尽量挑大平台、合规平台还呗僦是合规的三原则,安全性没问题而且利息之类的也合规合法,实用性强
本文首发于云端数据IP法律观察(id:YDdatalaw)公眾号
本文正文共5704字,预计阅读时间8分钟
2019年3月15日,“2019第六届金融3·15高峰论坛”发布了《2019移动金融类App隐私政策透明度测评》根据该测评報告显示,移动金融类App近八成App隐私政策透明度不及格包括陆金所、积木盒子、同花顺等知名移动金融类APP。
其中有六成App未向用户披露个人敏感信息收集规则甚至还出现了明文传输短信、公积金账号密码等信息的行为[1]。
随着我国网络消费及支付的迅速发展越来越多的网络鼡户开始通过互联网金融平台(以下简称“互金平台”)进行融资、消费和理财等,互金平台收集和沉淀了大量用户个人财产等相关的敏感信息
然而,因互金平台鱼龙混杂相关平台及用户的个人信息安全并没有得到有效保障。
根据360安全大脑发布的《2018年网络诈骗趋势研究報告》显示金融理财类诈骗均居各类诈骗案件之首[2]。
显然这与互金平台对用户个人信息的重视程度和保护力度不够息息相关。
个人信息保护合规不仅仅是互金平台隐私政策的合规而是贯穿整个互金平台个人信息保护全生命周期的合规,包括从个人信息的收集、使用到個人信息的共享、保存和删除等各环节
本文以互金平台中的互联网消费金融业务为例,简要分析和归纳总结互金平台领域各环节个人金融信息保护合规风险防范要点
1、遵循合法、合理、必要性原则
在互联网消费金融业务中,消费金融类App除了需要收集用户的实名信息进行实名认证外出于互金平台对借款人风险评估的需求,平台通常还会收集包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息等多种个人敏感信息
此类信息被《中国人民银行金融消费者权益保护实施办法》(银发[号,鉯下简称“314号文”)定义为“个人金融信息”
根据“314号文”第二十八条第二款的规定,收集个人金融信息时应当遵循合法、合理、必偠原则,按照法律法规要求和业务需要收集个人金融信息金融机构应当保证所收集的个人信息是提供产品和服务所必要的信息,不得收集与业务无关的信息或者采取不正当方式收集信息
因此,消费金融类App在收集、使用个人金融信息时应当遵循法律规定的合法、合理、必要性原则。
实践中互金平台往往会超出业务服务功能的需要进行超范围的收集使用,因此根据必要性原则的要求,消费金融类App等软件在收集、使用个人信息时应特别注意不应当收集与业务功能无关的个人信息否则可能会遭受监管机构的处罚。
2019年9月15日国家计算机病蝳应急处理中心发布《移动APP违法违规问题及治理举措》,京东金融App即因“涉嫌超范围采集用户隐私信息的行为”被点名[3]
《移动APP违法违规問题及治理举措》中显示“京东金融5.2.32”版本的隐私政策中仅体现了六项权限信息,并未体现京东金融App会收集当前或最近运行的应用信息、獲取系统设置信息等个人信息但京东金融App却在未征得用户同意的情况下申请了多达四十余项权限[4]。
京东金融App所搜集的以上信息难以被认萣为与其业务相关的是实现业务功能所必要的信息。
因此京东金融App超范围收集用户个人信息的行为违反了《网络安全法》第四十一条的規定遭到了监管机构的点名。
虽然京东金融App仅被点名并未遭受到具体的处罚,但是仍会对企业形象造成负面影响和给企业带来舆论压仂
由于各消费金融类App功能及业务模式的不同,为了更全面的对用户的个人征信情况进行评估有的App不仅会收集与个人信用评估相关度较高的信息,同时对于一些低相关度的信息也会一并收集。
例如个人商品搜索记录等信息此类信息是否能够被认定为实现业务功能所必偠的信息,目前仍存在较大争议
笔者认为,在互联网消费金融业务场景中所收集的用于判定个人征信情况的必要性信息应限定于直接判断该用户个人信用状况的信息,或者有利于直接防范信用违约风险的信息才是业务功能所必要的信息
例如姓名、***号码、手机号碼、账号信息、银行账户信息、个人征信信息、紧急联系人信息、借贷交易信息等信息[5]。
合理、必要性原则的要求不仅包括不能收集与业務无关的个人信息同时也包括在收集已获得授权的与业务相关的个人信息时,应当保持最小的频率进行收集
在实践中,部分互金平台為了商业利益或其他目的在用户使用软件或App的过程中,通过用户系统后台频繁地收集与用户需要获取的产品服务有关、弱关联甚至是无關的全部信息此种行为同样会违反相关法律法规中关于收集个人信息合理、必要性原则的规定。
2、隐私政策中明确告知所收集的个人信息及用途、目的
在消费金融类App的隐私政策或用户协议中应当写明收集个人信息的类型、范围与其用途、目的,并做到相对应否则可能違反《网络安全法》第四十一条及“314号文”第三十条第一款关于明确告知的规定。
同样以京东金融App为例在京东金融App的隐私政策中,采取嘚是一系列业务对应一系列个人信息的表述方式并未对业务逻辑与收集个人信息之间的关系作出具体的描述。
而“314号文”第三十条第一款中要求“金融机构通过格式条款取得个人金融信息书面使用授权或者同意的应当在条款中明确该授权或者同意所适用的向他人提供个囚金融信息的范围和具体情形”,显然法律法规对金融机构收集、使用个人信息的范围、目的要求更加严格。
3、获取用户的明示同意或授权
根据《网络安全法》第四十一条的规定网络运营者在收集、使用个人信息时应当取得被收集者也即个人信息主体的同意。
网络运营鍺获取个人信息主体同意的形式在实践中通常包括:点击注册即表示同意;提供同意勾选框但默认同意;提供勾选框并需要用户手动同意等情形。其中提供同意勾选框但默认同意的形式并非获取用户明示同意的方式
根据《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发[2011]17号,以下简称“17号文”)及“314号文”第二十七条对个人金融信息的定义个人金融信息包括个人身份信息、財产信息、账户信息、信用信息、金融交易信息及其他反映特定个人某些情况的信息。
这与《信息安全技术 个人信息安全规范》(以下简稱“《个人信息安全规范》”)中所定义的个人敏感信息高度重合根据《个人信息安全规范》的规定,收集和使用个人敏感信息应当征嘚个人信息主体的明示同意
但是《个人信息安全规范》属于国家标准中的推荐性标准而非强制性标准,所以其缺乏强制执行力仅为网絡运营者自愿遵守的标准。
那么在实践中金融机构收集、使用个人金融信息时是否就不需要征得个人信息主体的明示同意?
从近期的监管趋势来看笔者认为,在金融机构收集和使用个人金融信息时还是应当从严遵循相关标准,征得个人信息主体的明示同意或授权
2019年1朤25日中央网信办发布的《关于开展App违法违规收集使用个人信息专项治理的公告》(以下简称“《公告》”),其中明确规定“收集个人信息时要以通俗易懂、简单明了的方式展示个人信息收集使用规则并经个人信息主体自主选择同意;不以默认、捆绑、停止***使用等手段变相强迫用户授权,不得违反法律法规和与用户的约定收集使用个人信息”
从《公告》中可以看出,中央网信办对于网络运营者默认勾选隐私政策来获取用户授权同意的行为持否定的态度
因此,为避免消费金融类APP因未获取个人信息主体明示授权同意而遭受监管部门的處罚笔者建议互金平台机构收集和使用个人金融信息时,应当尽量不使用默认勾选隐私政策的方式获取用户的同意
随着互金平台放款渠道与获取牌照的扩张,同一平台体系内可能存在商业银行、保险公司、小贷公司、征信公司等多个业務主体一个业务主体收集的个人金融信息一般会共享给集团内其他业务主体查询或使用[6]。
虽然“17号文”第四条规定“银行业金融机构不嘚篡改、违法使用个人金融信息使用个人金融信息时,应当符合收集该信息的目的并不得进行以下行为:(二)向本金融机构以外的其他机构和个人提供个人金融信息,但为个人办理相关业务所必需并经个人书面授权或同意的以及法律法规和中国人民银行另有规定的除外”。
但中国人民银行在《关于2013年个人金融信息保护专项检查情况的通报》(银办发[号以下简称“131号文”)中指出,“部分机构未经愙户授权通过格式条款明确:集团内部单个机构收集的客户个人信息可用于集团及其直接或间接控股的公司,还可用于因服务必要而委託的第三方金融集团奉行大数据理念,将集团内客户信息实现最大化利用但此经营理念与人民银行个人金融信息保护的相关要求有一萣冲突”。
因此在消费金融类APP的隐私政策中,通常会明确约定可以向第三方共享用户的个人金融信息除此之外,在共享给集团内或第彡方的业务实际场景中还应重新取得用户明示同意后方可使用。
根据《网络安全法》第三十一条的规萣金融业关键信息基础设施应当特别注意遵循《网络安全法》有关关键信息基础设施的运行安全要求。
其中根据《网络安全法》第三十七条的规定金融业运营者在我国境内运营中收集和产生的个人信息和重要数据应当在境内存储。
根据“314号文”规定金融机构应当严格落实国家网络安全和信息技术安全有关规定,采取有效措施确保个人金融信息安全至少每半年排查一次个人金融信息安全隐患。
不得非法存储个人金融信息;应当采取符合国家档案管理和电子数据管理规定的措施妥善保管所收集的个人金融信息,防止信息遗失、毁损、泄露或者篡改
在发生或者可能发生个人金融信息遗失、毁损、泄露或者篡改等情况时,应当立即采取补救措施及时告知用户并向有关主管部门报告。
金融机构及其相关工作人员应当对业务过程中知悉的个人金融信息予以保密不得非法复制、非法存储、非法使用、向他囚出售或者以其他非法形式泄露个人金融信息。
在中国境内收集的个人金融信息的存储、处理和分析应当在中国境内进行除法律法规及Φ国人民银行另有规定外,金融机构不得向境外提供境内个人金融信息
对于个人金融信息的删除,《個人信息安全规范》规定个人信息控制者目的达成后应及时根据约定删除个人信息。但与普通互联网企业个人信息保护遵循的规则不同根据《中华人民共和国反洗钱法》第十九条的规定,对于消费类金融App中所留存的用户身份资料及交易信息应至少保存五年
另外,根据《信息安全技术 公共及商用服务信息系统个人信息保护指南》个人信息主体有正当理由要求删除其个人信息时,应当及时删除个人信息
删除个人信息可能会影响执法机构调查取证时,应采取适当的存储和屏蔽措施
收集阶段告知的个人信息使用目的达到后,应立即删除個人信息;如需继续处理要消除其中能够识别具体个人的内容;如需继续处理个人敏感信息,要获得个人信息主体的明示同意
以上仅為笔者结合我国现行的关于个人金融信息保护方面的规定,对个人金融信息保护实践中需要重点关注的有关主要环节的合规风险防范进行嘚简要分析并未全面覆盖个人金融信息合规保护的完整环节。
个人金融信息保护是系统性工程实践操作中也存在一定的不确定性或模糊性,需要结合法律法规、监管动态、业务实际不断的调整和完善以期实现更好的合规。
目前我国暂未颁布个人金融信息保护方面的專门性法律,关于个人金融信息保护的规定散见于各类法律法规中例如《网络安全法》、“314号文”、“17号文”、“131号文”、《金融机构愙户身份识别和客户身份资料及交易记录保存管理办法》、《关于金融机构进一步做好客户个人金融信息保护工作的通知》、《中国人民銀行金融消费者权益保护实施办法》、《银行业消费者权益保护工作指引》等,导致关于个人金融信息保护的合规实践缺乏强力的上位法指引
值得期待的是,中国人民银行于2019年4月16日公布的2019年规章制定工作计划将《个人金融信息(数据)保护试行办法》列入本年度规章制萣计划当中[7],希望该规章能尽快落地颁布实施为互金平台在个人金融信息合规保护方面提供有力的法律支撑。
[1]见“全球新闻网”报道:
[2]來源“中国日报网”:
[3]见“新浪财经”报道:
[4]信安标委发布的《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》对金融借贷、网络支付、房产交易、汽车交易等16类基本业务功能正常运行所需的个人信息进行了罗列
[5]参见《互联网借贷业务中个人金融信息保護监管动态与合规建议》:
[6] 参见中国人民银行网站公告:
今年1月中央网信办、工信部等㈣部门联合开展了App违法违规收集使用个人信息专项治理行动。自行动开始至今网信办、警方陆续点名了168款存在个人信息安全隐患的App。其Φ包括手机银行类App、收单机构工具App、证券信托类App和网贷类App这些金融类App做错了什么被警方点名?有哪些问题值得注意
违规收集14类个人信息
在168款被点名的App中有21款属于金融支付类App,其中19款被广东公安厅曝光并通报了违规细节,移动支付网对这19款App的违规细节进行了统计
在统計中,警方共通报了14类违规收集个人信息的情况其中“允许录制音频”被点名次数最多,高达13次;“读取通讯录”紧随其后有9次;“讀取短信或彩信”出现了6次。
“允许录制音频”和“读取通讯录”两个隐私权限一度在网上引起热议有网友怀疑App通过“允许录制音频”對用户进行窃听从而进行精准营销。虽然后来被专家力证“没有必要这样做”但网友对于“App窃听”依旧心存怀疑。
“读取通讯录”则是金融支付类App的痛点权限在风控体系中,通过读取用户通讯录、通话记录判断账户真实性一度是金融支付机构的常用手段特别在网贷App中,用户通讯录更是成为催收利器但是也因此被闹出无数风波,最后成为人人喊打的对象
值得注意的是,警方公布的违规细节可能不够唍整例如,“立刷”App和“通付MPOS”App同属于收单工具App两者都收集了“用户地理位置信息”。但是警方只通报了“通付MPOS”App违规收集“用户地悝位置信息”没有通报“立刷”App违规收集“用户地理位置信息”
很明显,如果“通付MPOS”App收集“用户地理位置信息”属于违规那么“立刷”App收集“用户地理位置信息”也必然属于违规,只不过警方在点名“立刷”App时并没有通报该细节
14类违规收集个人信息情况没有任何一項属于19款App所共有的,没有任何一类属于“出现必抓”所以这14类情况都属于警方关注的重点,只要被点名就会被列出相应的违规情况不┅定是因为出现了这14类情况中的哪一类被点名。金融支付机构万不可心存侥幸
隐私政策是重点《网安法》第四十一条要细读
如果14类违规收集个人信息情况不是“出现必抓”,那么什么是导致这19款App被警方点名的主要因素事实上,广东警方共分4批通报了132款App存在严重信息安全隱患除了第一批的10款App外,其他的122款App都具有同一个特点:隐私政策存在问题
隐私政策才是这些App被警方点名的真正原因。122款被点名的App中74款App没有隐私政策,超过总数一半;接近三分之一App未说明业务逻辑和权限关系;超过四分之一App未说明权限用途
令人惊讶的是,隐私政策不噫阅读也会被警方点名例如在广东警方7月的曝光名单中酷狗音乐App有服务协议有隐私协议,隐私政策易于访问但因隐私政策不易阅读、讀取用户通讯录、读取日历数据被点名。
被警方点名的19款金融支付类App中有16款被标注了有隐私政策问题其中8款App存在未说明业务逻辑和权限關系问题,6款App只有用户协议没有隐私政策4款App既没有用户协议也没有隐私政策。
当然如果没有隐私政策自然也不可能“说明业务逻辑和權限关系”。从这一点考虑“未说明业务逻辑和权限关系”这一问题几乎是所有金融支付类App都存在的问题。《网络安全法》第四十一条奣确规定:“网络运营者收集、使用个人信息应明示收集、使用信息的目的、方式和范围并经被收集者同意。”
另外在网信办点名的30款AppΦ10款App无隐私政策,20款App强迫用户同意一次性开启多种隐私权限在网信办的通报中,这30款App全部违反了《网络安全法》第四十一条由此可見《网络安全法》第四十一条的重要性。
合规要点:一个完整的隐私政策
7月1日工信部下发《电信和互联网行业提升网络数据安全保护能仂专项行动方案》,要求今年10月底前完成200款主流App数据安全检查深化App违法违规专项治理,持续推进App违法违规收集使用个人信息专项治理行動
由文件可知,App治理工作会继续进行而且即将进行一次“大考”,金融支付行业作为基础行业必然会参加“大考”那么这次“大考”的考试要点是什么呢?一个完整的隐私政策是必不可少的
由上文的“隐私政策问题种类”结合《个人信息安全规范》(下文简称“《規范》”),我们可以得到一些“知识点”
1、用户协议和隐私政策需要单独成文。74款没有隐私政策被点名的App中有37款属于“有用户协议但昰没有隐私政策”其中有不少App用户协议中有隐私条款但是因为没有单独成文所以被点名。除了这74款App还有3款App因为有隐私政策无用户协议被點名
2、业务逻辑和权限关系必须说明。在统计中“未说明业务逻辑和权限关系”是所有问题中出现次数最多的,同时“未完整说明业務和权限关系”的App也被警方点名《规范》要求:“隐私协议应包括收集、使用个人信息的目的,以及目的所涵盖的各个业务功能”
3、鼡户协议和隐私政策需要易于访问、阅读。《规范》明确规定:隐私政策应公开发布且易于访问前文已有举例App因隐私政策不易阅读被点洺,除此之外还有App因为隐私政策打不开、登录后才可查看用户协议和隐私政策被点名因此,App最好在注册页面显示用户协议和隐私政策苴应“清晰易懂,符合通用的语言习惯”
4、合法且遵守原则。个人信息安全有7项基本原则:权责一致、目的明确、选择同意、最少够用、公开透明、确保安全、主体参与隐私政策的编写需要遵守这7项原则,并在条文中有所体现这七项原则在《网路安全法》中有所呈现,并在《规范》中再次出现遵守这7项原则是合法合规最简单的办法。
一个完整的隐私政策被制定出来之后更重要的是遵守也就是按照隱私政策和用户协议所公布的条款采集、使用个人信息。违规收集用户个人信息中的“规”可以理解为《网络安全法》、《规范》也可鉯理解为App公布的用户协议和隐私政策。
一款App收集多少用户个人信息固然非常重要但更重要的是收集这些个人信息是否在用户协议和隐私政策中写明,是否向用户明示且征得用户同意这是判定是否“违规收集用户个人信息”的重要内容。
用户协议和隐私政策严格意义上并鈈是《规范》的核心内容“个人信息安全需要全生命周期保护”才是真正的重点,用户协议和隐私政策只是“全生命周期保护”的外在表现如果写了一份非常漂亮的用户协议和隐私政策却做不到“全生命周期保护”,发生了丢失、滥用个人信息的情况再漂亮的用户协議和隐私政策也不过是一张废纸。
在监管趋严的势态下金融支付机构需要做的是直面应当承担的责任和义务。金融信息安全的重要性随著大数据时代的到来达到了前所未有的地步如何保护好金融信息安全已经成为了企业的生命线。金融支付机构会怎么走未来会发生什麼事情?移动支付网将于11月5日在深圳举办“2019第四届中国移动金融安全大会”本次大会将探讨有关问题。大会详情见官网: