出品|WEMONEY研究室
文|刘双霞
各类App非法获取、超范围收集使用等侵害个人信息的问题已是沉疴宿疾。监管部门在完善相关法规制度的同时,也在加大日常监督和打击力度。5月10日,国家互联网信息办公室(简称“网信办”)通报了涉及安全管理、网络借贷等公众大量使用的84款App存在的个人信息违规收集使用情况,包括48款网络借贷类App被通报。
值得注意的是,5月1日起施行的《常见类型移动互联网应用程序必要个人信息范围规定》确立了App信息采集的“最小必要”原则。其中明确,网络借贷类App所能收集的必要个人信息包括:注册用户移动电话号码;借款人姓名、证件类型和号码、证件有效期限、银行卡号码。
屡禁不止
48款网络借贷类App被通报
除了腾讯手机管家等安全管理类App外,48款网络借贷App被点名通报,几乎涵盖了目前市场上的主流借贷App。
网信办通报的网络借贷App涉及银行系、消金系和网络小贷系等。银行系涉及平安银行所属平安贷款1.8.0版本,招商银行所属招贷1.0.20版本;持牌消费金融系涉及平安消费金融2.3.0版本,中原消费金融-贷款借钱3.8.1版本,招联消费金融所属招联好期贷5.5.2版本;网络小贷类涉及万达旗下万达普惠4.0.5版本、万达贷2.5.6版本,51公积金借款4.7.8.0323版本,恒易借条-借钱容易1.5.3版本等。
根据通报,相关网络借贷App存在的主要问题包括:违反必要原则,收集与其提供的服务无关的个人信息;未经用户同意收集使用个人信息等。
通报要求,针对检测发现的问题,相关App运营者应当于通报发布之日起15个工作日内完成整改,并将整改情况报网信办,逾期未完成整改的将依法予以处置。
近年来,我国个人信息保护力度不断加大,但在现实生活中,依然存在一些企业、机构和个人,过度收集、违法获取、非法买卖个人信息,利用非法获取的个人信息侵害人民群众合法权益的现象。
在过去一年里,工信部已经通报了多批存在侵害用户权益行为的App名单,并对规定期限内整改不彻底的App进行了下架处理。工信部曾强调,如果相关企业有令不行、整改不彻底,工信部将采取全面下架、停止接入、行政处罚以及纳入电信业务经营不良名单或失信名单等措施,依法严厉处置。
北京寻真律师事务所律师王德怡表示,用户数据对于平台或商家而言具有重要的商业价值,因此各类App都热衷于收集用户信息。收集到的信息越多,越有利于其制定市场营销策略,精准获客。
划定收集范围
网络借贷超范围采集被严管
超范围收集信息成为违规的重灾区。此前不少借贷App还会获取个人手机通讯录、手机相册等个人信息。事实上,监管部门已经对网络借贷类App涉及到的必要信息进行了明确规范。
目前,关于App搜集使用个人信息的相关依据主要是《中华人民共和国网络安全法》《App违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》等法律和有关规定。
《中华人民共和国网络安全法》于2017年6月正式施行,是我国第一部网络安全的专门性综合性立法,规范了网络空间多元主体的责任义务。
2019年12月底,网信办发布了《App违法违规收集使用个人信息行为认定方法》(简称《认定办法》)。
根据《认定办法》,9类行为可被认定为“未经用户同意收集使用个人信息”:1.征得用户同意前就开始收集个人信息或打开可收集个人信息的权限;2.用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用;3.实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围;4.以默认选择同意隐私政策等非明示方式征求用户同意;5.未经用户同意更改其设置的可收集个人信息权限状态,如App更新时自动将用户设置的权限恢复到默认状态;6.利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项;7.以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的真实目的;8.未向用户提供撤回同意收集个人信息的途径、方式;9.违反其所声明的收集使用规则,收集使用个人信息。
《认定办法》规定,6类行为可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”:1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;2.因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;3.App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;4.收集个人信息的频度等超出业务功能实际需要;5.仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;6.要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。
另外,《常见类型移动互联网应用程序必要个人信息范围规定》已于2021年5月1日起正式施行。《规定》在明确App基本功能服务和必要个人信息范围的基础上,要求App运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用其基本功能服务,同时确立了“最小必要”原则。
值得关注的是,《规定》明确了地图导航、网络购物、网络借贷等39类常见类型移动应用程序必要个人信息范围。
其中,对于网络借贷类App,《规定》明确其基本功能服务为“通过互联网平台实现的用于消费、日常生产经营周转等的个人申贷服务”,必要个人信息包括:注册用户移动电话号码;借款人姓名、证件类型和号码、证件有效期限、银行卡号码。
不过,王德怡表示,尽管《规定》规定了必要个人信息的范围,但并没有规定相应的处罚措施。对单个用户而言,既缺少相应的技术手段,也没有相应的谈判能力,因此,只能坐等上述平台收集个人信息了。另外,违规成本低,查处难度大。
同时,随着个人信息保护制度不断完善,对一些从事借贷类业务的风控也提出了挑战。王德怡指出,借贷平台如果不能有效掌握借款人的送达信息(特别是地址信息),在发生逾期或其他违约时,会在追赔方面产生一定和程序困难。