原標(biāo)題：劍指APP違規(guī)收集個(gè)人信息！ 央行排查移動(dòng)金融APP等 金融科技應(yīng)用風(fēng)險(xiǎn)

　　來源：21世紀(jì)經(jīng)濟(jì)報(bào)道

　　作者：包慧 

　　隨著移動(dòng)互聯(lián)網(wǎng)快速發(fā)展，移動(dòng)金融APP已成為目前國內(nèi)金融業(yè)務(wù)最廣泛、最直接、最便捷的入口。

　　7月16日晚，央視“3·15”晚會(huì)再次提到手機(jī)APP違規(guī)收集個(gè)人信息問題，在其提到的50多個(gè)違規(guī)收集信息的APP中，金融類就超過40個(gè)。

　　這些APP在后臺(tái)讀取電話號(hào)碼、通訊錄、短信記錄、應(yīng)用列表等信息的同時(shí)，上傳聯(lián)系人、交易驗(yàn)證碼等數(shù)據(jù)到第三方服務(wù)器。并且，第三方SDK除了收集用戶手機(jī)號(hào)碼、設(shè)備信息之外，還會(huì)收集用戶手機(jī)通訊錄、短信信息、傳感器信息等用戶隱私信息，在采集之后還會(huì)發(fā)送至指定服務(wù)器進(jìn)行存儲(chǔ)。

　　對(duì)此，工信部官網(wǎng)發(fā)布公告稱，第一時(shí)間組織第三方檢測(cè)機(jī)構(gòu)對(duì)央視曝光的使用上述兩家SDK的50余款A(yù)PP進(jìn)行技術(shù)檢測(cè)，對(duì)存在問題的APP第一時(shí)間啟動(dòng)下架程序。工信部稱，自去年11月工信部啟動(dòng)APP侵害用戶權(quán)益專項(xiàng)整治行動(dòng)以來，共檢測(cè)超過8萬余款A(yù)PP，推動(dòng)8000余款A(yù)PP自查整改，對(duì)478家存在問題的企業(yè)下發(fā)整改函。

　　盡管監(jiān)管一再強(qiáng)調(diào)個(gè)人隱私保護(hù)，但在現(xiàn)實(shí)中依然屢見不鮮。

　　在此背景下， 21世紀(jì)經(jīng)濟(jì)報(bào)道記者獲悉，央行也在今年上半年啟動(dòng)了全面摸排金融科技應(yīng)用風(fēng)險(xiǎn)工作，移動(dòng)金融客戶端應(yīng)用軟件成為摸排重點(diǎn)之一，移動(dòng)金融APP及其背后金融數(shù)據(jù)安全則是重中之重。

　　如何判定收集信息的合法性？

　　金融APP過度收集讀取并使用收集用戶信息是否構(gòu)成侵犯公民個(gè)人信息犯罪？分歧是存在的。

　　中國銀行法學(xué)研究會(huì)理事肖颯7月21日對(duì)21世紀(jì)經(jīng)濟(jì)報(bào)道記者表示，一種觀點(diǎn)認(rèn)為不構(gòu)成侵犯公民個(gè)人信息罪。因?yàn)锳PP讀取該類信息系經(jīng)過用戶同意的，信息使用在用戶承諾范圍內(nèi)，且企業(yè)并沒有將信息轉(zhuǎn)手給他人，僅是用于金融公司貸款審批、催債使用。

　　但另一種觀點(diǎn)認(rèn)為，該用戶同意并非真實(shí)用戶意思表示，用戶若不同意則無法使用金融APP，雖然信息沒有外流，但是通過讀取的手機(jī)通訊錄并給親友打電話催債的行為，給用戶造成了較大困擾，已然突破合理合法邊界。

　　而在司法實(shí)踐中，判斷的一個(gè)關(guān)鍵點(diǎn)在于是否明示信息使用用途。企業(yè)在獲取用戶信息時(shí)，是否明示收集的手機(jī)通訊錄信息將被用于貸款審批及債務(wù)催收，如果沒有明示，卻在收集后用于該用途，會(huì)被認(rèn)定為非法獲取。

　　網(wǎng)絡(luò)安全法第41條規(guī)定，網(wǎng)絡(luò)運(yùn)營者收集、使用個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。

　　就收集者同意而言，隱私協(xié)議本是為了獲得用戶信息授權(quán)，但金融APP中多是內(nèi)置協(xié)議，提供格式條款一方免除其責(zé)任、加重對(duì)方責(zé)任、排除對(duì)方主要權(quán)利的，根據(jù)我國合同法第四十條，該條款無效。

　　“在實(shí)際案例中，將由法官結(jié)合協(xié)議內(nèi)容、業(yè)務(wù)邏輯實(shí)質(zhì)等予以判斷。一旦法院認(rèn)定授權(quán)無效的，手機(jī)APP獲取用戶信息的行為將徹底喪失合法性依據(jù)。”肖颯表示，即使在隱私協(xié)議授權(quán)條款有效的基礎(chǔ)上，信息收集還需遵循必要性原則，也即，金融APP只能處理滿足個(gè)人信息主體授權(quán)同意目的所需的最少個(gè)人信息類型和數(shù)量。如此，借貸審批是否需要全部獲知用戶通訊錄等，便存在合法性疑問。

　　與此同時(shí)，在7月17日發(fā)布的《商業(yè)銀行互聯(lián)網(wǎng)貸款管理暫行辦法》中也提到，商業(yè)銀行如果需要從合作機(jī)構(gòu)獲取借款人風(fēng)險(xiǎn)數(shù)據(jù)，應(yīng)通過適當(dāng)方式確認(rèn)合作機(jī)構(gòu)的數(shù)據(jù)來源合法合規(guī)、真實(shí)有效，對(duì)外提供數(shù)據(jù)不違反法律法規(guī)要求，并已獲得信息主體本人的明確授權(quán)。商業(yè)銀行不得與違規(guī)收集和使用個(gè)人信息的第三方開展數(shù)據(jù)合作。

　　央行摸排移動(dòng)金融APP的核心是金融數(shù)據(jù)安全

　　央行今年上半年發(fā)布了《關(guān)于開展金融科技應(yīng)用風(fēng)險(xiǎn)專項(xiàng)摸排工作的通知》（以下簡稱“45號(hào)文”）。

　　“45號(hào)文”出臺(tái)的背景是加強(qiáng)金融科技應(yīng)用風(fēng)險(xiǎn)防控，切實(shí)保障用戶的信息和資金安全，人民銀行要求各分支機(jī)構(gòu)于2020 年10月31日前報(bào)送摸排的書面報(bào)告。

　　自2019年9月《中國人民銀行關(guān)于發(fā)布金融行業(yè)標(biāo)準(zhǔn)加強(qiáng)移動(dòng)金融客戶端應(yīng)用軟件安全管理的通知》（銀發(fā)〔2019〕237號(hào)）發(fā)布以來，移動(dòng)金融客戶端應(yīng)用軟件備案工作正在進(jìn)行中。

　　21世紀(jì)經(jīng)濟(jì)報(bào)道記者了解到，此次摸排中，移動(dòng)金融APP和背后的金融數(shù)據(jù)安全是重中之重。本次摸排工作對(duì)APP的安全要求繼承了銀發(fā)〔2019〕237號(hào)文的要求，并結(jié)合當(dāng)前APP偽冒等問題對(duì)監(jiān)控要求進(jìn)行了細(xì)化，幫助央行更好地推進(jìn)統(tǒng)一風(fēng)險(xiǎn)監(jiān)控平臺(tái)的建設(shè)。

　　對(duì)于摸排的主要內(nèi)容，覆蓋了人工智能、大數(shù)據(jù)、區(qū)塊鏈、物聯(lián)網(wǎng)等新技術(shù)在金融領(lǐng)域的應(yīng)用，表現(xiàn)出對(duì)技術(shù)風(fēng)險(xiǎn)的前瞻性。

　　另外，摸排還特別關(guān)注了金融業(yè)務(wù)交易安全和金融核心的處理要素——金融數(shù)據(jù)，貫穿金融交易的數(shù)據(jù)流和個(gè)人金融信息保護(hù)的生命周期。

　　根據(jù)45號(hào)文中的工作安排，相關(guān)金融機(jī)構(gòu)在2020年5月至7月要完成自評(píng)工作，依據(jù)《金融科技應(yīng)用風(fēng)險(xiǎn)專項(xiàng)摸排列表》逐項(xiàng)進(jìn)行自評(píng)，及時(shí)提交報(bào)告。對(duì)發(fā)現(xiàn)的問題，建立清單管控和動(dòng)態(tài)跟蹤機(jī)制，視情況采取必要的風(fēng)險(xiǎn)補(bǔ)救或補(bǔ)償措施。

　　摸排列表包括個(gè)人金融信息保護(hù)、交易安全、仿冒漏洞、技術(shù)使用安全以及內(nèi)控管理五大方面，涵蓋40個(gè)具體摸排項(xiàng)，123個(gè)摸排要點(diǎn)，覆蓋APP、系統(tǒng)以及API等。

　　移動(dòng)金融客戶端應(yīng)用軟件、應(yīng)用程序編程接口、信息系統(tǒng)等都是重點(diǎn)摸排對(duì)象，從技術(shù)層面來講主要涉及人工智能、大數(shù)據(jù)、區(qū)塊鏈、物聯(lián)網(wǎng)等新技術(shù)金融應(yīng)用風(fēng)險(xiǎn)，包括個(gè)人金融信息保護(hù)、交易安全、仿冒漏洞、技術(shù)使用安全、內(nèi)控管理等5個(gè)方面的風(fēng)險(xiǎn)情況。

　　21世紀(jì)經(jīng)濟(jì)報(bào)道記者了解到，45號(hào)文一方面對(duì)前期各金融機(jī)構(gòu)在金融科技應(yīng)用方面所做的風(fēng)險(xiǎn)合規(guī)工作進(jìn)行階段性驗(yàn)收，或?qū)椭嗣胥y行了解目前金融科技發(fā)展現(xiàn)狀，進(jìn)行查漏補(bǔ)缺，避免再次出現(xiàn)表外業(yè)務(wù)泛濫、同業(yè)業(yè)務(wù)異化等行業(yè)亂象，進(jìn)行有效監(jiān)管。另一方面也是為后續(xù)的金融科技監(jiān)管方向提供實(shí)際的數(shù)據(jù)支撐，摸排情況可能會(huì)決定新的監(jiān)管政策動(dòng)態(tài)。

海量資訊、精準(zhǔn)解讀，盡在新浪財(cái)經(jīng)APP

責(zé)任編輯：張緣成