【盘点】2019年被点名的金融支付App都犯了哪些错?
陈拾九移动支付网2020/1/10 19:25:18

2019年我国展开了声势浩大的App治理行动,在一年的时间里,无数的App因为各种理由被各方监管点名,进行限期整改。在“点名-整改”这个过程中,金融支付App无疑最受到关注。

从安全重要程度上来说,金融支付App直接涉及用户财产安全;从信息敏感程度上来说,金融支付App包含大量的个人金融信息(数据);从关键程度上来说,金融支付App属于关键信息基础设施一部分。

如果一家金融支付机构的App被监管点名,起码意味着两个隐患:1、数据全生命周期管理存在问题,起码数据采集部分有问题;2、该公司之前的操作全部属于违法违规,有可能被追究责任。

向第三方机构提供信息值得关注

金融支付App被点名原因一直受到业界人士的关注,在目前的情况下,知道App被点名的理由如同看到合规道上指路的明灯。在移动支付网之前的统计中,隐私政策存在问题、未说明收集信息的用途、没有隐私政策、超范围收集用户信息是被点名的主要原因。

在最近一批被监管点名的金融支付App中,有一项原因非常值得金融支付机构仔细研究:未经用户同意,也未作匿名化向第三方机构提供用户个人信息。在App治理专项工作组公布的违法违规App明细中,民生信用卡、度小满理财、壹钱包、招商银行掌上生活App都被指出存在类似的问题。

这是在之前被点名App明细中从未出现的问题,涉及到数据分享问题。按照《(App)收集个人信息基本规范(草案)》的规定:App应防止第三方代码、插件收集无关的个人信息,如果需收集则要明示用户并征得同意。

很明显,民生信用卡、度小满理财、壹钱包、招商银行掌上生活App都没有做到这一点,数据共享是未来大数据时代发展的基础,众所周知,数据共享越充分,数据能挖掘的价值就越大。

打破数据孤岛发挥数据价值潜力就是这个道理。无疑,直接将数据与第三方进行分享是最为有效的分享方式,运营者可以直接根据数据构建用户画像,进行精准营销,用户可以享受更为舒服的服务,运营者也可以有效减少运营成本。

但是,直接分享数据需要征得用户同意,很明显,绝大部分用户不会同意运营者将自己的数据共享给第三方。如果无法征得用户同意,那么共享数据就需要进行匿名化处理,匿名化处理过后的数据无法和个人联系到一起,少了数据泄露的风险,但是也少了精准营销的可能。

对于金融支付机构,甚至以后的开放银行来说,这意味着数据共享的道路还需要进行进一步探索。

IMEI号或许会成为下一个重点问题

更令人值得注意的是,“IMEI号(设备唯一标识码)”多次出现在App存在问题明细中,具体明细表述为:“收集设备IMEI号、IMSI号、地理位置信息等个人信息频度超过业务功能实际需要。”

在这里“频度”这个词尤为值得品味,可以单纯的理解为App采集相关个人信息次数过多。App大部分是打开运行即开始采集用户个人信息,如果一天多次打开App自然会多次采集用户个人信息,但是一个App一天会被打开多少次都是不一定的,因此对App采集个人信息进行次数限制显然是不合理的。

但是如果理解为App多次采集了只能采集一次的个人信息那就可以理解。结合“向第三方提供IMEI号等个人信息”这样的明细,或许可以理解为:App中的SDK多次采集了IMEI号,所以造成了这样的问题。

在《(App)收集个人信息基本规范(草案)》中有规定:App不得收集不可变更的设备唯一标识(如IMEI号、MAC地址等),用于保障网络安全或运营安全的除外。也就是说,只有在必须的情况下App才可以采集IMEI号、IMSI号,其他时候不得收集相关信息。

如果《(App)收集个人信息基本规范(草案)》正式施行,对于IMEI号的管理必然会上升至一个新高度,起码不是所有App都有资格收集IMEI号。IMEI号等唯一标识码是目前大部分网络运营者标记用户的方法,方便好用。如果对IMEI号等唯一标识码进行了管制,App数据采集、治理必然要做出相应的改变。

不方便注销和骚扰用户也是大问题

在最近的点名中,不方便注销成为了一个引人瞩目的问题,小米金融因为该问题先被工信点名,后被App治理专项工作组点名。除了小米金融之外,微贷网、挖财信用卡管家、万达贷、浦发信用卡等App被点名的理由也包含这个问题。

很明显不方便注销不是某款App存在的问题,而是大部分App都存在的问题。注销账号是用户非常重要的一项权利也是监管非常看重的一项权利。如果用户注销了某个App账号,该App运营者就需要将该用户所有数据进行删除或匿名化处理,保证不在业务当中使用。

一个成功的金融支付机构必然有拥有三个关键积累:1、大量的用户;2、大量的资金;3、大量的数据沉淀,注销账户实质上减少了用户数量和数据沉淀。这对于任何金融支付机构,特别是金融机构来说都是很难接受的。

但无论如何,金融支付机构必须接受这个事实。

骚扰用户是另一个令人瞩目的问题,具体的表述是“用户明确不同意打开权限后,仍频繁征求用户同意,干扰用户正常使用”。壹钱包、小米金融、浦发信用卡等App都存在这个问题。

《(App)收集个人信息基本规范(草案)》规定:“用户明确拒绝使用某服务类型后,App不得频繁(如每48小时超过一次)征求用户同意使用该类型服务,并保证其他服务类型正常使用。”

监管规则或已明确

读者可能有所发现,本次点名有很多问题可以在《(App)收集个人信息基本规范(草案)》中找到对应条款。这项规范虽然还是草案,但是已经显示出了应有的能力,部分条款可能已经成为了监管规则。

除了《(App)收集个人信息基本规范(草案)》,工信部、网信办等四部委近日还公布了《App违法违规收集使用个人信息行为认定方法》,各地网信办、通信管理局、公安厅(局)、市场监管局依据该认定方法,在App侵害用户权益专项整治行动中结合监管和执法工作实际参考执行。

这两份文件或将成为App治理、监管最重要的规则文件。

本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。

展开全文
相关阅读
资讯查询取消