金融类App违反收集个人信息行为,监督持续亮剑。最近,工业和信息化部通报了最新一批侵犯用户权益的应用程序列表,包括畅捷通、广州农业商业银行、广东南粤银行、微型银行等。涉及金融应用程序被命名为侵犯用户权益,未能及时完成整改。工信部强调,违规机构应在4月29日前完成整改。
与此同时,4月26日,工信部公开征求《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》的意见,强调从事App个人信息处理活动的,具有明确合理的目的,应遵循最小的必要原则
离最后通牒只有三天,现在很多金融机构的App整改情况如何?为什么金融机构多次禁止非法收集用户信息混乱?后续金融App管理将如何发展?
整体没有通报
多个违规金融App的应对
App违规收集个人信息4月23日,工业和信息化部官方网站报告称,工业和信息化部最近组织了第三方检测机构对手机应用软件进行检查,工业和信息化部信息管理函〔2020〕164号)的工作部署,工业和信息化部最近组织了第三方检测机构对手机应用软件进行了检查。截至目前,还有93个应用程序未完成整改。此外,广东省通信管理局的检查显示,仍有45个应用程序未完成整改。
从工信部公开的违规企业名单来看,游戏类、工具类App很多,但也有几个金融类App被命名。北京商报记者注意到,93种未完成的整改名单中,顺利通信息技术株式会社开发的好生意App排在其中。另外,在45种未完成的App中,广州农业商业银行开发的珠江直销银行App被命名为非法收集个人信息的广东南粤银行开发的App,非法收集个人信息,App强制、频繁、过度索取权限的银行开发的微型企业爱普也存在非法收集个人信息、超范围收集个人信息的问题。
对于上述违规App,工信部也发出了最后通牒,强调机构应在4月29日前完成整改执行。逾期未整改的,工信部将依法依规组织开展相关处置工作。
#关于最新整改情况,北京商报记者对上述企业进行了一一访谈。其中,微型银行在了解广东省通信管理局提出的整改意见后,微型银行首先与有关部门进行情况理解和紧急沟通,认真整改存在问题,微型银行依法合规,坚决维护用户个人信息安全及其合法权益,广东南粤银行也应对
但关于广州农商行、顺利通过App的整改情况,到投稿为止,北京商报记者还没有得到进一步的应对。
关于金融App违规收集个人信息,部分整理不变等问题,金融科学技术专家苏晓芮告诉北京商报记者,一方面,部分机构合规意识淡薄,个人信息保护、数据安全相关专业技术团队尚未建立,另一方面,部分机构个人信息保护工作水平低,整改内容不清楚,不足
屡禁不止
违规收集信息有苦衷吗?App侵犯用户权益的问题已经很久了,其中金融类App的安全问题特别受到业界的关注。据北京商报记者介绍,金融资产管理贷款类用户价值高,用户个人信息也成为平台客户运营和控制的依据,平台倾向于尽量收集个人信息,过度收集。
实际上,根据北京商报记者的多期评价和相关部门的通报,现在确实有很多机构踩红线,其中一个是非法收集个人信息。
例如,用户在金融App申请信用的过程中,超过范围收集信息的情况也有,通过捆绑概括、捆绑认可检查,违反向第三者共享用户的个人信息的情况下,如果用户明确表示不同意收集某种个人信息
除此之外,上述知情人士还提到,目前金融领域信息安全、隐私保护领域仍存在乱象,如违规采集使用信息、强制性、频繁性、过度索取用户权限、超范围采集信息、欺骗用户主体下载App等。尽管金融机构保护个人信息的意识逐渐增强,但仍存在超范围收集个人信息、未按规定使用、存储个人信息等问题。
为什么金融App规范个人信息收集如此困难?北京市中闻律师事务所律师李亚对北京商报记者说:现在侵犯用户个人信息保护权益,不完成整改,违反成本与违反产生的收益相比,很多平台都是基于过度收集的个人信息进行用户图像和正确的市场营销
个人金融信息收集成为金融机构违反高发区的问题,苏宁金融研究院金融科学技术研究中心主任孙扬同样说,侵犯用户权益获得用户数据可以用于市场营销,金融机构不想放弃这个市场营销数据的来源,第二,机构的很多贷款控制决定可能与这些数据有关,如果得不到这些数据,就会影响控制决定
多管齐下
#非法收集混乱停止但是,随着金融App管理的进入深水区,很多监督代码和法律武器的有力威慑,后续的金融违规收集信息混乱
其中两个法律工具是个人信息保护法、数据安全法。4月26日至29日,第13届全国人民代表大会常务委员会第28次会议在北京召开。4月22日,全国人民代表大会常务委员会法制工作委员会召开记者会,发言人臧铁伟介绍,此次常务委员会会议继续审议的法律案件有9起,其中个人信息保护法草案、数据安全法草案提出二审。
个人信息保护法草案制定了更严格的限制处理敏感的个人信息,对当前个人信息过度收集使用等突出问题进行了完善防范,在增加死者个人信息保护规定的同时,数据安全法草案完善了数据等级分类和重要的数据保护制度,实施了数据境安全管理规定。
《立法法》第二十九条规定,列入常委会议程的法律方案,一般应经常委会会议审议三次后再交表决书。本次二审表明,个人信息保护法、数据安全法的出台正在稳步推进。李亚说明了。
在苏筱芮看来,个人信息保护法草案、数据安全法草案将迎来二审,表明国内信息保护、数据安全相关法律法规的完善进度持续加快,从修改内容来看,有助于金融行业个人信息保护建立基本框架,金融机构根据要求建立信息保护的防火墙
此外,在App监督方面,中央银行发布《个人金融信息保护技术规范》后,4月26日,工业和信息化部公开征求《移动互联网应用个人信息保护管理暂行规定(征求意见稿)》的意见,其中定义了适用范围和监督主体,确立了知识同意最小必要的重要原则。并强调从事App个人信息办理活动时,应有明确、合理的目的,并遵循最小的必要原则,不得从事超出用户同意范围或与服务场景无关的个人信息办理活动。
现在,个人信息保护法、数据安全法出台,App个人信息保护也迎来了进一步的规范,对于金融机构来说,之后应该如何处理顽固的疾病呢?
李亚表示,金融机构应充分重视个人信息保护和数据规范的使用,在制度制定、规范执行和自我监督等多个层面执行,严格遵守权利责任一致、目的明确、选择同意、最少使用、公开透明、安全、主体参与的安全基本原则。
苏筱芮指出,个人信息保护的工作完善流程不是一蹴而就的,各金融机构及其合作伙伴应从数据采集、存储、加工、传输、公开等环节规范用户的个人信息管理,如采集前需要征求用户同意,必要时采取标志化原则等,通过制度和流程的整理加强内部管理,及时纠正其中的不规范信息管理行为。另外,相关法律法规的审查修订是与时俱进的过程,机构需要维持监督要求的最新关注和跟进,安排专家进行研究,及时进行业务合规调整。
