本報記者 李冰
日前�,工業(yè)和信息化部發(fā)布了《關(guān)于侵害用戶(hù)權益行為的APP(SDK)通報》���,其中就包括金融類(lèi)APP��。
不過(guò)���,此前2月8日發(fā)布的2023年第1批通報中��,并未見(jiàn)金融類(lèi)APP遭點(diǎn)名����。
“從近幾年通報的情況來(lái)看�,涉及持牌金融機構旗下APP并不多��,但金融類(lèi)APP是用戶(hù)金融基礎服務(wù)和信息收集入口�,此次通報應引起相關(guān)涉事機構的重視�。”博通咨詢(xún)資深金融分析師王蓬博對《證券日報》記者表示�����。
需按規定進(jìn)行整改
根據通報�����,近期�����,工業(yè)和信息化部組織第三方檢測機構對群眾關(guān)注的生活服務(wù)��、休閑娛樂(lè )���、實(shí)用工具等移動(dòng)互聯(lián)網(wǎng)應用程序(APP)及第三方軟件開(kāi)發(fā)工具包(SDK)進(jìn)行檢查�,發(fā)現55款APP(SDK)存在侵害用戶(hù)權益行為����。綜合來(lái)看����,被通報的APP主要存在“APP強制���、頻繁�、過(guò)度索取權限”及“超范圍收集個(gè)人信息”等問(wèn)題��。
按照工信部要求�����,被通報APP應按有關(guān)規定進(jìn)行整改��,整改落實(shí)不到位的�����,將依法依規組織開(kāi)展相關(guān)處置工作�����。
從名單來(lái)看�����,其中某銀行機構APP應用被通報所涉及問(wèn)題為“APP強制���、頻繁���、過(guò)度索取權限”�。無(wú)獨有偶��,此次遭點(diǎn)名的還包括非銀機構APP�����,所涉問(wèn)題同樣是“APP存在強制���、頻繁��、過(guò)度索取權限”�。
根據此前工信部披露具體處置措施����,包括責令整改���、向社會(huì )公告���、組織APP下架�、停止APP接入服務(wù)�����,以及將受到行政處罰的違規主體納入電信業(yè)務(wù)經(jīng)營(yíng)不良名單或失信名單等手段�,對于問(wèn)題突出��、嚴重違法違規�����、拒不整改的APP主體�����,將從嚴處置���。
易觀(guān)分析金融行業(yè)高級咨詢(xún)顧問(wèn)蘇筱芮在接受《證券日報》記者采訪(fǎng)時(shí)表示���,上述通報能側面反映出目前金融類(lèi)APP仍存在一定問(wèn)題���,一方面����,部分機構對個(gè)人信息保護�、數據安全相關(guān)專(zhuān)業(yè)技術(shù)團隊建設存在不足����;另一方面��,部分機構在個(gè)人信息保護方面�,或存在對內容理解不透徹也將影響后續工作�。
應遵循最小化和非必要不收集原則
整體來(lái)看��,今年以來(lái)�����,工信部正持續加大對APP侵害用戶(hù)權益的監管力度����。例如����,2月28日���,工業(yè)和信息化部發(fā)布關(guān)于進(jìn)一步提升移動(dòng)互聯(lián)網(wǎng)應用服務(wù)能力的通知�;針對“3·15”晚會(huì )報道的部分破解版APP違法違規收集用戶(hù)個(gè)人信息問(wèn)題���,工信部3月16日發(fā)文表示��,立即組織核查�,并依據《個(gè)人信息保護法》《電信和互聯(lián)網(wǎng)用戶(hù)個(gè)人信息保護規定》等有關(guān)法律法規要求進(jìn)行嚴厲查處����。
結合2022年來(lái)看�,工信部不僅通報侵害用戶(hù)權益行為的APP����,也多次發(fā)布《關(guān)于A(yíng)PP侵害用戶(hù)權益整治“回頭看”發(fā)現問(wèn)題的通報》���。
“可以說(shuō)���,監管目前對APP侵害用戶(hù)權益的整治工作非常‘細膩’并體現了APP監管監測合規工作的連續性及‘零容忍’的態(tài)度�。”蘇筱芮稱(chēng)�,此次金融類(lèi)APP在違規通報中占比并不是很大��,但近些年金融類(lèi)APP違規收集個(gè)人信息等問(wèn)題依然存在����。
中國銀行法學(xué)研究會(huì )理事肖颯告訴《證券日報》記者��,“在《中華人民共和國個(gè)人信息保護法》實(shí)施后�,APP運營(yíng)者需要仔細評估每一項信息與權限獲取的必要性����,如果沒(méi)有必要則不用獲取�����,應遵循最小化和非必要不收集的原則���。尤其需要關(guān)注一些敏感個(gè)人信息的處理�����,比如面部信息�����、身份證號�、金融賬戶(hù)等�����,這些信息的收集需要獲取用戶(hù)的單獨同意�。”
蘇筱芮表示���,個(gè)人信息保護的工作完善流程并非一蹴而就��,各金融機構及其合作伙伴應該從數據的采集���、存儲�、加工�����、傳輸���、披露等環(huán)節規范用戶(hù)個(gè)人信息管理���,通過(guò)制度及流程的梳理加強內部管控���,遵循“用戶(hù)授權�、最小夠用���、專(zhuān)事專(zhuān)用��、全程防護”原則���,對于其中的不規范信息管理行為及時(shí)糾偏�。
(編輯 孫倩)
京公網(wǎng)安備 11010202007567號京ICP備17054264號
