网信办规定网络支付类App必要个人信息范围
伟辰移动支付网2020/12/3 9:15:08

12月1日,国家互联网信息办公室(以下简称“国家网信办”)发布通知,《常见类型移动互联网应用程序(App)必要个人信息范围》公开征求意见。

通知指出,近年来,移动互联网应用程序(App)得到广泛应用,在促进经济社会发展、服务民生等方面发挥了重要作用。同时,App超范围收集、强制收集用户个人信息普遍存在,用户拒绝同意就无法安装使用。

为落实《中华人民共和国网络安全法》关于个人信息收集合法、正当、必要的原则,规范App个人信息收集行为,保障公民个人信息安全,国家互联网信息办公室研究起草了《常见类型移动互联网应用程序(App)必要个人信息范围(征求意见稿)》,现向社会公开征求意见。

在征求意见稿当中,支付信息和银行卡号等个人金融信息成为了不少App开展业务的必要信息。

特点:简单而有力

在征求意见稿中,国家网信办,给出了38类常用服务类型App每类的基本功能服务和与服务相对性的必要个人信息。以网络购物类举例,该类App基本功能服务为:购买商品;必要个人信息包括三种:1注册用户移动电话号码或其他真实身份信息(App提供者提供多种选项,由用户选择其一);2收货人姓名、地址、联系电话;3支付信息。

《常见类型移动互联网应用程序(App)必要个人信息范围》截图

与之相对比,2019年8月,全国信息安全标准化技术委员会(以下简称“信安标委”)发布的《信息安全技术移动互联网应用(App)收集个人信息基本规范(草案)》中给出的常用服务类型的最小必要信息要更为细致。

同样以网络购物类服务举例,草案给出的功能描述为:为用户提供网上购买商品或服务的服务类型,包括商品展示、搜索、下单、交付、客服售后等功能。在相应的最小必要信息说明上不仅仅给出个人信息的类型,还给出了使用要求。

《(App)收集个人信息基本规范(草案)》截图

两者之间的最大的不同在于,在两者正式出台之后,信安标委发布的《信息安全技术移动互联网应用(App)收集个人信息基本规范》为国家推荐标准,而国家网信办出台的则是部门规章,其效力远远大于前者。

行业的需求与监管的要求

工信部信息通信管理局副局长鲁春丛表示,目前我国互联网App产业普遍采用前端免费、后端获利的模式,免费的商业模式加剧了用户权益侵害风险。随着技术发展,盈利模式也从在线广告向基于大数据的定向推送、精准营销转变,用户个人信息正成为企业攫利的核心价值源。

简而言之,谁能获取更多的用户个人信息,谁就可以获得更多的利润,甚至可以更方便的变现。定向推送、精准营销已经成为常用手段,在购物类App搜索某商品后再打开短视频App几乎100%可以刷到相应的商品广告。

甚至于不断有网友反映,手机会窃听自己的说话,说到什么就会推送什么。这种精准推送能力最大的需求就在于尽可能收集用户个人信息。

而监管所要求的用户个人信息采集要遵循最小必要原则,在某种程度上和行业目前的发展趋势是相背离的。依旧以网络购物为例,按照最小必要原则,用户的商品搜索信息与商品浏览信息属于不必要信息,不应该被收集,更不要说用来做精准推送。

另一方面,在App收集用户个人信息方面,各个行业的需求不同,在监管上往往也会存在冲突。在《App收集个人信息基本规范(草案)》和《常见类型移动互联网应用程序(App)必要个人信息范围(征求意见稿)》中,都没有将地理位置信息、用户通讯录和设备唯一标识码作为业务必要信息。

也就是说按照上述两份规范,网络支付App不应该收集用户地理位置信息和设备唯一标识码。

但是根据央行发布的85号文,收单机构应对“条码支付受理移动终端”的位置进行实时监测而且要可以上报,这里的“移动终端”理论上包括装有特定App的手机。

在金融支付反欺诈反洗钱的过程中,有一个非常重要的步骤就是对恶意账号的识别,如何完成对恶意账号的识别呢?用户通讯录和设备唯一标识码就是识别过程中最常用到的信息。

金融支付机构通过大数据和人工智能技术对收集到的用户通讯录、设备唯一标识码、用户行为信息进行识别,再配合黑名单、交易信息、网络日志的同步识别筛选来判断一个账号是不是恶意账号,这对于反欺诈风控是非常重要的一步。

现在用户通讯录和设备唯一标识码成为了收集用户个人信息的准禁区,无疑给网络支付业务的风控提出了新的要求。

点击下载《常见类型移动互联网应用程序(App)必要个人信息范围》

本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。

展开全文
相关阅读
资讯查询取消