手机App应用规范发布 明确借贷类应用不应强制读取用户通讯录
互联网+ Jenny 零壹财经 2019-06-10 阅读:7565
6月1日,全国信息安全标准化技术委员会发布《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》(简称“《规范》”),这一规范是针对当前用户数量大、社会关注度高的移动互联网应用中存在的超范围收集、强制授权、过度索权等个人信息收集安全问题而发布的。
《规范》中对于网络约车、网络支付、短视频、金融借贷、房产交易、汽车交易等16类,针对不同类型App的特点,给出了每一类搜集用户必要信息的范围。
对于《规范》中必要信息的解读
必要信息主要包括基本业务功能相关必要信息和通用功能相关必要信息,且《规范》对概念做了详细定义,如下:
- 基本业务功能相关必要信息,是与基本业务功能直接关联,一旦缺少会导致基本业务功能无法实现或无法正常运行的个人信息。
- 通用功能相关必要信息,是相关法律法规要求、保障移动互联网应用安全风险管控所必需的个人信息。
根据南方都市报的报道,对于必要信息的内容,浙江垦丁律师事务所联合创始人麻策表示,企业可以不必完全依样遵守执行,因为此次发布的《规范》在性质上属于技术文件,不属于国家标准。但他强调,若有企业收集使用了超出《规范》所列的必要信息,应当有更充分的理由进行说明,否则容易被认为超出必要性范畴,带来监管执法风险。
中国电子技术标准化研究院信息安全研究中心审查部总监何延哲表示,“以前在判定什么是必要信息时,通常只能‘一事一议’,效率比较低。现在有了《规范》之后,相对来说能够形成比较一致的观点,在这个基础上再去讨论,会变得更加方便一点。”
下表是《规范》中网络支付和金融借贷两类App收集用户必要信息的详细界定。
根据《规范》要求,网络支付基本业务功能必要信息有:手机号码、账号信息、身份信息、银行账户信息、交易信息、交易身份验证信息等6项。
其中,对于账号信息,《规范》要求仅用于保障账号信息安全;对于需要提供生物特征的身份验证方式,会涉及个人生物特征信息的,《规范》要求网络支付机构应再次告知用户并获取用户明示同意,并应优先采取本地终端认证机制。
对于安全风控和生物识别,中伦律师事务所金融部合伙人刘新宇律师谈到,第一,设备信息只能用于安全风控目的,意味着网络支付应用的运营者收集用户的设备信息只能用于应对反作弊、反欺诈、违法不良信息管控等业务安全风控用途。如果用于安全风控以外的目的,则需要再次征得用户同意;第二,生物识别信息应优先采取本地终端认证机制,意味着在技术等条件允许的情况下,运营者应当仅接收用户生物识别信息的验证结果,而不应收集用户的指纹信息或面容ID等生物识别信息。
金融借贷基本业务功能必要信息有:手机号码、账号信息、身份信息、银行账户信息、个人征信信息、紧急联系人信息、借贷交易记录等7项。其中“紧急联系人信息”仅限两人,用于逾期不还情况下进行催款,且应允许手动输入,而非强制读取通讯录。可以注意到,《规范》首次明确不应强制读取用户的通讯录。
针对金融借贷相关要求,麻策解释说基于贷款业务场景中失信人惯于“玩消失”的行业特色,允许App适当通过其它联系人了解情况也是符合行业习惯的,但他强调,借款人通讯录中其他用户信息,除非基于担保等法定情形,并无接收任何催收信息的义务,故强制读取通讯录的做法不符合最小化收集的原则,此类催收不被法律所允许。
刘新宇律师认为《规范》对于金融借贷的影响有两点:第一,学信网信息、通话记录等信息未纳入基本业务功能必要信息范畴,意味着金融借贷应用的运营者如果需要收集该等信息,需要具有充分的理由并允许用户自主选择同意;第二,不得强制读取用户的通讯录,意味着强制读取通讯录这一屡被诟病和大量投诉的“默认操作”失去其必要性基础,如果金融借贷行业继续坚持强制读取通讯录,即使用于催收,也会面临较高的监管合规风险。
APP违法违规专项治理在行动
截至2018年12月,我国手机网民规模达8.17亿,网民中手机上网比例高达98.6%,我国市场上检测到在架APP数量的高达449万款,App违法违规收集使用个人信息受到相关部门的高度重视,开展了一系列APP违法违规收集使用个人信息专项治理行动。
1月25日,自《关于开展App违法违规收集使用个人信息专项治理的公告》的发布,APP违法违规收集使用个人信息专项治理行动正式拉开帷幕。
下表是对近半年来相关部门开展治理行动的整理。
据新华社报道,截至4月16日,被举报的App数量已经达到1300余款,主要集中在金融借贷、社区社交、网上购物、短视频与直播、即时通讯等领域。
从举报的问题来看:31%的App在申请打开收集个人信息相关权限时,未明确告知用户;26%的App没有隐私条款或未在隐私条款中明确收集个人信息的目的、方式、范围;20%的App收集与业务功能无关的个人信息,如金融借贷App收集用户通讯录;19%的App未经用户同意,向他人提供设备ID、应用程序列表等个人信息;13%的App强制索要与业务功能无关的权限,如计算器、手电筒App强制要求打开地理位置权限。其中App获取个人信息相关权限时未明确告知用户的问题最为突出,占总举报数量的31%,占比最高。
用户如何识别“涉嫌违法违规收集个人信息”App
1、App无隐私政策:在APP安装、注册账号、弹窗界面、文本片段或链接、客服问答等均无法找到隐私政策;
2、超范围收集与业务无关个人信息:指收集与App功能毫无关系的个人信息或要求打开毫无关系的系统权限;
3、捆绑业务功能要求用户一揽子同意:要求用户一次性同意多项功能或打开多项系统权限,才能正常使用App;
4、强制、频繁索要业务功能非必需的权限:如果不给权限,会闪退、反复弹窗,影响其他功能的使用;
5、无法注销账号:App内无法找到注销方式或注销过程设置不合理条件;
6、存在不合理条款:如存在免除自身责任、加重用户责任、排除用户权利的条款;
7、无法删除或更正个人信息:如用户主动提交的信息无法修改或删除(功能所必需的除外);
8、无申诉渠道或渠道无效:没有告诉用户例如电子邮件、电话、传真、在线客服、在线表格等针对个人信息保护的询问、申诉渠道和反馈机制。
相关文章
用户评论
所有评论
主编精选
more专题推荐
more
第四届中国零售金融发展峰会(共15篇)
资讯排行
- 48h
- 7天
-
首页
-
评论
-
回顶部
游客
自律公约