近年来,受大数据产业快速发展的影响,个人信息在金融产业链中的应用场景和流转范围逐步突破传统认知,在新科技助力金融发展的同时,移动互联网应用程序(App)强制授权、过度索权、超范围收集个人信息的问题现象也日益突出。金融业新业态下的金融消费者个人金融信息保护问题成为立法和执法部门的关注重点,监管部门出台了一系列政策新规并从不同维度开展了多项治理活动,本文将对手机银行App采集个人金融信息的合规问题进行探讨。(一)《网络安全法》
2017年6月1日,《中华人民共和国网络安全法》(以下简称《网络安全法》)正式施行。两年来,《网络安全法》发挥了重要的基础性立法作用,为大量的执法活动提供了有力依据,初步实现了维护我国网络安全的既定目标。《网络安全法》涵盖行政法、民法、刑法、经济法等多个法律部门,涉及网络、资源、应用、产业等网络各个物理架构层面,以往的网络安全法律体系得以统筹,由这部基本法来全面统领。同时,《网络安全法》实施后,还出台和研究制定了一系列配套规定,涉及法律、行政法规、部门规章、地方性法规和政府规章、规范性文件等多个层级法律规范,包括网络产品和服务、网络安全审查、网络信息服务、个人信息保护、数据安全、关键信息基础设施保护等主要方面。《网络安全法》实施以来,为网络法律体系建设提供了上位法基础。(二)《App违法违规收集使用个人信息行为认定方法》2019年11月28日,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局四部门联合发布《App违法违规收集使用个人信息行为认定方法》(以下简称《方法》),旨在为监督管理部门认定App违法违规收集使用个人信息行为提供参考,为App运营者自查自纠和网民社会监督提供指引。《方法》具体规定如下:(1)在App中没有隐私政策,或者隐私政策中没有收集使用个人信息规则;(2)在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;(3)隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到;(4)隐私政策等收集使用规则难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等。2.以下行为可被认定为“未明示收集使用个人信息的目的、方式和范围”(1)未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等;(2)收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等;(3)在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解;(4)有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等。3.以下行为可被认定为“未经用户同意收集使用个人信息”(1)征得用户同意前就开始收集个人信息或打开可收集个人信息的权限;(2)用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用;(3)实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围;(4)以默认选择同意隐私政策等非明示方式征求用户同意;(5)未经用户同意更改其设置的可收集个人信息权限状态,如App更新时自动将用户设置的权限恢复到默认状态;(6)利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项;(7)以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的真实目的;(8)未向用户提供撤回同意收集个人信息的途径、方式;(9)违反其所声明的收集使用规则,收集使用个人信息。4.以下行为可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”(1)收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;(2)因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;(3)App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;(5)仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;(6)要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。5.以下行为可被认定为“未经同意向他人提供个人信息”(1)既未经用户同意,也未做匿名化处理,App客户端直接向第三方提供个人信息,包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息;(2)既未经用户同意,也未做匿名化处理,数据传输至App后台服务器后,向第三方提供其收集的个人信息;(3)App接入第三方应用,未经用户同意,向第三方应用提供个人信息。6.以下行为可被认定为“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”(1)未提供有效的更正、删除个人信息及注销用户账号功能;(2)为更正、删除个人信息或注销用户账号设置不必要或不合理条件;(3)虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理;(4)更正、删除个人信息或注销用户账号等用户操作已执行完毕,但App后台并未完成的;(5)未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理的。(三)《个人金融信息保护技术规范》(JR/T 0171—2020)央行和全国金融标准化技术委员会通过《中国人民银行关于发布金融行业标准做好个人金融信息保护技术管理工作的通知》(银发〔2020〕45号)于2020年2月13日发布了《个人金融信息保护技术规范》(以下简称《规范》)。《规范》规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。《规范》适用于提供金融产品和服务的金融业机构,并为安全评估机构开展安全检查与评估工作提供参考。从效力上看,《规范》属于推荐性行业标准,本质上属于对本行业企业在个人金融信息保护方面的建议。但在实践中,不排除《规范》会成为监管机构在监督检查或开展执法活动时的重要参考依据,因此,《规范》对有关金融机构仍然具有较强的指导意义。根据《规范》,“金融业机构”是指由国家金融管理部门监督管理的持牌金融机构,以及涉及个人金融信息处理的相关机构。“个人金融信息”则是指金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息,包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,《规范》将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别。具体如下:
个人金融信息主体因业务需要(如贷款)主动提供的有关家庭成员信息(如身份证号码、手机号码、财产信息等),应依据C3、C2、C1敏感程度类别进行分类,并实施针对性的保护措施。两种或两种以上的低敏感程度类别信息经过组合、关联和分析后可能产生高敏感程度的信息。同一信息在不同的服务场景中可能处于不同的类别,应依据服务场景以及该信息在其中的作用对信息的类别进行识别,并实施针对性的保护措施。个人金融信息收集的方式包括但不限于通过柜面、信息系统、金融自助设备、受理终端、客户端应用软件等渠道获取。金融业机构应遵循合法、正当、必要的原则,向个人金融信息主体明示收集与使用个人金融信息的目的、方式、范围和规则等,获得个人金融信息主体的授权同意,并满足以下要求:
(四)《常见类型移动互联网应用程序必要个人信息范围规定》2021年3月12日,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称《规定》),旨在落实《网络安全法》关于个人信息收集合法、正当、必要的原则,规范移动互联网应用程序(App)个人信息收集行为,保障公民个人信息安全。随着移动互联网快速发展,各类应用程序迅速普及应用,在促进经济社会发展、服务民生等方面发挥了重要作用。但同时,App超范围收集用户个人信息问题十分突出。特别是大量App通过捆绑功能服务一揽子索取个人信息授权,用户拒绝授权就无法使用App基本功能服务,变相强制用户授权。为聚焦解决App超范围收集个人信息问题,规范收集个人信息活动,四部门联合制定实施该《规定》。同时四部门要求,各省、自治区、直辖市及新疆生产建设兵团网信办、通信管理局、公安厅(局)、市场监管局(厅、委)指导督促本地区App运营者抓紧落实《规定》要求,加强监督检查,及时调查、处理违法违规收集使用个人信息行为,切实维护公民在网络空间的合法权益。根据《规定》要求,移动智能终端上运行的App存在收集用户个人信息行为的,应当遵守本规定。法律、行政法规、部门规章和规范性文件另有规定的,依照其规定。“App”包括移动智能终端预置、下载安装的应用软件,基于应用软件开放平台接口开发的、用户无需安装即可使用的小程序。《规定》所称必要个人信息,是指保障App基本功能服务正常运行所必需的个人信息,缺少该信息App即无法实现基本功能服务。App不得因为用户不同意提供非必要个人信息,而拒绝用户使用其基本功能服务。《规定》对常见三十九种类型的App的必要个人信息范围采用列举方式进行规定。其中第二十四类手机银行类,基本功能服务为“通过手机等移动智能终端设备进行银行账户管理、信息查询、转账汇款等服务”,必要个人信息包括:2.用户姓名、证件类型和号码、证件有效期限、证件影印件、银行卡号码、银行预留移动电话号码;3.转账时需提供收款人姓名、银行卡号码、开户银行信息。二、手机银行App应避免的常见类型违法违规采集和使用个人信息行为
自启动/关联启动即指打开一个App的时候会启动、唤醒其他App。App为了保证被用户继续使用,就要尽可能多的“刷存在感”,否则久而久之用户就会弃之不用,甚至卸载。如果App开发者选择了采用联合唤醒的机制或者其他类似机制来“保活”,这就可能导致大量的服务进程在后台被唤醒、驻留,从而造成不同应用之间的交叉唤醒、关联启动的现象。《App违法违规收集使用个人信息行为认定方法》第四条第3点指出,收集个人信息的频度等超出业务功能实际需要,可认定为“违反必要原则,收集与其提供的服务无关的个人信息”。JR/T0171—2020《个人金融信息保护技术规范》标准中指出:“收集个人金融信息应遵循最小化要求,收集个人金融信息的目的应与实现和优化金融产品或服务、防范金融产品或服务的风险有直接关联。直接关联是指无该个人金融信息参与无法实现前述目的。”基于上述技术规范内容分析,App通过自启动、关联启动等方式唤醒后,如果存在通过权限等机制收集个人信息的行为,且并未在隐私政策等规则中明确指出具体的目的的,其收集个人信息的频度则涉嫌超出了业务功能实际需要。就人脸识别而言,对“撤回授权”的理解与实践存在一定的复杂性。如果用户计划以后不再使用人脸识别功能,而又无渠道和机制向App运营者反馈其意愿,App运营者则可能以其不清楚用户是否还会再次使用为由,长期保留用户的人脸特征信息。而事实上,所保留的这些信息已经超出达成前期的处理目的需要,有不符合最短期限内存储原则的嫌疑,增加了泄露、滥用的隐患。对此,相关方应逐步完善用户对其人脸信息的自主控制权,比如支持查询收集使用情况,撤回对收集人脸信息的同意,以及查询是否还继续持续留存人脸信息等。随着人脸识别技术广泛应用于各App及生活场景下,人脸信息的保护成为个人信息保护工作中的重中之重,必须高度重视对此类信息的收集使用行为,保障用户知情权和选择权,确保各环节安全。
