本报记者 李冰
近日,国家互联网信息办公室等四部门联合印发《常见类型移动互联网应用程序必要个人信息范围规定》的通知(以下简称《规定》),明确移动互联网应用程序(App)运营者不得因用户不同意收集非必要个人信息,并将自今年5月1日起施行。
《规定》明确了39种常见类型App的必要个人信息范围。其中对网络支付、网络借贷、投资理财和手机银行四种金融类App可收集的个人信息范围作出了明确界定。
小花科技研究院高级研究员苏筱芮对《证券日报》记者表示,“去年12月份,监管部门曾下发《常见类型移动互联网应用程序(App)必要个人信息范围(征求意见稿)》,彼时App有38类,此次定稿不但增添了演出票务类,而且在具体应用场景方面也有所扩展,例如实用工具类中新增星座性格测试等,总体看,文件对常见39类App的必要个人信息范围提出规范要求,既有助于明晰监管思路,也便于机构后续依规遵照执行。”
规范金融类App收集范围
未包括位置信息、通讯录等方面
近年来,移动互联网应用程序(App)得到广泛应用,在促进经济社会发展、服务民生等方面发挥了重要作用。同时,App超范围收集、强制收集用户个人信息普遍存在,用户如果拒绝分享个人信息就无法安装使用。
零壹研究院院长于百程对《证券日报》表示,“随着个人用户对App频繁使用,个人隐私保护问题愈发严重。其中,App超范围收集个人信息比较普遍,违反必要原则、强制收集与业务无关的个人信息事件层出不穷,出台相关监管政策十分有必要。”
值得关注的是,《规定》中网络支付、网络借贷、投资理财等金融类App必要个人信息的收集范围均未包括通讯录、位置信息、相机等方面。此前,网络借贷App用户曾因通讯录等信息暴露,被暴力催收所扰。
具体来看,网络借贷类基本功能服务为“通过互联网平台实现的用于消费、日常生产经营周转等的个人申贷服务”,必要个人信息包括:注册用户移动电话号码;借款人姓名、证件类型和号码、证件有效期限、银行卡号码。投资理财类基本功能服务为“股票、期货、基金、债券等相关投资理财服务”,必要个人信息包括:注册用户移动电话号码;投资理财用户姓名、证件类型和号码、证件有效期限、证件影印件;投资理财用户资金账户、银行卡号码或支付账号。
网络支付类的必要个人信息包括:注册用户移动电话号码;注册用户姓名、证件类型和号码、证件有效期限、银行卡号码。
于百程指出,“在金融类App中,网络支付和网络借贷在业务中所需收集的必要个人信息是不同的,因为二者业务不同。”
监管力度正在加大
事实上,App过度收集用户隐私信息,侵害了个人的合法权益,如果违规使用、买卖或信息泄露,个人用户轻则被垃圾信息和电话骚扰,重则被冒名办理业务,甚至被诈骗,引发财产损失和安全性问题。同时,App强制授权、过度索权、超范围收集个人信息的现象大量存在,违法违规使用个人信息的问题也较为突出。
早在2020年11月份,广东省通信管理局就曾发布通报称,加强对属地App的监督检查,建设App监管平台,并委托第三方专业机构进行检测,累计检测5千余款App,共发现疑似存在问题App237款,经核验确定问题App88款。其中包含多款支付机构等金融App。
根据通报,被查处的App存在两方面问题,一是App及其后台服务器存在“明文存储密码”“反编译”“SQL注入”等数据安全隐患问题;二是违反用户个人信息保护规定,包括“未公开明示收集规则”“默认勾选同意隐私协议”“未列明所集成SDK及其采集信息”“为注销账号、删除个人信息设置障碍”“未经用户同意共享给第三方”等侵犯用户对其个人信息处理享有的知情权、决定权,以及违反最小必要原则超前、超需、超频索取权限或采集信息,甚至不给必需权限不让用等强迫行为。
博通咨询金融行业资深分析师王蓬博对《证券日报》记者表示,目前监管部门对App通报及处罚监管力度正在加大。他对《证券日报》记者表示,“一方面,我国相关的法律法规正在不断完善,对于App的合规标准在不断提高;另一方面,为了保障消费者的合法权益,监管在处罚及通报力度上也在不断加强力度。”
苏筱芮表示,种种监管信号表明,未来监管部门将加大对数据方面违法行为的整治及处罚力度,从源头上杜绝潜在风险,保护客户合法权益。