整治提速,移动金融APP个人信息保护四红线解读
吴丹君律师团队移动支付网2019/12/19 19:53:44

作者:吴丹君律师 张振君律师助理

一、移动金融APP个人信息监管趋势

2019年9月底,中国人民银行向部分金融机构发布《中国人民银行关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》(银发〔2019〕237号)(以下将该文件简称为“237号文”;将“移动金融客户端应用软件”简称为“移动金融APP”),对移动金融APP安全问题,主要从提升安全防护、加强个人金融信息保护、提高风险监测能力、健全投诉处理机制、强化行业自律5个方面进行管理规范,并对备受关注的个人金融信息保护划定四大红线:

第一,在收集、使用个人金融信息时,央行明确,各金融机构不得以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得收集与其提供金融服务无关的个人金融信息。

第二,金融机构应采取数据加密、访问控制、安全传输、签名认证等措施,防止个人金融信息在传输、存储、使用等过程被非法窃取、泄露或篡改。

第三,在信息使用结束后,各金融机构应立即删除敏感信息,在客户端软件卸载后不得留存个人金融信息。

第四,金融机构不得违反法律法规与用户约定,不得泄露、非法出售或非法向他人提供个人金融信息。

与237号文同步发出的还有《移动金融APP应用软件安全管理规范》(JR/T 0092-2019),相较于被替代的《中国金融移动支付客户端技术规范》(JR/T 0092-2012),该文件删除了应用场景、将人机交互安全改为身份证认证安全,增加了安全功能设计;修改了数据安全要求,在数据获取、数据访问控制、数据传输、数据存储、数据销毁等方面提出了具体安全要求。[1]

10月初,中国人民银行向部分银行下发《个人金融信息(数据)保护试行办法》(以下简称“《办法》”)初稿,待意见征求结束后将正式对外发布。《办法》重点涉及完善征信机制体制建设,对金融机构与第三方之间征信业务活动等进一步作出规定,加大对违规采集、使用个人征信信息的惩处力度。[2]

11月6日,工业和信息化部信息通信管理局发布《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》(工信部信管函〔2019〕337号),决定针对违规收集用户个人信息(私自收集个人信息、超范围收集个人信息);违规使用用户个人信息(私自共享给第三方、强制用户使用定向推送功能);不合理索取用户权限(不给权限不让用、频繁申请权限、过度索取权限)与用户账号注销设置障碍(账号注销难)四个方面8类问题开展APP规范整治工作。[3]

12月3日,中国互联网金融协会在京召开金融业移动金融客户端软件备案管理工作试点启动会议,安排部署金融机构客户端软件备案试点工作。[4]据媒体报道,首批23家机构目前已试点备案,包括16家银行类金融机构(含5家国有大行、5家股份行、3家城商行、2家农商行、1家农信联社)、4家证券基金保险类金融机构(包括国泰君安、海通证券等),以及蚂蚁金服、腾讯旗下财付通、京东数科三家非银支付机构。[5]

12月4日,国家网络安全通报中心官方微博发布《公安机关开展APP违法采集个人信息集中整治》,指出2019年11月以来,公安部加大打击整治侵犯公民个人信息违法犯罪力度,组织开展APP违法违规采集个人信息集中整治,集中查处整改了100款违法违规APP及其运营的互联网企业。其中,光大银行、天津农商银行、天津银行APP赫然在列,但未言明具体原因。[6]

综上,监管部门对移动金融APP的管理日趋严格,对包括个人金融信息在内的个人信息保护力度加强,并部署金融机构客户端软件备案试点工作以引导金融科技在合规前提下稳步发展。

二、个人信息的收集、使用和保护红线

前述237号文划定的“四条红钱”的前两项要求与《网络安全法》《信息安全技术个人信息安全规范》(GB/T 35273-2017)(以下简称“《个人信息安全规范》”)的个人信息保护要求相似,均要求金融机构收集个人信息时秉持合法、正当、必要的基本原则,并采取技术措施和其他必要措施保障个人信息安全,237号文还针对金融机构特点进一步明确数据加密、访问控制、安全传输、签名认证等具体措施。

此次被通报的光大银行即被质疑存在超过必要范围收集个人信息的情形。比如腾讯证券根据《光大银行手机银行用户隐私政策》(更新日期:2019年10月30日)(以下简称“《光大隐私政策》”)第一条第二款中“个人敏感信息”一项中列出的“其他信息”包括“……性取向、婚史、宗教信仰……”,认为该隐私政策违反个人信息保护要求的最小必要原则。[7]我们认为,该条款的内容与《个人信息安全规范》附录B的表B.1“个人敏感信息举例”的内容较为相似,该条款作为概念解释条款,在解释个人敏感信息概念时以“性取向、婚史、宗教信仰”为例不存在显著问题,在后续条款中亦未再要求收集“性取向、婚史、宗教信仰”等与金融业务关系甚微的个人敏感信息。因此这并非《光大银行隐私政策》所存在的最大问题,但为避免影响用户信任,建议移动金融APP运营者在起草隐私政策时,考虑删除非必要的个人信息类型表述以防止误解。

光大银行在个人信息收集、使用方面可能存在的更大问题在于“一揽子授权”,部分条款列举如下:

(1)《光大隐私政策》“重要提示”部分:“……除非您已阅读并接受本政策所有条款,否则您将无法使用光大银行提供的任一服务……”;

(2)《光大隐私政策》第二条第一款:“……您同意我们可能将收集的您的相关信息用作下列用途:……3.在您进入光大银行服务区域时,我们将您的个人生物识别信息用于身份识别及身份验证,确保我们向您提供优质服务……”

《光大银行隐私政策》未对“光大银行服务区域”做出明确界定,从字面意思而言包括光大银行线下服务区域。个人生物识别信息属于用户个人敏感信息,且该信息的使用并非光大银行提供“优质服务”的必要前提,光大银行仅通过手机银行APP的隐私政策条款要求用户在线上线下所有业务场景中“一揽子授权”个人生物识别信息的使用是不妥当的。该隐私政策还强调用户必须同意所有条款,否则无法使用光大银行的任一服务,涉嫌违背《网络安全法》第四十一条的必要原则。

三、个人信息的删除红线

237号文划定的第三条“红线”要求金融机构在信息使用结束后应立即删除敏感信息,在客户端软件卸载后不得留存个人金融信息。这对删除个人金融信息的时间节点作出了明确且严格的规定。

根据《个人信息安全规范》4.d,金融机构在目的达成后,应及时根据约定删除个人信息。许多移动金融APP的隐私政策也作出相似表述,比如《中国农业银行股份有限公司隐私政策(个人版)》(更新日期:2019年4月23日)第三条:“我行仅在法律法规要求,以及为实现本隐私政策的目的所必须的期限内,确定您个人信息的最长储存期限以及您日志的储存期限。”《中国银行股份有限公司手机银行隐私政策》(更新日期:2019年8月25日)第四条:“我行仅在法律法规要求的最低期限内,以及为实现本政策声明的目的所必须的最低时限内保留您的个人信息,当超出数据保存期限后,我行会对您的信息进行删除或匿名化处理。”前述表述皆从“目的实现”角度规定数据保存期限,存在一定模糊性。237号文则要求在信息使用结束后立即删除敏感信息,以个人信息处理活动进程为标准划定删除节点,对移动金融APP的敏感信息存储作出更为严格的要求。

237号文要求移动金融APP运营者在客户端软件卸载后不得留存个人金融信息,这与目前实践情况有所不同。比如《工银融e行用户隐私政策》(更新日期:2019年11月30日)5.4:“您注销电子银行账号的行为是不可逆行为,一旦您注销您的电子银行,您的融e行账号会同步注销,我们将不再通过融e行客户端收集您的个人信息,并将删除有关您融e行账号的一切信息(例如您在“云保管”中存储的相关信息,会在电子银行与融e行账号注销后同步删除),法律法规或监管机构对个人信息存储时间另有规定的除外。请您注意,我行电子银行注册用户仅在手机设备中删除融e行App时,我行不会注销您的融e行账户,有关您融e行账号的一切信息不会删除。您仍需注销您的电子银行方能达到以上目的。”其他四大国有银行的手机银行隐私政策皆存在相似表述。这说明在目前实践中,如用户仅卸载手机银行等移动金融APP,运营者并不会删除其所保存的个人信息,只有在用户注销账号后,运营者才会删除有关用户账号的一切信息。

此外,《光大银行隐私政策》第五条第八款显示:“我们储存您个人信息的期限是永久”,即无论用户是否注销账号,信息收集、使用目的是否实现均不删除用户个人信息,这与《网络安全法》的必要原则相悖,存在合规风险。

四、个人信息的共享红线

237号文的第四条“红线”是金融机构不得违反法律法规与用户约定,不得泄露、非法出售或非法向他人提供个人金融信息。《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》规定,银行业金融机构不得向本金融机构以外的其他机构和个人提供个人金融信息,但为个人办理相关业务所必需并经个人书面授权或同意的,以及法律法规和中国人民银行另有规定的除外。《个人信息安全规范》规定个人信息原则上不得共享、转让,确需共享、转让的,需遵守8.2的规定。《个人信息安全规范》8.5设置了六种共享、转让个人信息时事先征得授权同意的例外情形。但针对向第三方提供个人信息情形,目前移动金融APP的实践中存在一定不合规现象。

比如《交通银行个人手机银行和个人网上银行隐私政策》(更新日期:2019年11月1日)4.3.1“在以下情形中,我行可以在不征得您的授权或同意的情况下共享、转让、公开披露您的个人信息:……I.在本政策所声明目的约束下,向我行经营机构、子公司及其他受我行实际控制的公司共享您的个人信息……”

《中国农业银行股份有限公司隐私政策(个人版)》(更新日期:2019年4月23日)第四条“3.为实现隐私政策的目的,或为向您提供服务之必须,我行会与其他授权合作伙伴共享您的某些个人信息。例如,代表您行事的收款人、受益人、中介人、往来及代理行、证券交易所、证券公司等,或向您付款的人士;其他金融机构、行业协会、银行卡组织、信用评级机构、征信机构、信息服务提供商;向您提供资产管理服务的第三方资产管理机构等。”

与关联公司或授权合作伙伴共享用户个人信息并非法定的共享个人信息事先征求授权同意的例外情形,向前述主体提供个人信息时仍需征求用户的事先同意。银行类金融机构除总行下设各地分行、支行外,架构中往往还包括跨业投资实体,因此往往以集团的方式存在。个人信息在银行集团内各实体之间共享和整合已成为必然趋势,若每次向其他实体提供个人信息时均需向个人信息征求同意,可能反而会引起用户反感,导致服务质量下降。可以参考《个人信息安全规范》提供的隐私政策模板关于共享、转让的示范条款,在移动金融APP隐私政策中明确说明对外共享、转让个人信息的目的、涉及的个人信息类型,并列明接收个人信息的第三方名单以及所承担的相应法律责任。在此基础上,还可赋予用户拒绝提供向某一实体提供其个人信息或撤回同意的权利。

五、结语

数据发展和数据安全是一个动态平衡的过程,虽然目前对移动金融APP的监管日趋收紧,但这并不意味着打压金融科技的发展。个人信息保护是移动金融APP合规发展的重要一环,“四条红线”的划定让移动金融APP在“合法、正当、必要”的法律轨道上前行,在隐私政策拟定后,还需在日常的业务运行过程中落实相关要求,方可在数字经济中占有一席之地。

【参考资料】

[1]券商中国.《惊动央行!监管剑指金融APP,不得非法出售个人信息,划定四大红线!23家首批试点备案,五大行、国君海通在列》[2019-12-10](2019-12-18).https://mp.weixin.qq.com/s/5HEZn-Ox0IkpdHCq6S1YcA.

[2]人民网.《个人金融信息保护办法酝酿出台》[2019-10-11](2019-12-18).http://finance.people.com.cn/n1/2019/1011/c1004-31393467.html.

[3]工业和信息化部.《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》(工信部信管函〔2019〕337号)[2019-11-06](2019-12-18).http://miit.gov.cn/n1146295/n1652858/n1652930/n3757020/c7506353/content.html.

[4]中国互联网金融协会.《移动金融客户端应用软件备案管理工作试点启动会议在京召开》[2019-12-04](2019-12-18).http://www.nifa.org.cn/nifa/2955675/2955761/2985070/index.html.

[5]隐私护卫队.《央行为个人金融信息保护划红线移动金融类App备案时代开启》[2019-12-10](2019-12-18).https://mp.weixin.qq.com/s/IR3N43Zh0NDCojZSEf9LlQ.

[6]国家网络安全通报中心.《公安机关开展APP违法采集个人信息集中整治》[2019-12-04](2019-12-18).https://weibo.com/ttarticle/p/show?id=2309404445736107376705.

[7]腾讯证券.《性取向、行踪轨迹……光大银行APP隐私政策令人疑惑》[2019-12-10](2019-12-18).https://mp.weixin.qq.com/s/o_lfHaSXJr8I0xH8dy6sEg.

本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。

展开全文
相关阅读
资讯查询取消