近期大批App违规收集个人信息被通报整改,昭示着新一轮网络信息安全整顿浪潮正席卷而来。北京商报记者近日以18家民营银行App为样本调查发现,目前银行类App功能繁多,对于用户个人信息收集标准不一,其中有16家首次打开App即要获取位置、相册等信息,7家在用户拒绝授权后不提供任何服务,同时部分银行要求扫描用户设备、收集微信号等情况颇具争议。有民营银行相关人士向记者透露,面对近期市场监管高压,该行已展开自查整改行动。但如何判断银行App个人信息收集是否合规,采集范围、何时采集、采集时限等标准边界仍待明晰。在拓展业务边际的同时,银行App如何做到严控金融风险又能做好个人信息保护合规亟待引起市场各方重视。
信息收集规范性存争议
北京商报记者近日统一使用华为应用市场下载当前已上线App的18家民营银行App测评发现,各家App收集用户个人信息范围、标准不一,实际何时采集信息亦存在差异。
经调查,在18家民营银行App中,有16家首次打开App即弹窗要求访问用户相关信息,收集权限大致涵盖:位置、设备照片(相册)及文件、读取通话状态和移动网络信息、录制音频视频、获取储存权限等。一些银行在用户逐项拒绝后,仍可访问App主界面,但也有7家银行在用户不授权后即直接关闭App或无法使用App任何功能,下次打开时再度要求授权,包括温州民商银行、蓝海银行、辽宁振兴银行、安徽新安银行、天津金城银行、福建华通银行、江西裕民银行。
图说:部分民营银行App拒绝授权将无法正常使用
另外,一些银行个人信息收集是否为最小必要范围存在争议。
如上海华瑞银行App隐私政策中显示,客户在注册、使用华瑞银行账户或服务时,会在最小必要权限范围内收集客户个人信息,其中包括了微信号、户籍地址、人脸识别和声纹信息等。
再如中关村银行App首次打开时弹窗提示会读取已安装列表等权限,权限用途解释为:用于扫描手机设备端是否存在仿冒中关村银行App应用,采集客户端威胁数据。
采集用户微信号、扫描用户设备已安装列表等是否为必要收集信息?对此,北京寻真律师事务所律师王德怡认为,只要经过用户同意,可以收集微信信息。微信已经是普遍使用的通讯工具,现在法院送达传票也可以采取微信送达。
而在宁人律师事务所金融与科技委员会副主任马军看来,银行开展业务不用微信转账就没有必要收集微信号,微信是实名制,即便是用户借款不还涉及到执行层面,后期法院通过身份证号也能查到微信号及履行执行,银行本身没有权限。此外,银行亦无权扫描用户手机App列表,银行扫描App的目的或是为了安全防范,担心手机里有木马病毒,但是触角伸得有些长。“银行应防范的是App网络系统不被攻破,而不是手机系统不被木马攻破。”马军如是说。
哪些信息属于必要采集
如何判断一款App收集的信息范围是否越界?今年3月,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称《规定》)划定了手机银行类、网络支付类、网络借贷类、投资理财类等39种常见类型App的必要个人信息范围,并明确App运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用App基本功能服务。上述《规定》自2021年5月1日起施行。
在《规定》中,涉金融服务的App提供基本功能服务的收集用户必要个人信息范围大体类似,其中网络支付类和网络借贷类主要包括用户移动电话号码;用户姓名、证件类型和号码、证件有效期限、银行卡号码;手机银行类App提供基本功能服务的允许在上述必要信息外,可多收集证件影印件、银行预留移动电话号码,转账时需提供收款人姓名、银行卡号码、开户银行信息;投资理财类App在上述必要信息外可多收集证件影印件、投资理财用户资金账户、银行卡号码或支付账号。
虽然业内普遍认为《规定》对银行类App构成约束,但若仅以《规定》列示的范围判定,北京商报记者测评的App很多都超出了范围,如采集相册、位置信息、住址、婚姻状态等。这是否均涉嫌越界收集用户信息?
北京商报记者注意到,或是为了避免出现与特殊行业现行法律和监管条例适用的冲突,《规定》给各类App划定了不适用的情形,即明确App存在收集用户个人信息行为的,应当遵守本规定;法律、行政法规、部门规章和规范性文件另有规定的,依照其规定。
对于如何判定是否应当受《规定》范围约束,马军对北京商报记者表示,如果用户仅使用了《规定》中的App基本功能(如手机银行类基本功能服务为“通过手机等进行银行账户管理、信息查询、转账汇款等服务”),除了《规定》范围外多采集的应当视为超范围收集用户信息。如果银行App提供及用户使用的服务功能比较多,可根据业务需求增加必要个人信息。
王德怡进一步指出,金融机构展业必须坚持“了解你的客户”。如果金融行业监管规定要求银行收集这些信息,所收集的信息范围就可以突破《规定》的范围。相反,若无明确要求,就不应突破。
何时采集、采集多久
除了采集范围,个人信息应当何时采集以及采集多久,边界仍需厘清。
在北京商报记者调查的18家民营银行App中,有16家首次打开App即弹窗要求访问用户相关信息权限。照片、录制音视频等信息是否应在首次打开App未提供实质服务时就被收集?
今年4月26日,工信部会同公安部、市场监管总局起草的《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》(以下简称《管理暂行规定》)向社会公开征求意见,其中明确提到,不得提前申请超出其业务功能或者服务外的权限,不得利用频繁弹窗反复申请与当前服务场景无关的权限。
多位律师人士指出,个人信息在具体业务有必要时才能采集,打开App并非提供服务,未享受相关服务时就不该收集相关信息。在采访过程中,多位银行内部人士也对北京商报记者坦言,针对App何时收集用户信息,的确存在进一步改进的空间。
对于采集信息时长,马军强调,只有点开某一项功能才算是提供服务,才有正当性理由收集个人信息。王德怡则建议,监管方和银行应该根据不同的业务类型App设定信息收集的范围和时限。
银行的顾虑:如何平衡风控与隐私保护
对于银行业来说,防范金融风险及精准营销与用户个人信息保护之间要如何平衡亟待解决。
北京商报记者了解到,由于行业和软件类型众多,目前没有针对银行App个人信息具体采集范围、采集时长、惩戒措施等细化落地的规范,各地方监管要求及银行做法不一,个人信息采集是否存在越界行为也衍生了一些灰色空间。另外,在与业内交流过程中,北京商报记者发现,如何既确保个人信息保护合规,又让App有效风控并实现多项业务功能,银行也充满矛盾和顾虑。
据北京商报记者调查,位置信息是被各银行App采集最普遍的信息。但在地方性中小银行不得跨区域展业的监管要求之下,银行人士均表示,采集用户位置信息为了落实监管部门仅针对本地用户开展服务的必要手段。同时,多家银行进一步指出,金融行业有其特殊性,需要遵守如反洗钱法等相关监管法规,完成必要的风控措施。
“业务需求的客户信息是必要合理,如营销推广需要,征得客户同意后也可收集,但应最小收集范围,以金融机构能够履行反洗钱义务为底线。”某银行法规人士如是认为。
而多家银行在接受北京商报记者采访时回应称,信息收集符合银行业务的监管要求,未超范围收集用户信息。中关村银行表示,该行App收集用户信息均遵照监管部门有关要求执行,在保证交易安全及用户信息安全的前提下合理收集和使用用户信息;华瑞银行回应称,该行App部分系统权限的授权是为了提升App的用户体验、确保账户及资金安全,会在使用到具体功能时先提示客户授权,并经客户授权后获取。
值得一提的是,近日有越来越多银行因信息采集不当被监管通报,平安银行、招商银行、广州农商行、广东南粤银行、微众银行旗下App都曾被点名,涉及的违规行为包括违反必要原则、收集与其提供的服务无关的个人信息以及违规收集个人信息、App强制频繁过度索取权限。
这也给银行业敲响了警钟,北京商报记者了解到,部分银行已开展自查整改行动。天津金城银行方面对北京商报记者称,根据5月1日起实施的《规定》和4月26日起面向全社会征求意见的《管理暂行规定》,该行将继续做好客户端相关功能的优化完善,严格按规定做好个人信息保护工作。
“大家已经开始行动起来了。”有民营银行内部人士对北京商报记者如是说。他表示,该行本月中旬就开了专题会,行领导牵头组织,部署用户个人信息保护自查工作,对照现有法规政策优化调整。同时当地监管部门对于移动App最近也有一些排查要求,正同步排查。