类金融App专项整治建议
发布时间:2021-05-17 08:53:05 作者: 来源:中国银行保险报网
□顾雷
尽管我国针对金融类App出台了多项规定,但随着获客、运营、风险成本的水涨船高,仍有不少类金融借贷App在收集个人信息时并未遵循最少够用原则,存在违规收集使用个人信息、强制读取通讯录等情况,甚至部分互金平台、借款人、催收公司、类金融媒体、流量方在利益驱动下,滋生内外勾结骗贷、恶意逃废债、暴力催收、敲诈勒索及黑市交易等金融乱象。
中国通信网络研究所发布的《金融行业移动App安全性观测汇报》显示:截至2020年12月31日,在232个安卓应用市场中收录的超13万款App中发觉,互金平台App均存有高危性行为漏洞,诸如偷取客户个人信息数据、嵌入恶意软件、泄露个人隐私信息等,存在造成App数据泄漏的巨大风险性。从App归类角度来看,金融机构也存在一定潜在风险,互联网技术第三方支付、商业保险、理财投资等App高危性行为漏洞问题相对比较严重。为此,全国各地通信管理局按工信部App整治行动部署和要求,积极开展手机应用软件监督检查。工信部在2021年4月23日向社会通报的93家存在侵害用户权益行为App企业经第三方检测机构核查复检,尚有39款App未按照工信部要求完成整改。5月13日,工信部又公布了《关于下架侵害用户权益App名单的通报》,其中涉及天涯社区、大麦、途牛旅游、VIP陪练、脉脉5家企业在App不同版本中反复出现违规收集客户信息、超范围收集客户信息、强制索取客户权限、欺骗误导用户下载App等问题。为此,工信部依法暂停其违规行为,予以直接下架处理。当然,浙江、安徽、四川、广东、内蒙古通信管理局检查发现共有46款App仍未完成整改,有关部门正在清理之中。
从全国市场监管实践看,目前已累计完成29万款App技术检测,对1862款违规App提出整改要求,公开通报319款App整改不到位,组织下架了107款拒不整改的App。其中,App违法违规收集使用个人信息大致可以分为三大类:一是收集个人信息的不规范,基本上是违规收集客户个人信息,诸如以欺骗方式误导消费者下载App、私自共享给第三方用户信息、超范围收集客户个人信息、应用分发平台上App信息明示不到位等。二是隐私政策的不合理,侵犯金融消费者隐私权,诸如模糊告知收集信息导致用户无法充分享有知情权、强制金融消费者使用定向推送功能、App频繁、过度索取权限等。三是金融消费者不能注销账户导致主体权利无法兑现,例如人为设置用户账号注销障碍、拒绝删除个人信息、无法享有电子数据被遗忘权等问题。
为了更好地预防和杜绝类金融App的违规行为,金融监管机构要从完善监管制度、制定标准规范、提升技术手段、推进行业自律等方面改进类金融App个人信息保护,从立法和监管层面破解数据安全之困,防止类似侵权行为再次发生。
首先,对于类金融App开发者、运营者,监管机构必须有针对性地开展产品设计环节的禁止性规定,规范个人信息收集和使用规则,严格落实信息安全管理责任,遵循数据获取的最小化、必要性原则,保证正确使用数据,减少道德风险,提升金融服务精准性、可得性和普惠性,做好数据治理、强化信息保护工作,维护市场秩序和保护金融消费者合法权益。
其次,监管机构对社交平台及云服务企业等网络平台运营者,诸如应用商店、网盘、论坛贴吧,强化主体责任,从严掌握App及其发布信息的真实性、合法性、安全性审核,建立信用管理制度,从源头堵住违规收集使用个人信息苗头。对此,可以利用区块链技术进行个人数据安全审核,通过用户自主控制个人数据的授权,减少App重复采集和过度采集个人数据的成本和风险,保护金融消费者作为个人数据主体合法权益,促进个人数据合规流动。
再次,监管机构还必须审核应用程序提供者发布的金融消费者信息,只能发布合法信息内容,不能发布与道德、伦理和社会习俗相违背的信息,遵循发布合法程序,重视《中华人民共和国网络安全法》及其配套法规构建的系统性网络安全和数据保护义务,落实网络安全等级保护制度、网络传播管理机制、个人信息和重要数据保护、网络产品和服务提供者网络安全义务,全面建立和落实App信息安全实名备案和审核机制。
最后,依据《中华人民共和国民法典》《App个人信息保护管理暂行规定》《App用户权益保护测评规范》《App收集使用个人信息最小必要评估规范》以及相关监管法规政策,加大打击力度,在前期App专项整治基础上,聚焦工具类、通信类App,加大对欺骗诱导用户下载、弹窗信息难以关闭、违规共享使用个人信息和利用第三方嵌入式软件损害金融消费者权益问题的整治力度,不仅是经济处罚先行,更要有刑事处罚作为后盾,尤其对侵犯金融消费者隐私权、风险数据泄露等安全问题开展刑事处罚,倒逼开发主体加快升级安全防护技术。
针对个人信息侵权保护问题,早在2020年4月26日,工信部会同公安部、国家市场监管总局起草了《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》,向社会公开征求意见,但由于种种原因,该暂行规定一直没有落地。笔者建议有关部门应尽快总结,整理社会各界反馈意见,早日成文公布于众。当然,App个人信息安全涉及多个主体,需要政府监管部门、金融机构、App企业、应用企业(商店)、SDK企业、行业组织、研究机构共同努力,形成个人信息保护合力,绝不是某一个部门就可以解决所有问题的。监管部门在出台App政策时要平衡各方关切,切忌一刀切,各部门之间应建立协调机制,联合监控和处置破坏网络正常运行的行为,形成综合治理的良好生态,协同一致,这是应对App违法行为必须注意的一个重要问题。
(作者单位:中国人民大学中国普惠金融研究院)
□顾雷
尽管我国针对金融类App出台了多项规定,但随着获客、运营、风险成本的水涨船高,仍有不少类金融借贷App在收集个人信息时并未遵循最少够用原则,存在违规收集使用个人信息、强制读取通讯录等情况,甚至部分互金平台、借款人、催收公司、类金融媒体、流量方在利益驱动下,滋生内外勾结骗贷、恶意逃废债、暴力催收、敲诈勒索及黑市交易等金融乱象。
中国通信网络研究所发布的《金融行业移动App安全性观测汇报》显示:截至2020年12月31日,在232个安卓应用市场中收录的超13万款App中发觉,互金平台App均存有高危性行为漏洞,诸如偷取客户个人信息数据、嵌入恶意软件、泄露个人隐私信息等,存在造成App数据泄漏的巨大风险性。从App归类角度来看,金融机构也存在一定潜在风险,互联网技术第三方支付、商业保险、理财投资等App高危性行为漏洞问题相对比较严重。为此,全国各地通信管理局按工信部App整治行动部署和要求,积极开展手机应用软件监督检查。工信部在2021年4月23日向社会通报的93家存在侵害用户权益行为App企业经第三方检测机构核查复检,尚有39款App未按照工信部要求完成整改。5月13日,工信部又公布了《关于下架侵害用户权益App名单的通报》,其中涉及天涯社区、大麦、途牛旅游、VIP陪练、脉脉5家企业在App不同版本中反复出现违规收集客户信息、超范围收集客户信息、强制索取客户权限、欺骗误导用户下载App等问题。为此,工信部依法暂停其违规行为,予以直接下架处理。当然,浙江、安徽、四川、广东、内蒙古通信管理局检查发现共有46款App仍未完成整改,有关部门正在清理之中。
从全国市场监管实践看,目前已累计完成29万款App技术检测,对1862款违规App提出整改要求,公开通报319款App整改不到位,组织下架了107款拒不整改的App。其中,App违法违规收集使用个人信息大致可以分为三大类:一是收集个人信息的不规范,基本上是违规收集客户个人信息,诸如以欺骗方式误导消费者下载App、私自共享给第三方用户信息、超范围收集客户个人信息、应用分发平台上App信息明示不到位等。二是隐私政策的不合理,侵犯金融消费者隐私权,诸如模糊告知收集信息导致用户无法充分享有知情权、强制金融消费者使用定向推送功能、App频繁、过度索取权限等。三是金融消费者不能注销账户导致主体权利无法兑现,例如人为设置用户账号注销障碍、拒绝删除个人信息、无法享有电子数据被遗忘权等问题。
为了更好地预防和杜绝类金融App的违规行为,金融监管机构要从完善监管制度、制定标准规范、提升技术手段、推进行业自律等方面改进类金融App个人信息保护,从立法和监管层面破解数据安全之困,防止类似侵权行为再次发生。
首先,对于类金融App开发者、运营者,监管机构必须有针对性地开展产品设计环节的禁止性规定,规范个人信息收集和使用规则,严格落实信息安全管理责任,遵循数据获取的最小化、必要性原则,保证正确使用数据,减少道德风险,提升金融服务精准性、可得性和普惠性,做好数据治理、强化信息保护工作,维护市场秩序和保护金融消费者合法权益。
其次,监管机构对社交平台及云服务企业等网络平台运营者,诸如应用商店、网盘、论坛贴吧,强化主体责任,从严掌握App及其发布信息的真实性、合法性、安全性审核,建立信用管理制度,从源头堵住违规收集使用个人信息苗头。对此,可以利用区块链技术进行个人数据安全审核,通过用户自主控制个人数据的授权,减少App重复采集和过度采集个人数据的成本和风险,保护金融消费者作为个人数据主体合法权益,促进个人数据合规流动。
再次,监管机构还必须审核应用程序提供者发布的金融消费者信息,只能发布合法信息内容,不能发布与道德、伦理和社会习俗相违背的信息,遵循发布合法程序,重视《中华人民共和国网络安全法》及其配套法规构建的系统性网络安全和数据保护义务,落实网络安全等级保护制度、网络传播管理机制、个人信息和重要数据保护、网络产品和服务提供者网络安全义务,全面建立和落实App信息安全实名备案和审核机制。
最后,依据《中华人民共和国民法典》《App个人信息保护管理暂行规定》《App用户权益保护测评规范》《App收集使用个人信息最小必要评估规范》以及相关监管法规政策,加大打击力度,在前期App专项整治基础上,聚焦工具类、通信类App,加大对欺骗诱导用户下载、弹窗信息难以关闭、违规共享使用个人信息和利用第三方嵌入式软件损害金融消费者权益问题的整治力度,不仅是经济处罚先行,更要有刑事处罚作为后盾,尤其对侵犯金融消费者隐私权、风险数据泄露等安全问题开展刑事处罚,倒逼开发主体加快升级安全防护技术。
针对个人信息侵权保护问题,早在2020年4月26日,工信部会同公安部、国家市场监管总局起草了《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》,向社会公开征求意见,但由于种种原因,该暂行规定一直没有落地。笔者建议有关部门应尽快总结,整理社会各界反馈意见,早日成文公布于众。当然,App个人信息安全涉及多个主体,需要政府监管部门、金融机构、App企业、应用企业(商店)、SDK企业、行业组织、研究机构共同努力,形成个人信息保护合力,绝不是某一个部门就可以解决所有问题的。监管部门在出台App政策时要平衡各方关切,切忌一刀切,各部门之间应建立协调机制,联合监控和处置破坏网络正常运行的行为,形成综合治理的良好生态,协同一致,这是应对App违法行为必须注意的一个重要问题。
(作者单位:中国人民大学中国普惠金融研究院)
