【捷信金融APP】多款金融类APP被通报 -隐私不合规-顽疾因何难治

　　天津农商银行APP和捷信金融APP由于存在隐私不合规行为，日前被国家计算机病毒应急处理中心点名。强制收集非必要个人信息，隐私政策内容不完整，强制、频繁、过度索取权限……近年来，金融机构旗下APP因隐私合规问题广受诟病。

　　业内人士认为，金融领域对数据具有很强的依赖性，手机APP已成为金融机构针对个人和企业客户展业的重要载体。由于缺乏有效监管和法规约束，和客户往往难以完全理解其中的法律风险等原因，隐私不合规问题成为金融业“顽疾”。对此，监管职能部门正出台相关办法，引导金融机构加强个人信息保护，明确数据治理界限。

　　两款金融APP被点名

　　近期，国家计算机病毒应急处理中心通过互联网监测发现，14款移动APP存在隐私不合规行为，其中包含捷信金融APP和天津农商银行APP。

　　捷信金融APP被通报的起因是，个人信息处理者处理不满十四周岁未成年人个人信息的，未制定专门的个人信息处理规则，涉嫌隐私不合规。

　　天津农商银行APP被通报的原因有两点：一是隐私政策未逐一列出收集使用个人信息的目的、方式、范围等，涉嫌隐私不合规；二是频繁自启动和关联启动。

　　天津农商银行回应称，该事件主要因素，一是对客隐私协议中部分条款文字表述不够明确；二是为实时监测客户网络状态，进行弱网环境提示，保持服务流畅，该行远程视频银行控件后台运行时，会持续进行网络状态的获取。

　　“在国家计算机病毒应急处理中心指导下，已修订完善了用户隐私条款并更新，对手机银行客户端程序进行了优化，相关问题已整改。”天津农商行公告称。

　　另外，记者了解到，捷信消金于3月25日更新了捷信金融APP隐私政策。

　　问题由来已久

　　近年来包含 交通银行 、浙江泰隆商业银行、 重庆银行 、吉林银行、山西银行、晋商银行等许多家银行APP因存在隐私不合规问题，侵害用户权益行为被通报。

　　例如，2023年， 交通银行 买单吧APP由于强制收集非必要个人信息、隐私政策内容不完整、超范围收集个人信息等原因被上海网信办通报；浙江泰隆商业银行泰惠收APP因违规收集个人信息和APP强制、频繁、过度索取权限被工信部通报。

　　“这反映出银行等金融机构在通过手机银行APP收集客户个人信息时，存在对个人明确告知工作不到位，违规使用个人信息，并且存在信息收集过多，没有有效做好信息保护等诸多问题。” 邮储银行 研究员娄飞鹏对记者说。

　　在娄飞鹏看来，金融机构在提供金融服务时，对个人信息保护的重要性认识有待提升；在充分利用个人信息和做好信息保护方面，需要有更多的技术支援。

　　业内人士对记者说，手机APP已成为金融机构针对个人和企业客户展业的重要载体。搜集个人信息，利用 大数据 技术分析客户的使用习惯、金融需求等，往往能更为精准地开展客户服务、营销推送等。

　　谈及金融类APP个人信息保护困境，某银行信息科技部人士表示：“尽管银行收集个人信息时，需经过客户我同意方能实施。但实际操作中存在过度收集情况，主要是相关法律大多是原则性规定，对于数据治理的界限尚不明确。并且，APP收集信息隐私政策/协议告知后，个人信息主体通常不阅读条款，即便阅读也难以完全理解法律风险，存在信息不同步等诸多问题。”

　　加强法律法规可操作性

　　“我们身处 大数据 时代。”在招联首席研究员董希淼看来，金融领域对数据具有很强的依赖性，保障 数据安全 ，引导数据向善，是务必要面对的重要课题。

　　“应将所有涉金融APP并入备案管理范围，实现全覆盖市场治理。”针对金融类APP存在隐私不合规行为，在北京德和衡律师事务所联席执行主任裴虹博看来，应加强相关法律法规的可操作性，从顶层制度方面对银行机构的 数据安全 工作提出更为明确和细致要求，引导金融机构充分重视 数据安全 工作，从制度规范角度，将合规主线贯穿在业务的前中后全流程中。

　　另外，裴虹博认为，可建立用户投诉渠道，及时处理用户隐私相关问题，并建立监督机制监测APP的合规情况；向用户公开APP收集、使用和保护个人信息的形式和目的，及时通知用户任何与其隐私相关的变更；邀约第叁方机构对APP的隐私保障措施进行审计，确保符合相关法规要求。

　　金融监管总局日前就《银行保险机构 数据安全 管理办法》征求建议，拟规定健全 数据安全 技术保护体系。要求银行保险机构建立针对 大数据 、 云计算 、手机端、 物联网 等多元异构环境下的 数据安全 技术保护体系，建立 数据安全 技术架构，明确数据保护策略方法，采取技术手段保障 数据安全 。

　　《办法》拟要求银行保险机构在处理个人信息时，应根据“明确告知、授权同意”的准则实施，并履行必要的告知义务；收集个人信息应限于实现金融业务处理目的的最小范围，不得过度收集；共享和对外提供个人信息时，应取得个人同意。

　　娄飞鹏对记者表示，这有助于让个人用户明确银行收集的信息范围，让银行根据经营管理或业务发展需要合理收集信息，防止银行过度收集或过度使用个人信息，提高数据信息的使用效率，也有助于更好保障个人信息安全。

　　在董希淼看来，金融机构应从三方面加以努力：高度重视客户信息保护，建立个人信息数据库分级授权管理制度，强化个人金融信息安全保护的宣传教育。