原標題:劍指APP違規收集個人信息! 央行排查移動金融APP等 金融科技應用風險
21世紀經濟報導記者了解到,此次摸排中,移動金融APP和背後的金融數據安全是重中之重。
隨著移動互聯網快速發展,移動金融APP已成為目前國內金融業務最廣泛、最直接、最便捷的入口。
7月16日晚,央視「3·15」晚會再次提到手機APP違規收集個人信息問題,在其提到的50多個違規收集信息的APP中,金融類就超過40個。
這些APP在後台讀取電話號碼、通訊錄、簡訊記錄、應用列表等信息的同時,上傳聯繫人、交易驗證碼等數據到第三方伺服器。並且,第三方SDK除了收集用戶手機號碼、設備信息之外,還會收集用戶手機通訊錄、簡訊信息、感測器信息等用戶隱私信息,在採集之後還會發送至指定伺服器進行存儲。
對此,工信部官網發佈公告稱,第一時間組織第三方檢測機構對央視曝光的使用上述兩家SDK的50餘款APP進行技術檢測,對存在問題的APP第一時間啟動下架程序。工信部稱,自去年11月工信部啟動APP侵害用戶權益專項整治行動以來,共檢測超過8萬餘款APP,推動8000餘款APP自查整改,對478家存在問題的企業下發整改函。
儘管監管一再強調個人隱私保護,但在現實中依然屢見不鮮。
在此背景下, 21世紀經濟報導記者獲悉,央行也在今年上半年啟動了全面摸排金融科技應用風險工作,移動金融客戶端應用軟體成為摸排重點之一,移動金融APP及其背後金融數據安全則是重中之重。
如何判定收集信息的合法性?
金融APP過度收集讀取並使用收集用戶信息是否構成侵犯公民個人信息犯罪?分歧是存在的。
中國銀行法學研究會理事肖颯7月21日對21世紀經濟報導記者表示,一種觀點認為不構成侵犯公民個人信息罪。因為APP讀取該類信息系經過用戶同意的,信息使用在用戶承諾範圍內,且企業並沒有將信息轉手給他人,僅是用於金融公司貸款審批、催債使用。
但另一種觀點認為,該用戶同意並非真實用戶意思表示,用戶若不同意則無法使用金融APP,雖然信息沒有外流,但是通過讀取的手機通訊錄並給親友打電話催債的行為,給用戶造成了較大困擾,已然突破合理合法邊界。
而在司法實踐中,判斷的一個關鍵點在於是否明示信息使用用途。企業在獲取用戶信息時,是否明示收集的手機通訊錄信息將被用於貸款審批及債務催收,如果沒有明示,卻在收集後用於該用途,會被認定為非法獲取。
網路安全法第41條規定,網路運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和範圍,並經被收集者同意。
就收集者同意而言,隱私協議本是為了獲得用戶信息授權,但金融APP中多是內置協議,提供格式條款一方免除其責任、加重對方責任、排除對方主要權利的,根據我國合同法第四十條,該條款無效。
「在實際案例中,將由法官結合協議內容、業務邏輯實質等予以判斷。一旦法院認定授權無效的,手機APP獲取用戶信息的行為將徹底喪失合法性依據。」肖颯表示,即使在隱私協議授權條款有效的基礎上,信息收集還需遵循必要性原則,也即,金融APP只能處理滿足個人信息主體授權同意目的所需的最少個人信息類型和數量。如此,借貸審批是否需要全部獲知用戶通訊錄等,便存在合法性疑問。
與此同時,在7月17日發佈的《商業銀行互聯網貸款管理暫行辦法》中也提到,商業銀行如果需要從合作機構獲取借款人風險數據,應通過適當方式確認合作機構的數據來源合法合規、真實有效,對外提供數據不違反法律法規要求,並已獲得信息主體本人的明確授權。商業銀行不得與違規收集和使用個人信息的第三方開展數據合作。
央行摸排移動金融APP的核心是金融數據安全
央行今年上半年發佈了《關於開展金融科技應用風險專項摸排工作的通知》(以下簡稱「45號文」)。
「45號文」出台的背景是加強金融科技應用風險防控,切實保障用戶的信息和資金安全,人民銀行要求各分支機構於2020 年10月31日前報送摸排的書面報告。
自2019年9月《中國人民銀行關於發佈金融行業標準加強移動金融客戶端應用軟體安全管理的通知》(銀髮〔2019〕237號)發佈以來,移動金融客戶端應用軟體備案工作正在進行中。
21世紀經濟報導記者了解到,此次摸排中,移動金融APP和背後的金融數據安全是重中之重。本次摸排工作對APP的安全要求繼承了銀髮〔2019〕237號文的要求,並結合當前APP偽冒等問題對監控要求進行了細化,幫助央行更好地推進統一風險監控平台的建設。
對於摸排的主要內容,覆蓋了人工智慧、大數據、區塊鏈、物聯網等新技術在金融領域的應用,表現出對技術風險的前瞻性。
另外,摸排還特別關注了金融業務交易安全和金融核心的處理要素——金融數據,貫穿金融交易的數據流和個人金融信息保護的生命周期。
根據45號文中的工作安排,相關金融機構在2020年5月至7月要完成自評工作,依據《金融科技應用風險專項摸排列表》逐項進行自評,及時提交報告。對發現的問題,建立清單管控和動態跟蹤機制,視情況採取必要的風險補救或補償措施。
摸排列表包括個人金融信息保護、交易安全、仿冒漏洞、技術使用安全以及內控管理五大方面,涵蓋40個具體摸排項,123個摸排要點,覆蓋APP、系統以及API等。
移動金融客戶端應用軟體、應用程序編程介面、信息系統等都是重點摸排對象,從技術層面來講主要涉及人工智慧、大數據、區塊鏈、物聯網等新技術金融應用風險,包括個人金融信息保護、交易安全、仿冒漏洞、技術使用安全、內控管理等5個方面的風險情況。
21世紀經濟報導記者了解到,45號文一方面對前期各金融機構在金融科技應用方面所做的風險合規工作進行階段性驗收,或將幫助人民銀行了解目前金融科技發展現狀,進行查漏補缺,避免再次出現表外業務泛濫、同業業務異化等行業亂象,進行有效監管。另一方面也是為後續的金融科技監管方向提供實際的數據支撐,摸排情況可能會決定新的監管政策動態。
(作者:包慧 編輯:李伊琳)
July 22, 2020 at 12:21AM
https://ift.tt/2WKlpkS
劍指APP違規收集個人信息! 央行排查移動金融APP等金融科技應用風險-科技新聞 - 臺灣新浪網
https://ift.tt/2APYMnx
No comments:
Post a Comment