零壹智库发布《44款手机银行隐私政策测评报告》，九成未提及个人信息删除方式

随着移动互联网的崛起和信息技术的高速发展，越来越多的经营主体大量收集、使用、共享个人信息，海量用户在享受技术带来的便利的同时，个人隐私也屡受侵犯，如何保护个人信息安全也成各方关注的焦点。
 
4月21日，零壹财经·零壹智库发布《44款手机银行隐私政策测评报告》（以下简称《报告》）指出，基于10余个测评维度，在参与测评的44款主流手机银行中，国有银行App制定的隐私政策最为符合相关规定，平均得分最高，其次为股份制商业银行，城商行、农商行则相对得分较低。同时，在用户注销账户后对个人信息的处理方式、发生个人信息安全事件后银行应承担的法律责任等方面，44款手机银行得分均较低，这也表明当前国内大中型商业银行在个人信息保护方面依然有较大的改进空间。
 
“手机银行与上亿用户在终端直接交互，涉及大量个人财产信息、身份信息等敏感信息，它们如何获取、使用、保存、转让用户个人信息受到越来越多的关注，其制定的隐私政策也成为关注的焦点。”《报告》指出。

手机银行用户年均增长20%

随着移动互联网与智能手机的普及，我国网民规模、手机网民规模迅速攀升。

 
据Wind统计，我国网民规模从2008年底的2.98亿元增长至2018年底的8.29亿元，10年间网民规模年均复合增长率为10.77%。手机网民规模也由2008年底的1.18亿人，增长至2018年底的8.17亿人，10年间年均复合增长率为21.35%。
 
另一方面，零售业务成为银行转型重要方向，各大商业银行纷纷下重兵布局零售业务，手机银行成为零售银行客户服务主渠道之一，手机银行用户数也快速攀升。
 

据统计，我国手机银行用户数由2014年6月的1.83亿人迅速增加至2018年6月的3.82亿人，4年间手机银行用户总人数的年均复合增长率为20.2%。作为与上亿用户直接交互的终端工具，手机银行App接触到了更多的个人敏感信息，更易成为泄露个人信息、侵犯用户隐私的“温床”。

个人信息保护亟需法律层面的规范。事实上，迄今国内已陆续出台相关法律法规及规范性文件，包括《刑法》、《消费者权益保护法》、《网络安全法》、《电子商务法》等，以及推荐性国家标准《信息安全技术个人信息安全规范》等，但总体呈现分散立法状态、法律效力也各有不同，针对个人信息保护的专门立法则仍在研究和起草当中。

《报告》指出，尽管为推荐性国家标准、不具备强制约束力，但从实践性和可操作性来看，《信息安全规范》在个人信息的收集、保存、使用、共享、转让，以及个人信息安全事件处置等方面做出了相应的规范和指导，具有较强的指导性。
 
“本报告基于《信息安全规范》中的相关规定，基于10余个维度，对市面上44款手机银行App在App Store或注册页面两个渠道发布的隐私政策进行测评，包括国有商业银行（6家）、股份制商业银行（12家）、A股或H股上市城商行、农商行（26家）。”《报告》表示。
 
国有行得分最高 总体仍有提升空间

按照《信息安全规范》的规定，个人信息控制者应制定隐私政策，内容应包括但不限于个人信息收集方式、目的，涉及的个人信息类型，个人信息主体注销账户的方法、撤回同意的方法等。
 

但据《报告》透露，在参与测评的样本中，仅有50%的手机银行在APP Store中提供可访问的隐私政策，或在App中设有独立的隐私政策，而32%的隐私政策链接为电子银行客户服务协议等，9%的隐私政策链接为银行官网，9%的链接无法打开，所谓的隐私政策形同虚设。

 具体到隐私政策中的相关内容，《报告》透露，多数手机银行均在一项或多项内容上不符合《信息安全规范》中的相关规定，改进空间较大。

 
“比如，在用户个人信息的收集与使用方面，《信息安全规范》规定必须详细列举收集和使用个人信息的目的，不得使用概括性语言，”《报告》指出，但从测评结果来看，高达41%的手机银行关于个人信息的收集与使用目的均用了概括性语言，且主要集中于城商行和农商行。
 
账户注销后个人信息如何处理，也是用户普遍关心的问题。测评结果显示，不足10%的银行在隐私政策中明确提及将对用户的个人信息进行删除或匿名处理，82%的银行在隐私政策中并未提及用户注销后个人信息的处理办法，9%的银行提及用户注销账户后将对用户信息进行其他处理。

此外，《报告》还对告知和明示同意的方式、用户权利说明、用户信息安全说明、用户投诉与反馈渠道等10余个维度进行了测评。根据测评结果，在参与测评的44款主流手机银行中，国有银行App制定的隐私政策平均得分最高，其次为股份制商业银行，城商行、农商行则相对得分较低。

“本报告测评样本覆盖了目前市场上多数大中型商业银行，我们也欣喜地看到，商业银行在制定隐私政策方面有了长足进步，多数银行均制定了独立的隐私政策，对用户个人信息的保护意识逐步提升，尤其是体量巨大的国有商业银行，在本次测评中平均得分最高，”《报告》指出，但大多数手机银行在某些细节条款中依然存在不符合相关规范的现象，甚至有些手机银行的隐私政策链接显示为银行官网或者无法打开，所谓的隐私政策形同虚设，这也表明当前国内商业银行在个人信息保护方面依然有较大的提升空间