移动金融App治理渐入深水区,继备案有序开展后,如今再进一步推进违规案例展示。7月25日,中国互联网金融协会(以下简称“互金协会”)官方微信公布移动金融客户端应用软件违规案例,提到某移动金融App在结束进程后,仍存在接收系统广播频繁自启动行为,同时隐私政策中未向用户明示应用需要自启动或关联启动的场景、目的、规则及必要性,且无正确的使用场景。
对违规行为加以警示
对移动金融App治理,互金协会再出新招,这一次是违规案例展示。根据披露的典型案例来看,主要是该App频繁自启动和关联启动,从问题根源来看,是因该移动金融App集成了推送SDK,但对SDK的自启动机制了解不深入,未进行合理配置造成推送SDK接收系统广播后进行自启动操作。
针对违规行为,互金协会也给出了合规建议。其指出,金融机构应充分了解当前App隐私保护检查要求,对于自启动,需要在向用户告知且获取同意后,在正确的场景下开展。规范的自启动行为可参考团体标准《安卓系统移动智能终端应用后台启动行为规范》(T/TAF 146—2023)。另外,对于App引入的第叁方SDK,应充分评估其是否存在自启动功能,并严格参照第叁方SDK服务商提供的合规指南进行集成。
而这已经是互金协会披露的第叁期案例。此前不久,协会曾披露两期关于移动金融App强制、频繁、过度索取权限的违规行为,例如,一个涉及位置权限获取,某移动金融App在用户同意“位置”权限申请告知后拒绝权限申请,重新运行时,仍向用户弹窗申请该权限,且该权限与当前服务场景无关。
另外一个则涉及相册权限,某移动金融App用户使用上传头像功能时,务必先同意相机访问权限和文件读取/存储访问权限,再选择“拍照”或“从相册选择”。
这些行为均涉及到“违反有关规定中的必要原则,系收集与其提供的服务无关的个人信息”。
在素喜智研顶级研究员苏筱芮看来,互金协会公布移动金融客户端应用软件违规案例,对于警示机构与提升金融消费者隐私保护意识两方面均有重要意义。对于机构层面而言,能够通过具体案例的细节来进行对标,从而完善移动金融App的流程整改;而对金融消费者而言,也能够通过案例的学习来了解机构违规表现,学到“科普”内容,并有助于在后续App使用中发现问题。
对于违规案例展示,联储证券院长助理、研究员沈夏宜同样谈及了三个层面,一方面,有益于提高金融机构对自身互联网产品的注意水平。通过违规案例的公布,可对存在违规行为的金融机构加以警示,并对其它金融机构作出提醒,在互联网金融发展进程中需要严守控制技术风险的底线。
另一方面,也方便各机构“查漏补缺”。通过指出当前行业发展的普遍问题和风险点,有助于各家金融机构从违规案例的视角动身,对照自身的移动金融App发展,寻找是否存在类似问题,对后续开发做到未雨绸缪。
另外,也对用户起到一定的抚慰作用。沈夏宜称,移动金融App对于大多数用户而言都是其需要握紧的“钱袋子”,而类似于自启动和关联启动等行为会加深用户对行业发展的不信任,互金协会对案例的公布在一定水平上也能减轻用户的担忧。
缘何违规收集频发
甭管是此前有序推进的App备案,还是近期新披露的违规案例,在业内看来,都能够增进移动金融App治理向纵深方向发展,提升移动金融App治理工作的整体质量。
值得注意的是,当前移动金融App违规收集和滥用个人信息的问题频发,是治理的重中之重。
沈夏宜告诉北京商报记者,除了互金协会已经公布的案例外,当前移动金融App可能还存在私自收集和滥用消费者指纹、人脸等 生物识别 信息并用于分析的问题;同时还有不正当应用 大数据 及 人工智能 算法,利用用户信息进行“ 大数据 杀熟”的问题;和未经用户同意将用户的个人信息共享给第叁方,用于广告投放或其它商业目的的问题;在收集用户信息前未向用户明示其隐私政策的问题等。
此言非虚。北京商报记者在多个移动金融App中亲测发现,有很多涉金融类互联网平台,导流的一些助贷公司或小贷机构,在收集用户个人信息方面,勾选方式就存在概括授权、捆绑授权等情况,一键授权多家机构的模式并很多见,侵害了消费者的个人信息安全权。
为何移动金融App违规问题频发?沈夏宜进一步指出,根源或主要有两个方面,一是在技术层面上没有严格遵循“权限最小化”原则,二是在企业伦理层面上利用技术进行不正当逐利。
例如,从技术层面来讲,移动金融App出现数据泄漏、技术滥用,主要是因为App在开发进程中没有遵循权限最小化原则。在开发进程中,应当注意仅收集和使用与其功能直接相关的信息,避免过度权限请求。该类技术问题需要行业协会的统一引导和监管,制定行业标准,鼓励企业自查自纠。
除了技术问题,某些企业为了追求商业利益最大化,忽略了用户的隐私权,不正当地获取商业机会和收益。这种不正当逐利的表现则需要监管和法律的进一步约束。沈夏宜认为,本次互金协会公布移动金融客户端应用软件违规案例的意义就在于引导行业形成共识和落实监管要求,力图从本质解决移动金融App的违规问题。
持续优化标准和要求
北京商报记者了解到,后续,互金协会还将定期发布违规案例展示,以进一步强化移动金融App的安全与规范。
针对后续整治,苏筱芮提到,6月底,有市场消息称各大应用商店收到指令,须对小贷全面清理排查,瞄准入资质存在瑕疵的贷款App下架,另结合7月11日互金协会对外发布的倡议内容来看,后续建议将移动金融App治理、协会App备案与应用市场整顿工作挂钩,对于合规性低下、未实施备案的机构,督促各大应用市场进行下架处理,避免通过公开渠道侵害金融消费者权益。
沈夏宜进一步指出,后续移动金融App治理,可从多个层面推进。健全法律法规体系上,一方面持续完善相关法律法规。根据行业发展动态,持续优化App在开发、运营、信息安全等方面的标准和要求。加强对用户隐私保护的法律规定,严厉责罚侵犯用户隐私的表现,防止出现法律空白区。另一方面明确责任界定,进一步明确金融App开发者、运营者、使用者各方法律责任,确保一旦发生问题,可以清晰追溯到责任主体。
另外是加大行政监管力度。一方面推动行业自律组织施展更大作用。加强自律组织在App备案、风险监测、投诉处理等方面的工作力度,引导金融App安全合规可持续发展。另一方面提高对违规行为的处罚力度。提高经济处罚标准,增加犯罪成本,并加快司法程序,提高处理违规案件的效率。
另外还要推动社会监督。一方面提升用户维护权益意识。加强相关金融知识普及和用户教育,增强用户的自我保护意识和维护权益能力。另一方面鼓励社会各界参与监督。沈夏宜认为,可强化媒体透露和舆论监督,鼓励媒体、行业协会、学术机构等社会各界参与金融App的监督,逐步发生多元化的监督体系。