近日，全国信息安全标准化技术委员会官网发布关于《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》（下称《规范》）的通知。

《规范》依据个人信息最少够用原则，给出16类业务正常运行所需收集的个人信息，其中就包括网络支付业务金融借贷业务。

网络支付采集生物识别信息需再次告知用户

《规范》首先明确了什么是网络支付业务，其定义为：“提供在收付款人之间转移货币资金的服务的业务功能，包括充值与提现、转账、交易、账单等功。，用户通常远程发起支付指令，且付款客户电子设备不与收款客户特定专属设备交互”。

在明确业务功能基础上，《规范》明确了网络支付功能的必要信息，共有6种，分别是：手机号码、账户信息、身份信息、银行账户信息、交易信息、交易身份验证信息。

网络支付基本业务功能必要信息

值得注意的是，《规范》明确提出，支付机构在提供基于生物特征识别的身份验证方式时，应再次告知用户并获得用户明示同意，并应优先采取本地终端认证机制。

也就是说各大支付机构在开启指纹识别支付和面部识别支付之前需要另外告知用户并获得用户明示同意。这意味着各大支付机构App都需要做出修改，支付宝和微信也不例外。在移动支付网的测试中，打开指纹支付功能并没有另外弹出告知，只需要通过支付密码和指纹识别两道验证。

支付宝、微信开通指纹识别验证

当然也有可能是因为记者在之前开通过指纹支付，所以没有弹出告知。

金融借贷业务只能收集紧急联系人信息

根据《规范》要求，金融借贷基本业务功能必要信息有手机号码、账号信息、身份信息、银行账户信息、个人征信信息、紧急联系人信息、借贷交易记录等七项。其中“紧急联系人信息”仅限两人，用于逾期不还情况下进行催款，且应允许手动输入，而非强制读取通讯录。

很明显，这一规定对于金融借贷App的影响是巨大的。毫无疑问，这项规定是从根源上打击暴力催收，甚至期望于杜绝暴力催收，但是另一方面，金融借贷机构不能通过通讯录联系人了解借款人的情况也有可能影响风控业务的进行。

“紧急联系人”这一项设置或促进金融借贷机构的风控业务和催收业务进一步发展，在某种意义上“紧急联系人”这一角色很像银行贷款中“担保人”角色。

但无论如何，金融借贷业务默认读取手机通讯录这一操作无疑是违反了“最少够用原则”，哪怕金融机构强制要求采取这一操作，无疑会面临监管部门的核查。

《规范》只针对业务仅供参考没有强制性

在对《规范》的解读中，有媒体做出了“常用APP收集用户信息范围确定”、“手机App应用规范发布”的解读，认为信标委对16类App必要信息的收集做出了明确划分。但这种解读或不够准确，信标委是针对16类业务类型做出了划分，而非针对16类App做出了划分。

因此，未来App或不能弹出“用户不同意开启权限，则App无法安装或运行”这一提示。因为安装和运行App并不需要收集用户个人信息，只有用户在App上开通或使用某项业务时，才需要收集用户个人信息。这也许会对现在App强迫用户提供个人信息的情况做出有力的改善。

另一方面，由于《规范》只针对业务不针对App，所以如果某个App的基本业务不止一个，那么该App需要收集的必要信息将增加，而且当用户在某App上开通多种业务时，也将使App需要收集的必要信息增加。这意味着，如果用户不及时关闭某App上临时开通的业务，将造成个人信息不必要的泄露。

移动支付网还注意到，此次《规范》的发布属于技术文件，不属于国家标准，信标委在通知中也写明：“供各单位参考”，其并不具有强制性。因此，各个企业在实际的信息收集中并不需要严格的按照《规范》中所列举必要信息。

但是《规范》是为了落实《网络安全法》第十一条所提出的“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则”和“网络运营者不得收集与其提供的服务无关的个人信息”两点发布的，虽然不具有强制性，但是必然会成为监管部门在监管时的重要参考。

而且在网信办最近发布的《数据安全管理办法（征求意见稿）》中也明确表示：如果用户只使用应用核心业务，应用只能采集核心业务所需个人信息。因此，监管未来的方向已经可以预见，虽然《规范》并不强制执行，但是依旧需要各个企业仔细关注。

写在最后

信标委发布《规范》的意义是深远的，它的发布还伴随着《数据安全管理办法（征求意见稿）》的发布，以及《App违法违规收集使用个人信息行为认定方法（征求意见稿）》的发布，金融支付机构作为对于个人隐私极其敏感的单位此时应该已经竖起来寒毛，这些文件的发布无疑会带来监管和合规的各种风险，也会对金融支付机构业务的发展带来极大的影响。

但是监管和合规带来的风险将会给支付市场、金融市场带来多大影响，又会对业务的发展带来多大的改变还犹未可知，移动支付网将持续关注。

点击下载：网络安全实践指南——移动互联网应用基本业务功能必要信息规范（TC260-PG-20191A）