fā)布《移動金融客戶端應(yīng)用軟件典型違規(guī)案例》第二期����,通報某移動金融App向其他個人信息處理者提供其處理的個人信息時����,未向個人告知接收方的名稱或者姓名����、聯(lián)系方式、處理目的、處理方式和個人信息的種類,未取得個人的單獨同意�。
劉斌分析認(rèn)為,從通報違規(guī)案例特點來看,一是對用戶告知環(huán)節(jié)容易被忽視����,導(dǎo)致在涉及第三方的信息共享環(huán)節(jié)中����,未能主動向用戶披露相關(guān)信息并獲取明確授權(quán)����。二是對“單獨同意”機制理解執(zhí)行不足���。此外���,內(nèi)部管理機制的不完善也可能導(dǎo)致在信息共享環(huán)節(jié)缺乏必要的審核流程���,使得信息在未經(jīng)用戶充分授權(quán)的情況下被提供給第三方����。
在北京市社會科學(xué)院副研究員王鵬看來����,金融機構(gòu)應(yīng)在以下幾方面守護個人信息安全底線。第一���,加強內(nèi)部管理和培訓(xùn)�。組織員工深入學(xué)習(xí)個人信息保護法律法規(guī)和監(jiān)管要求����,提高合規(guī)意識和法律意識�。第二����,提升技術(shù)手段和防護能力���,加強對個人信息存儲和傳輸環(huán)節(jié)的安全保護;第三����,機構(gòu)仍需關(guān)注用戶隱私邊界�,建立數(shù)據(jù)泄露監(jiān)測和響應(yīng)機制���,及時發(fā)現(xiàn)并應(yīng)對數(shù)據(jù)泄露事件�;第四,建立健全內(nèi)部審核機制,對涉及第三方的信息共享行為進行嚴(yán)格管控,確保符合法律法規(guī)要求。
中國銀行研究院研究員葉銀丹對《證券日報》記者表示����,機構(gòu)應(yīng)重點關(guān)注用戶知情同意���、目的限制原則和最小必要原則���,完善數(shù)據(jù)安全規(guī)范管理�。同時,金融機構(gòu)及其合作伙伴需從數(shù)據(jù)采集����、存儲�、加工����、傳輸、披露等環(huán)節(jié)規(guī)范用戶個人信息管理。同時可以建立全流程合規(guī)機制并細(xì)化權(quán)限管理,區(qū)分必要授權(quán)與非必要授權(quán),對于重點和敏感信息應(yīng)給予用戶單獨同意的權(quán)利。此外���,要強化第三方合作管控,確保用戶對銀行與第三方的個人信息合作共享事項知情同意����,與外部合作方簽訂數(shù)據(jù)安全協(xié)議�,明確責(zé)任邊界���。同時���,通過彈窗、視頻等形式做好用戶教育和特別提醒,避免“長篇條款”導(dǎo)致的用戶忽視和反復(fù)詢問帶來的體驗感下降����。
(編輯 孫倩)
京公網(wǎng)安備 11010602201377號京ICP備19002521號