文：包慧

來源：21世紀經(jīng)濟報道(dào)

随著(zhe)移動互聯網快速發(fā)展，移動金融APP已成(chéng)爲目前國(guó)内金融業務最廣泛、最直接、最便捷的入口。

7月16日晚，央視“3·15”晚會(huì)再次提到手機APP違規收集個人信息問題，在其提到的50多個違規收集信息的APP中，金融類就超過(guò)40個。

這(zhè)些APP在後(hòu)台讀取電話号碼、通訊錄、短信記錄、應用列表等信息的同時，上傳聯系人、交易驗證碼等數據到第三方服務器。并且，第三方SDK除了收集用戶手機号碼、設備信息之外，還(hái)會(huì)收集用戶手機通訊錄、短信信息、傳感器信息等用戶隐私信息，在采集之後(hòu)還(hái)會(huì)發(fā)送至指定服務器進(jìn)行存儲。

對(duì)此，工信部官網發(fā)布公告稱，第一時間組織第三方檢測機構對(duì)央視曝光的使用上述兩(liǎng)家SDK的50餘款APP進(jìn)行技術檢測，對(duì)存在問題的APP第一時間啓動下架程序。工信部稱，自去年11月工信部啓動APP侵害用戶權益專項整治行動以來，共檢測超過(guò)8萬餘款APP，推動8000餘款APP自查整改，對(duì)478家存在問題的企業下發(fā)整改函。

盡管監管一再強調個人隐私保護，但在現實中依然屢見不鮮。

在此背景下， 21世紀經(jīng)濟報道(dào)記者獲悉，央行也在今年上半年啓動了全面(miàn)摸排金融科技應用風險工作，移動金融客戶端應用軟件成(chéng)爲摸排重點之一，移動金融APP及其背後(hòu)金融數據安全則是重中之重。

如何判定收集信息的合法性？

金融APP過(guò)度收集讀取并使用收集用戶信息是否構成(chéng)侵犯公民個人信息犯罪？分歧是存在的。

中國(guó)銀行法學(xué)研究會(huì)理事(shì)肖飒7月21日對(duì)21世紀經(jīng)濟報道(dào)記者表示，一種(zhǒng)觀點認爲不構成(chéng)侵犯公民個人信息罪。因爲APP讀取該類信息系經(jīng)過(guò)用戶同意的，信息使用在用戶承諾範圍内，且企業并沒(méi)有將(jiāng)信息轉手給他人，僅是用于金融公司貸款審批、催債使用。

但另一種(zhǒng)觀點認爲，該用戶同意并非真實用戶意思表示，用戶若不同意則無法使用金融APP，雖然信息沒(méi)有外流，但是通過(guò)讀取的手機通訊錄并給親友打電話催債的行爲，給用戶造成(chéng)了較大困擾，已然突破合理合法邊界。

而在司法實踐中，判斷的一個關鍵點在于是否明示信息使用用途。企業在獲取用戶信息時，是否明示收集的手機通訊錄信息將(jiāng)被(bèi)用于貸款審批及債務催收，如果沒(méi)有明示，卻在收集後(hòu)用于該用途，會(huì)被(bèi)認定爲非法獲取。

網絡安全法第41條規定，網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開(kāi)收集、使用規則，明示收集、使用信息的目的、方式和範圍，并經(jīng)被(bèi)收集者同意。

就收集者同意而言，隐私協議本是爲了獲得用戶信息授權，但金融APP中多是内置協議，提供格式條款一方免除其責任、加重對(duì)方責任、排除對(duì)方主要權利的，根據我國(guó)合同法第四十條，該條款無效。

“在實際案例中，將(jiāng)由法官結合協議内容、業務邏輯實質等予以判斷。一旦法院認定授權無效的，手機APP獲取用戶信息的行爲將(jiāng)徹底喪失合法性依據。”肖飒表示，即使在隐私協議授權條款有效的基礎上，信息收集還(hái)需遵循必要性原則，也即，金融APP隻能(néng)處理滿足個人信息主體授權同意目的所需的最少個人信息類型和數量。如此，借貸審批是否需要全部獲知用戶通訊錄等，便存在合法性疑問。

與此同時，在7月17日發(fā)布的《商業銀行互聯網貸款管理暫行辦法》中也提到，商業銀行如果需要從合作機構獲取借款人風險數據，應通過(guò)适當方式确認合作機構的數據來源合法合規、真實有效，對(duì)外提供數據不違反法律法規要求，并已獲得信息主體本人的明确授權。商業銀行不得與違規收集和使用個人信息的第三方開(kāi)展數據合作。

央行摸排移動金融APP的核心是金融數據安全

央行今年上半年發(fā)布了《關于開(kāi)展金融科技應用風險專項摸排工作的通知》（以下簡稱“45号文”）。

“45号文”出台的背景是加強金融科技應用風險防控，切實保障用戶的信息和資金安全，人民銀行要求各分支機構于2020 年10月31日前報送摸排的書面(miàn)報告。

自2019年9月《中國(guó)人民銀行關于發(fā)布金融行業标準加強移動金融客戶端應用軟件安全管理的通知》（銀發(fā)〔2019〕237号）發(fā)布以來，移動金融客戶端應用軟件備案工作正在進(jìn)行中。

21世紀經(jīng)濟報道(dào)記者了解到，此次摸排中，移動金融APP和背後(hòu)的金融數據安全是重中之重。本次摸排工作對(duì)APP的安全要求繼承了銀發(fā)〔2019〕237号文的要求，并結合當前APP僞冒等問題對(duì)監控要求進(jìn)行了細化，幫助央行更好(hǎo)地推進(jìn)統一風險監控平台的建設。

對(duì)于摸排的主要内容，覆蓋了人工智能(néng)、大數據、區塊鏈、物聯網等新技術在金融領域的應用，表現出對(duì)技術風險的前瞻性。

另外，摸排還(hái)特别關注了金融業務交易安全和金融核心的處理要素——金融數據，貫穿金融交易的數據流和個人金融信息保護的生命周期。

根據45号文中的工作安排，相關金融機構在2020年5月至7月要完成(chéng)自評工作，依據《金融科技應用風險專項摸排列表》逐項進(jìn)行自評，及時提交報告。對(duì)發(fā)現的問題，建立清單管控和動态跟蹤機制，視情況采取必要的風險補救或補償措施。

摸排列表包括個人金融信息保護、交易安全、仿冒漏洞、技術使用安全以及内控管理五大方面(miàn)，涵蓋40個具體摸排項，123個摸排要點，覆蓋APP、系統以及API等。

移動金融客戶端應用軟件、應用程序編程接口、信息系統等都(dōu)是重點摸排對(duì)象，從技術層面(miàn)來講主要涉及人工智能(néng)、大數據、區塊鏈、物聯網等新技術金融應用風險，包括個人金融信息保護、交易安全、仿冒漏洞、技術使用安全、内控管理等5個方面(miàn)的風險情況。

21世紀經(jīng)濟報道(dào)記者了解到，45号文一方面(miàn)對(duì)前期各金融機構在金融科技應用方面(miàn)所做的風險合規工作進(jìn)行階段性驗收，或將(jiāng)幫助人民銀行了解目前金融科技發(fā)展現狀，進(jìn)行查漏補缺，避免再次出現表外業務泛濫、同業業務異化等行業亂象，進(jìn)行有效監管。另一方面(miàn)也是爲後(hòu)續的金融科技監管方向(xiàng)提供實際的數據支撐，摸排情況可能(néng)會(huì)決定新的監管政策動态。