國家計(jì)算機(jī)病毒應(yīng)急處理中心近期通過互聯(lián)網(wǎng)監(jiān)測(cè)發(fā)現(xiàn)14款移動(dòng)App存在隱私不合規(guī)行為，天津農(nóng)商銀行和捷信金融兩個(gè)金融App被通報(bào)。記者梳理發(fā)現(xiàn)，去年以來，交通銀行太平洋信用卡中心、天津農(nóng)商行、東莞農(nóng)商行、山西銀行、晉商銀行、山西證券、江海證券等多家金融機(jī)構(gòu)旗下App被通報(bào)隱私不合規(guī)，違規(guī)收集個(gè)人信息、過度索取權(quán)限等問題屢屢出現(xiàn)，個(gè)人信息保護(hù)窘境待解。

　　去年以來多家金融機(jī)構(gòu)App被點(diǎn)名

　　天津農(nóng)商銀行App（應(yīng)用來源為應(yīng)用寶，版本為6.5.0）被指存在兩個(gè)問題：一是隱私政策未逐一列出App（包括委托的第三方或嵌入的第三方代碼、插件）收集使用個(gè)人信息的目的、方式、范圍等，涉嫌隱私不合規(guī)；二是App頻繁自啟動(dòng)和關(guān)聯(lián)啟動(dòng)。捷信金融（應(yīng)用來源為應(yīng)用寶，版本為34.46.0）則因“個(gè)人信息處理者處理不滿十四周歲未成年人個(gè)人信息的，未制定專門的個(gè)人信息處理規(guī)則。涉嫌隱私不合規(guī)”被通報(bào)。

　　“針對(duì)近期國家計(jì)算機(jī)病毒應(yīng)急處理中心監(jiān)測(cè)發(fā)現(xiàn)我行App（天津農(nóng)商銀行版本6.5.0，應(yīng)用寶）存在隱私不合規(guī)行為事件，我行第一時(shí)間與國家計(jì)算機(jī)病毒應(yīng)急處理中心取得聯(lián)系，明確該事件主要原因，一是對(duì)客隱私協(xié)議中部分條款文字表述不夠明確；二是為實(shí)時(shí)監(jiān)測(cè)客戶網(wǎng)絡(luò)狀態(tài)，進(jìn)行弱網(wǎng)環(huán)境提示，保持服務(wù)流暢，我行遠(yuǎn)程視頻銀行控件后臺(tái)運(yùn)行時(shí)，會(huì)持續(xù)進(jìn)行網(wǎng)絡(luò)狀態(tài)的獲取?！碧旖蜣r(nóng)商銀行隨后回應(yīng)稱，在國家計(jì)算機(jī)病毒應(yīng)急處理中心指導(dǎo)下，現(xiàn)已修訂完善了用戶隱私條款并更新，并對(duì)手機(jī)銀行客戶端程序進(jìn)行了優(yōu)化，相關(guān)問題已整改。“上述問題對(duì)我行手機(jī)銀行App安全性沒有損害，客戶的資金安全、交易安全、信息安全不受影響?！?/p>

　　3月29日，廣東省通信管理局公開通報(bào)了18款未按要求完成整改App，東莞農(nóng)商銀行App（應(yīng)用來源為應(yīng)用寶）因“違規(guī)收集個(gè)人信息”和“App強(qiáng)制、頻繁、過度索取權(quán)限”被點(diǎn)名。

潘悅　制圖

　　記者根據(jù)公開信息梳理發(fā)現(xiàn)，去年以來，多家銀行、證券等金融機(jī)構(gòu)旗下App被通報(bào)隱私不合規(guī)。

　　工業(yè)和信息化部去年11月底發(fā)布的《關(guān)于侵害用戶權(quán)益行為的App（SDK）通報(bào)（2023年第8批，總第34批）》點(diǎn)名22款A(yù)pp及SDK（第三方軟件開發(fā)工具包）存在侵害用戶權(quán)益行為，包括浙江泰隆銀行的“泰惠收”（應(yīng)用來源為三星應(yīng)用商店，版本為1.9.7）、江海證券的“江海錦龍綜合版”（應(yīng)用來源為百度手機(jī)助手，版本為V9.00.44）兩個(gè)金融類App。其中，浙江泰隆銀行的“泰惠收”涉及違規(guī)收集個(gè)人信息，以及App強(qiáng)制、頻繁、過度索取權(quán)限，江海證券的“江海錦龍綜合版”涉及App強(qiáng)制、頻繁、過度索取權(quán)限。工信部3月發(fā)布的《關(guān)于侵害用戶權(quán)益行為的App（SDK）通報(bào)（2023年第2批，總第28批）》點(diǎn)名55款A(yù)pp及SDK，其中包括吉林銀行App（應(yīng)用來源為華為應(yīng)用市場(chǎng)，版本為5.2.0），所涉問題同樣為“App強(qiáng)制、頻繁、過度索取權(quán)限”。

　　此外，2023年4月至9月，上海市網(wǎng)信辦對(duì)屬地下載量較大及投訴較多的46款A(yù)pp開展了收集使用個(gè)人信息專項(xiàng)檢查，共發(fā)現(xiàn)160余項(xiàng)問題。交通銀行太平洋信用卡中心的“買單吧”（應(yīng)用來源為華為應(yīng)用市場(chǎng)，版本為6.1.1和6.4.0）被點(diǎn)名，涉及強(qiáng)制收集非必要個(gè)人信息、未提供用戶主動(dòng)勾選服務(wù)協(xié)議、隱私政策內(nèi)容不完整以及超范圍收集個(gè)人信息等四個(gè)問題。據(jù)悉，經(jīng)過通報(bào)和跟進(jìn)指導(dǎo)，被點(diǎn)名的App運(yùn)營單位均已完成問題整改。

　　去年5月，山西省通信管理局公開通報(bào)12款未按要求完成整改App。其中，山西銀行App（版本為3.4.2）涉及“App首次運(yùn)行，用戶同意隱私政策前，私自收集用戶個(gè)人信息”，山西省農(nóng)村信用社聯(lián)合社的“晉享生活”（版本為4.1.04）和晉商銀行App（版本為5.0.0）都存在“未在隱私政策中逐一列舉說明第三方SDK收集使用個(gè)人信息的目的、方式、范圍”的問題，山西證券的“匯通啟富”（版本為6.7.4.1）則因“App未向用戶明示未經(jīng)用戶同意，或無合理的使用場(chǎng)景，存在頻繁自啟動(dòng)或關(guān)聯(lián)啟動(dòng)的行為”被點(diǎn)名。

　　數(shù)據(jù)安全和隱私保護(hù)面臨挑戰(zhàn)

　　用戶在使用APP開展金融交易，獲得金融服務(wù)與產(chǎn)品時(shí)，也被記錄下大量個(gè)人數(shù)據(jù)，隨著應(yīng)用向場(chǎng)景化、生態(tài)化縱深推進(jìn)，用戶隱私保護(hù)也面臨更多挑戰(zhàn)。

　　中國互聯(lián)網(wǎng)金融協(xié)會(huì)不久前發(fā)布《2023年金融APP市場(chǎng)治理與發(fā)展報(bào)告》（簡(jiǎn)稱“報(bào)告”）指出，當(dāng)前金融App領(lǐng)域仍然面臨一些不容忽視的風(fēng)險(xiǎn)挑戰(zhàn)：部分從業(yè)機(jī)構(gòu)對(duì)網(wǎng)絡(luò)安全、個(gè)人信息保護(hù)等領(lǐng)域法律制度和標(biāo)準(zhǔn)規(guī)范的理解存在一定偏差且貫徹落實(shí)不到位的情況；一些金融App存在重技術(shù)開發(fā)、輕日常運(yùn)營，重注冊(cè)用戶、輕活躍用戶，重產(chǎn)品部署、輕用戶體驗(yàn)的問題；有的金融App集成開源組件，面臨開源許可證兼容性、合規(guī)性等風(fēng)險(xiǎn)；智能化、云上化和平臺(tái)化金融發(fā)展趨勢(shì)對(duì)金融App的業(yè)務(wù)合規(guī)、系統(tǒng)性能、網(wǎng)絡(luò)安全提出更高要求；金融App涉及客戶數(shù)據(jù)、交易數(shù)據(jù)、資金流動(dòng)等敏感信息，場(chǎng)景化和生態(tài)化趨勢(shì)給數(shù)據(jù)安全和隱私保護(hù)帶來挑戰(zhàn)。

　　中國互聯(lián)網(wǎng)金融協(xié)會(huì)表示，金融App是從業(yè)機(jī)構(gòu)提供數(shù)字金融服務(wù)的重要渠道和推進(jìn)數(shù)字化轉(zhuǎn)型的關(guān)鍵抓手，加強(qiáng)自律備案管理有助于提升金融App安全性，引導(dǎo)和督促從業(yè)機(jī)構(gòu)更加注重?cái)?shù)據(jù)安全和隱私保護(hù)，提高金融消費(fèi)者對(duì)使用金融App的信任度和安全感。截至2023年底，協(xié)會(huì)完成3112家機(jī)構(gòu)、共計(jì)2429款金融App備案（含關(guān)聯(lián)備案），在開展金融App備案過程中累計(jì)發(fā)現(xiàn)并督促整改漏洞隱患6萬余項(xiàng)。通過審核評(píng)估、風(fēng)險(xiǎn)監(jiān)測(cè)、違規(guī)公示等自律管理手段，2023年單款A(yù)pp平均發(fā)現(xiàn)數(shù)據(jù)安全方面的問題同比下降33.6%，安全防護(hù)方面的問題同比下降29.8%，個(gè)人信息收集使用方面的問題同比下降5.9%，單款A(yù)pp平均權(quán)限申請(qǐng)數(shù)量呈現(xiàn)逐年下降態(tài)勢(shì)。

　　有業(yè)內(nèi)人士指出，銀行業(yè)APP數(shù)據(jù)庫匯集海量市場(chǎng)數(shù)據(jù)、客戶交易數(shù)據(jù)，屬于機(jī)構(gòu)核心競(jìng)爭(zhēng)資產(chǎn)，尤其是個(gè)人識(shí)別特征信息，極易被復(fù)制，泄露后難以挽回，對(duì)個(gè)人隱私財(cái)產(chǎn)造成嚴(yán)重危害。一些銀行機(jī)構(gòu)對(duì)此缺乏重視，一方面在于從業(yè)者監(jiān)管不足，另一方面在于App網(wǎng)絡(luò)防御不足，面對(duì)科技迅猛發(fā)展，安全問題愈發(fā)突出。

　　多方力促金融App合規(guī)發(fā)展

　　當(dāng)前，電信和互聯(lián)網(wǎng)行業(yè)尚未出臺(tái)針對(duì)金融服務(wù)類App個(gè)人信息保護(hù)工作的專門性指引文件，現(xiàn)有標(biāo)準(zhǔn)、規(guī)范難以完全滿足金融行業(yè)App業(yè)務(wù)發(fā)展與安全合規(guī)需要，對(duì)于金融服務(wù)類App的運(yùn)營和使用相關(guān)業(yè)務(wù)中個(gè)人信息收集、使用、加工等行為缺乏統(tǒng)一規(guī)范。在此背景下，國家金融監(jiān)督管理總局重慶監(jiān)管局、重慶市地方金融管理局、重慶市通信管理局近日聯(lián)合印發(fā)《關(guān)于促進(jìn)金融服務(wù)類App個(gè)人信息保護(hù)合規(guī)經(jīng)營能力提升的通知》（簡(jiǎn)稱《通知》），建立聯(lián)合監(jiān)管工作機(jī)制，并基于現(xiàn)行法律法規(guī)，結(jié)合金融行業(yè)特點(diǎn)梳理完成《重慶市金融服務(wù)類移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序個(gè)人信息保護(hù)合規(guī)指南（V1.0）》，對(duì)轄內(nèi)銀行保險(xiǎn)機(jī)構(gòu)、地方金融組織、相關(guān)App運(yùn)營者進(jìn)行合規(guī)指導(dǎo)。

　　《通知》進(jìn)一步壓實(shí)了銀行保險(xiǎn)機(jī)構(gòu)、地方金融組織、相關(guān)App運(yùn)營者個(gè)人信息保護(hù)主體責(zé)任，針對(duì)《常見類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》劃分的網(wǎng)絡(luò)借貸、投資理財(cái)、手機(jī)銀行、網(wǎng)絡(luò)支付四大金融服務(wù)App類型，涵蓋理財(cái)兼職、證券交易、信用卡、保險(xiǎn)、商業(yè)查詢、消費(fèi)金融、財(cái)經(jīng)資訊、大宗商品投資、外匯查詢、投資理財(cái)、彩票服務(wù)等方面，從金融服務(wù)App個(gè)人信息保護(hù)工作九大方面梳理具體參考及實(shí)踐指南，明確機(jī)構(gòu)在個(gè)人金融信息收集、存儲(chǔ)、使用、加工等環(huán)節(jié)的規(guī)范和流程，推動(dòng)轄內(nèi)金融行業(yè)形成個(gè)人信息保護(hù)長效機(jī)制，不斷提升金融服務(wù)類App合規(guī)經(jīng)營能力和管理水平。同時(shí)，《通知》明確三部門建立聯(lián)合監(jiān)管工作機(jī)制，適時(shí)開展專項(xiàng)檢查，依職權(quán)對(duì)金融服務(wù)類App違法違規(guī)收集使用個(gè)人信息開展協(xié)同治理和聯(lián)合監(jiān)管，形成監(jiān)管合力，整治金融服務(wù)類App違規(guī)收集、使用、泄露個(gè)人信息等突出問題。

　　國家金融監(jiān)督管理總局重慶監(jiān)管局表示，下一步，將協(xié)同相關(guān)部門持續(xù)聚焦個(gè)人信息保護(hù)重點(diǎn)問題，加大對(duì)機(jī)構(gòu)違規(guī)行為的排查和整治力度，推動(dòng)行業(yè)個(gè)人信息保護(hù)治理水平不斷提升。

　　中國互聯(lián)網(wǎng)金融協(xié)會(huì)也表示，將持續(xù)做好金融App自律備案管理，一是探索將涉金融活動(dòng)App納入自律備案管理范圍，實(shí)現(xiàn)全覆蓋市場(chǎng)治理，同時(shí)進(jìn)一步優(yōu)化備案評(píng)估方式，降低從業(yè)機(jī)構(gòu)合規(guī)成本；二是將備案管理由技術(shù)安全審查向App部分業(yè)務(wù)內(nèi)容合規(guī)領(lǐng)域適當(dāng)延伸，進(jìn)一步加強(qiáng)自律檢查；三是探索建立自律協(xié)調(diào)機(jī)制，促進(jìn)金融App開發(fā)運(yùn)營、分發(fā)、運(yùn)行等環(huán)節(jié)上下游各企業(yè)主體加強(qiáng)協(xié)同，實(shí)現(xiàn)全鏈條治理；四是組織開展金融App相關(guān)數(shù)據(jù)報(bào)送工作，定期發(fā)布App市場(chǎng)監(jiān)測(cè)報(bào)告；五是完善移動(dòng)金融可信公共服務(wù)平臺(tái)，實(shí)現(xiàn)金融App產(chǎn)品查詢、綜合信息披露等功能，促進(jìn)金融App安全合規(guī)可持續(xù)發(fā)展。