银行业APP个人信息保护合规性研究与探索 焦点快看

文 / 北京银行信息科技部  乔伊纳

(资料图)

北京国家金融科技认证中心  李振

移动互联网发展下，APP成为人们经济生活重要部分，对于服务民生、促进社会经济发展具有重要作用。数据经济时代中，消费者每天产生海量数据，对银行业来说等同于“金矿”，能够挖掘有价值客户信息，却也衍生出个人信息保护问题。工业和信息化部、市场监督总局、中央网信办、公安部等于2019年联合颁布《关于开展APP违法违规收集使用个人信息专项治理的公告》，组建专项工作组，落实APP违规收集用户信息治理行动，对个人信息保护加强监管。中国人民银行于2020年颁布《中国人民银行关于发布金融行业标准做好个人金融信息保护技术管理工作的通知》，要求落实个人金融信息保护，维护用户合法权益。

APP个人信息采集规定

APP功能不同，采集用户数据存在较大差异，例如，小额贷APP个人信息采集相比购物APP更为敏感。近几年，关于采集个人信息范围，保护个人信息法律法规具有明确规定。

2017年6月实施《网络安全法》第41条规定中，网络运营者使用、收集个人信息，必须遵循正当、合法、必要原则，实现公开收集与使用，明确信息收集与使用的方式、目的与范围，得到被收集用户的同意。运营者不能收集无关软件服务的个人信息，也不能违反行政法规、法律规定及双方约定使用与收集个人信息，必须根据行政、法律规定和用户约定，对保存个人信息依法处理。2018年实施《信息安全技术个人信息安全规范》（简称《安全规范》），明确示例和说明个人信息，以信息自身特殊性进行自然人识别，或是消费者活动中生成关联信息，此类信息属于个人信息。规定APP处理个人信息时，也要遵循正当、合法、必要原则，采集信息需清晰明确，获得用户授权同意，收集个人信息类型、数量与频率需处于必要性最小要求中，使得收集信息够用即可。特别是银行业个人信息，由于数据较为敏感，备受人们关注，我国2020年2月颁布《个人金融信息保护技术规范》（简称《技术规范》），按照个人信息泄露危害程度、敏感度程度，将其从低至高划分3个类别，即C1、C2、C3。并且，规定金融个人信息在传输、收集、使用、存储、销毁与删除等各个环节，需做好安全防护工作，从安全管理、安全技术两方面出发，对保护个人金融信息做出规范性要求。

网信办、公安部、市场监管总局与工信部于2019年颁布《APP违法违规收集使用个人信息行为认定方法》，概括违法收集个人信息是：未能将使用、收集规则公开；未能明示个人信息使用收集目的、范围及方式；未能经过用户同意对个人信息进行收集使用；未能经过用户同意擅自为他人提供信息；违反必要原则，收集无关于服务的信息；未能按照法律规定提供更正、删除个人信息功能，或是未能公布举报、投诉等信息行为，为监管执法提供参考。除此之外，全国信息安全标准化技术委员会修订《个人信息安全规范》，制定《移动互联网应用程序收集个人信息基本规范》，确定收集信息时，APP应当符合基本要求，根据基本业务功能，收集必要性信息。可见，银行业APP对个人敏感信息过度采集有法可依，为解决过度采集信息问题，必须加大执法力度，协调各方资源，确保个人信息保护法能够落地，增强消费者维权与自我保护意识。

银行业APP个人信息保护困境

1.信息收集与保护冲突

国家网络安全通报中心于2019年公布“100款违法违规采集个人信息的APP被查出责令整改”，各大银行也赫然在列，包括天津农商银行、天津银行、光大银行。银行业采集个人信息时，自2013年起经过本人同意方能实施，APP采集信息中，却存在过度采集情况，主要是由于采集信息法律停留于禁止、原则条款方面，未能规定事后惩戒操作。并且，APP收集信息隐私政策/协议告知后，个人信息主体通常不阅读条款，即便阅读也难以完全理解法律风险，信息存在不对称问题，导致个人信息无意识下无法控制自身信息。更遑论金融服务日新月异，机构自身也难以限定收集信息目的，也无法静态约定收集信息范围。

2.信息处理与保护矛盾

我国诸多银行成立金融科技公司，代表银行采取防御态度面对第三方合作引发的信息保护、科技以来等问题，减少信息流通环节，可加大保护个人信息力度。但也存在银行合规问题，银行经过个人许可获得信息后，是否能够共享集团内部其他公司，尽管银行业下设科技公司，却也不是完全服务银行，还会进行科技输出，允许银行和内部公司信息共享，会侵犯用户隐私权益。而实践过程中，银行收集个人信息中，会采取“本公司根据客户授权获得信息服务于客户，将个人信息和集团成员进行交换”等表述方法，获得个体“概括授意”，违背了明示收集、使用信息方式及范围的规定。还有部分银行选择与第三方机构合作，为其提供用户个人信息，却无法了解信息是否超出合作需求，也无法了解第三方后续处理信息过程，可能出现信息泄露情况。

3.信息泄露风险防控匮乏

银行业APP数据库汇集海量市场数据、客户交易数据，属于机构核心竞争资产，尤其是个人识别特征信息，难以变更，具有唯一性，极易被复制，泄露后难以挽回，对个人隐私财产造成严重危害。银行机构对此却缺乏重视，一方面在于从业者监管不足，岱山农商银行于2020年4月违规泄露客户信息，被处以30万元人民币罚款，主要责任人禁止从事银行业3年。还有个别人员身为金融机构人员，为用户提供服务中，却将公民信息向他人出售。另一方面，APP网络防御不足，信息作为金融科技中银行的重要资产，面对科技迅猛发展，安全问题也愈发突出，数据泄露、破坏事件频发，严重程度逐渐增大，必须做好网络防范工作。顺丰公司2019年泄露3亿个人信息，成为国内第二大泄露信息事件；美国2019年People Deta Labs数据公司泄露4TB信息，涉及12亿人。

银行业APP个人信息保护实践建议

1.信息收集实施区别监管

在《技术规范》中，为保护个人信息，做好监管工作将被保护信息进行分类，敏感度从低至高划分C1、C2、C3这3个级别，需注意信息类别标准不是固定不变，主要是信息使用、收集与转移中，经过累计诸多低敏感信息可能形成高敏感信息，对于不同场景下的相同信息，需要动态化、区别化处理。而《安全规范》对敏感个人信息无严格要求，仅于附录B中，基于滥用、非法提供、泄露标准判断敏感信息，未能提出监管要求。

因此，在收集信息中，《技术规范》限制无授权资质可杜绝非法机构收集敏感信息，要求以“弹窗”方式引导个人查阅隐私政策，停止使用服务与产品后，则必须停止收集信息活动，整体收集信息过程，银行需保持可追溯性。例如，中国银行及工商银行，在面对用户录屏输入密码时，会强制性弹窗提示用户。并且，在转让、共享与传输信息中，银行还要校验信息传输完整性，对于APP个人金融信息转让与贡献流程必须做好严格审核工作。

而《安全规范》作为安全保护策略，侧重于收集信息的合法性、原则、授权同意、必要性的范围和年龄限制、授权同意例外、保护政策格式等。需注意《安全规范》的“最小必要”原则，将2017版“与金融活动无关信息”改变成“满足收集目的收集最少个人信息”，附录C中细致扩大监管范围，以免企业非法操作。因此，银行业机构必须根据《安全规范》与《技术规范》规定，制定信息披露条款、信息收集授权书等文件，以明示、公开方式获得用户书面同意，对照标准规定，执行分级分类。间接收集信息，银行机构承担查询、保证“来源正当”责任，确保信息提供方授权和信息相匹配，不能以书面合同方式，推卸审查信息义务，确保银行业机构能够做好采集、使用个人信息第一站工作。

2.信息处理审查信息委托方

（1）遵循“收集目的”要求。在《技术规范》中，委托处理信息主体限定第三方机构，银行却也可以和集体内部科技公司合作。因此，可参考委托第三方机构减少合规风险，按照《网络安全法》第42条规定，不会识别、经过处理的特定个人、无法被复原信息，集团内部允许共享。个人信息主体后续如果需要科技公司服务，可通过“告知-同意”流程进行授权。用户接受银行与内部公司共享信息，共享范围却仅限于采集信息初始目的，禁止用于其他不相关目的。金融市场由于不断扩展，用户信息量巨大，范围较为广泛，深度挖掘信息能够可形成个人数据画像，便于银行业机构实施精准营销，提高用户黏性，却也增加了用户泄露信息风险，必须对集团内部共享信息收集目的加以限制，维护用户隐私。

（2）第三方机构遵守标准。科技不断发展下，银行开发APP不可避免会和科技公司合作，即便自身科技水平满足开发APP需求，却也会将业务外包，减少经营成本。所以，在APP个人信息保护中，银行和第三方机构必须遵守相应标准。《数据安全管理办法》中，第30条规定网络运营者需监督、督促第三方，造成用户损失自身需遵循无过错规则，承担相应责任；《安全规范》中，面对处理信息委托方也提出要求，个人信息控制者需遵循国家标准规范，保证数据安全，落实安全技术管理，以免个人信息丢失、损毁、泄露和篡改；《技术规范》规定，需鉴别用户敏感信息，不能委托第三方机构处理，委托前应评估第三方数据安全能力，对信息脱敏处理，信息委托完成后，还要接通第三方自动化工具，检测其使用信息行为，发现超出约定操作，立即将信息切断，以免被滥用或泄露。银行机构选择服务前，应调查第三方能力、信用，确保金融信息安全下，和第三方签订保密协议，或是服务协议约定保密条款，设置信息共享“隔离带”。例如，江阴农商银行企业APP中，科蓝手机银行产品SDK为用户提供基础手机银行功能，访问手机网络、振动器、唯一标志信息等；飞天诚信蓝牙盾SDK为用户提供数字签名服务，需要蓝牙连接权限、用户词典写入权限、位置权限等；云从人脸识别SDK提供人脸认证服务，需要摄像头、网络及访问文件权限等，均将其公示至用户隐私政策中，保证出现问题后，能够及时追究第三方责任。关注第三方及业界动态，了解评估其服务与产品后引入，避免外包人员与银行用户信息直接接触，保证信息安全性。

（3）防控信息泄露风险。银行机构需加强个人信息风险管理，日常活动与流程中采取多样化方式进行风险控制。具体如下：一是身份认证和访问控制。涉及用户个人信息的岗位需明确其安全职责，提供不同角色认证身份机制，严格访问控制与身份认证，遵循“最小权限、知所必须、职责分离”原则，制定访问控制方式和用户授权机制，禁止非授权访问删除或篡改。

二是个人信息外部保护。对个人信息情报实时监控，将最新事件、情报、进展、国家机关要求的保护个人信息等通知做好落实工作，加强外部预警，可实施技术方式提高信息防护能力。异常流量检测、SQL注入检测、撞库脱库恶意攻击检测等，做好外部攻击行为的识别与防控工作。

三是个人信息内部管理。在业务层面，无论是手机银行、网银等渠道，还是自助终端、柜面、征信等渠道，均需梳理可能泄露个人信息路径，排查业务场景是否存在保护个人信息风险情况，对业务流程加以改进，减少风险。还要引进先进科技，识别、评估系统在收集传输个人信息中的风险，做好信息加密工作，提高保护个人信息能力。

四是日志记录和审计。APP需要做好日志记录，确保发生信息泄露事件后，能够直接追溯各个环节，规范周期数据管理，保证数据可恢复性、有效性与完整性。此外，银行还要将个人信息纳入安全审计中，完善相爱难改观政策流程与规范，保证符合监管及法律法规要求。

APP个人隐私保护未来发展方向

当今社会下，互联网已经成为未来发展大趋势，可预料APP在未来人们生活、工作中的作用。信息时代中，没有人能够脱离对互联网的以来，为保证个人信息安全，维护用户隐私，应明确知道谁能保护。

1.国家组织机构保护

信息时代下，网络安全最有力方式是国家组织机关以国家强制力加强日常APP信息安全管理，国家需对个人因素安全的法律法规不断完善，构建全面的个人隐私保护体系，将日常APP监管落到实处，将其作用发挥出来，保证管理执法严格性，对泄露用户隐私、违法乱纪影响用户信息安全行为严厉处罚，保证个人隐私保护中做到有法可依，用户遭受损害也能获得相应经济补偿。

2.用户自身自我保护

APP用户自我保护是避免泄露个人信息、保证信息安全的第一道防线，用户应当主动采取信息安全保护措施，登录APP时提高警惕性，定期杀毒防护，更换个人隐私密码，遇到过度收集信息APP，及时上报至网信办举报中心。法律作为最后一道防线，存在不可干涉与滞后性，用户也要做好自我网络安全保护，降低风险。

3.互联网开发者保护

APP开发者应当增强自身素质技能，对软件系统升级换代，更新技术用于计算机系统，增强软件抵抗网络病毒能力。

综上所述，APP作为移动端重要银行服务形式，已经成为人们生活中趁手的工具，使用APP开展金融交易，获得金融服务与产品时，却也被APP记录个人数据，必须做好个人信息保护工作，以免泄露用户隐私，对其人身财产安全造成危害。因此，银行业APP使用中，可结合实际情况，通过实施区别监管、审查信息委托方、加强风险防控的方式，以客户为主，遵循个人信息保护标准，从而做好个人信息保护工作。

参考资料

[1]刘新海：《数字经济下个人信息保护的挑战和应对——以App违法违规搜集个人信息治理为例》，见《中国信用》，2020

[2]赵语辰：《个人信息保护法》出台后商业银行完善个人客户信息保护体系的措施与建议，载《现代金融导刊》，2021(12)

[3]何重达、尹训东、李阳:《来自中国境外贷款的实证研究》，载《中央财经大学学报》，2019

标签： 个人信息 收集信息 技术规范