來源：移動支付網

今年1月，中央網信辦、工信部等四部門聯合開(kāi)展了App違法違規收集使用個人信息專項治理行動。自行動開(kāi)始至今，網信辦、警方陸續點名了168款存在個人信息安全隐患的App。其中包括手機銀行類App、收單機構工具App、證券信托類App和網貸類App，這(zhè)些金融類App做錯了什麼(me)被(bèi)警方點名？有哪些問題值得注意？

違規收集14類個人信息

在168款被(bèi)點名的App中有21款屬于金融支付類App，其中19款被(bèi)廣東公安廳曝光，并通報了違規細節，移動支付網對(duì)這(zhè)19款App的違規細節進(jìn)行了統計。

在統計中，警方共通報了14類違規收集個人信息的情況，其中“允許錄制音頻”被(bèi)點名次數最多，高達13次；“讀取通訊錄”緊随其後(hòu)，有9次；“讀取短信或彩信”出現了6次。

“允許錄制音頻”和“讀取通訊錄”兩(liǎng)個隐私權限一度在網上引起(qǐ)熱議。有網友懷疑App通過(guò)“允許錄制音頻”對(duì)用戶進(jìn)行竊聽從而進(jìn)行精準營銷。雖然後(hòu)來被(bèi)專家力證“沒(méi)有必要這(zhè)樣(yàng)做”，但網友對(duì)于“App竊聽”依舊心存懷疑。

“讀取通訊錄”則是金融支付類App的痛點權限。在風控體系中，通過(guò)讀取用戶通訊錄、通話記錄判斷賬戶真實性一度是金融支付機構的常用手段，特别在網貸App中，用戶通訊錄更是成(chéng)爲催收利器，但是也因此被(bèi)鬧出無數風波，最後(hòu)成(chéng)爲人人喊打的對(duì)象。

值得注意的是，警方公布的違規細節可能(néng)不夠完整。例如，“立刷”App和“通付MPOS”App同屬于收單工具App，兩(liǎng)者都(dōu)收集了“用戶地理位置信息”。但是警方隻通報了“通付MPOS”App違規收集“用戶地理位置信息”沒(méi)有通報“立刷”App違規收集“用戶地理位置信息”。

很明顯，如果“通付MPOS”App收集“用戶地理位置信息”屬于違規，那麼(me)“立刷”App收集“用戶地理位置信息”也必然屬于違規，隻不過(guò)警方在點名“立刷”App時并沒(méi)有通報該細節。

14類違規收集個人信息情況沒(méi)有任何一項屬于19款App所共有的，沒(méi)有任何一類屬于“出現必抓”。所以這(zhè)14類情況都(dōu)屬于警方關注的重點，隻要被(bèi)點名就會(huì)被(bèi)列出相應的違規情況，不一定是因爲出現了這(zhè)14類情況中的哪一類被(bèi)點名。金融支付機構萬不可心存僥幸。

隐私政策是重點《網安法》第四十一條要細讀

如果14類違規收集個人信息情況不是“出現必抓”，那麼(me)什麼(me)是導緻這(zhè)19款App被(bèi)警方點名的主要因素？事(shì)實上，廣東警方共分4批通報了132款App存在嚴重信息安全隐患，除了第一批的10款App外，其他的122款App都(dōu)具有同一個特點：隐私政策存在問題。

隐私政策才是這(zhè)些App被(bèi)警方點名的真正原因。122款被(bèi)點名的App中，74款App沒(méi)有隐私政策，超過(guò)總數一半；接近三分之一App未說明業務邏輯和權限關系；超過(guò)四分之一App未說明權限用途。

令人驚訝的是，隐私政策不易閱讀也會(huì)被(bèi)警方點名。例如在廣東警方7月的曝光名單中酷狗音樂App有服務協議有隐私協議，隐私政策易于訪問，但因隐私政策不易閱讀、讀取用戶通訊錄、讀取日曆數據被(bèi)點名。

被(bèi)警方點名的19款金融支付類App中有16款被(bèi)标注了有隐私政策問題，其中8款App存在未說明業務邏輯和權限關系問題，6款App隻有用戶協議沒(méi)有隐私政策，4款App既沒(méi)有用戶協議也沒(méi)有隐私政策。

當然，如果沒(méi)有隐私政策自然也不可能(néng)“說明業務邏輯和權限關系”。從這(zhè)一點考慮，“未說明業務邏輯和權限關系”這(zhè)一問題幾乎是所有金融支付類App都(dōu)存在的問題。《網絡安全法》第四十一條明确規定：“網絡運營者收集、使用個人信息應明示收集、使用信息的目的、方式和範圍，并經(jīng)被(bèi)收集者同意。”

另外在網信辦點名的30款App中，10款App無隐私政策，20款App強迫用戶同意一次性開(kāi)啓多種(zhǒng)隐私權限。在網信辦的通報中，這(zhè)30款App全部違反了《網絡安全法》第四十一條。由此可見《網絡安全法》第四十一條的重要性。

合規要點：一個完整的隐私政策

7月1日，工信部下發(fā)《電信和互聯網行業提升網絡數據安全保護能(néng)力專項行動方案》，要求今年10月底前完成(chéng)200款主流App數據安全檢查，深化App違法違規專項治理，持續推進(jìn)App違法違規收集使用個人信息專項治理行動。

由文件可知，App治理工作會(huì)繼續進(jìn)行，而且即將(jiāng)進(jìn)行一次“大考”，金融支付行業作爲基礎行業必然會(huì)參加“大考”。那麼(me)這(zhè)次“大考”的考試要點是什麼(me)呢？一個完整的隐私政策是必不可少的。

由上文的“隐私政策問題種(zhǒng)類”結合《個人信息安全規範》（下文簡稱“《規範》”），我們可以得到一些“知識點”。

1、 用戶協議和隐私政策需要單獨成(chéng)文。74款沒(méi)有隐私政策被(bèi)點名的App中有37款屬于“有用戶協議但是沒(méi)有隐私政策”，其中有不少App用戶協議中有隐私條款但是因爲沒(méi)有單獨成(chéng)文所以被(bèi)點名。除了這(zhè)74款App還(hái)有3款App因爲有隐私政策無用戶協議被(bèi)點名。

2、 業務邏輯和權限關系必須說明。在統計中，“未說明業務邏輯和權限關系”是所有問題中出現次數最多的，同時“未完整說明業務和權限關系”的App也被(bèi)警方點名。《規範》要求：“隐私協議應包括收集、使用個人信息的目的，以及目的所涵蓋的各個業務功能(néng)”。

3、 用戶協議和隐私政策需要易于訪問、閱讀。《規範》明确規定：隐私政策應公開(kāi)發(fā)布且易于訪問。前文已有舉例App因隐私政策不易閱讀被(bèi)點名，除此之外還(hái)有App因爲隐私政策打不開(kāi)、登錄後(hòu)才可查看用戶協議和隐私政策被(bèi)點名。因此，App最好(hǎo)在注冊頁面(miàn)顯示用戶協議和隐私政策，且應“清晰易懂，符合通用的語言習慣”。

4、 合法且遵守原則。個人信息安全有7項基本原則：權責一緻、目的明确、選擇同意、最少夠用、公開(kāi)透明、确保安全、主體參與。隐私政策的編寫需要遵守這(zhè)7項原則，并在條文中有所體現，這(zhè)七項原則在《網路安全法》中有所呈現，并在《規範》中再次出現。遵守這(zhè)7項原則是合法合規最簡單的辦法。

一個完整的隐私政策被(bèi)制定出來之後(hòu)更重要的是遵守，也就是按照隐私政策和用戶協議所公布的條款采集、使用個人信息。違規收集用戶個人信息中的“規”可以理解爲《網絡安全法》、《規範》，也可以理解爲App公布的用戶協議和隐私政策。

一款App收集多少用戶個人信息固然非常重要，但更重要的是收集這(zhè)些個人信息是否在用戶協議和隐私政策中寫明，是否向(xiàng)用戶明示且征得用戶同意。這(zhè)是判定是否“違規收集用戶個人信息”的重要内容。

安全是重中之重

用戶協議和隐私政策嚴格意義上并不是《規範》的核心内容，“個人信息安全需要全生命周期保護”才是真正的重點，用戶協議和隐私政策隻是“全生命周期保護”的外在表現。如果寫了一份非常漂亮的用戶協議和隐私政策卻做不到“全生命周期保護”，發(fā)生了丢失、濫用個人信息的情況，再漂亮的用戶協議和隐私政策也不過(guò)是一張廢紙。

在監管趨嚴的勢态下，金融支付機構需要做的是直面(miàn)應當承擔的責任和義務。金融信息安全的重要性随著(zhe)大數據時代的到來達到了前所未有的地步，如何保護好(hǎo)金融信息安全已經(jīng)成(chéng)爲了企業的生命線。