2020年1月13日,據(jù)新華社報道��,國家計算機病毒應(yīng)急處理中心近期在“凈網(wǎng)2020”專項行動中通過互聯(lián)網(wǎng)監(jiān)測發(fā)現(xiàn)���,多款違法����、違規(guī)有害移動應(yīng)用存在隱私不合規(guī)行為����,違反《網(wǎng)絡(luò)安全法》相關(guān)規(guī)定,涉嫌超范圍采集個人隱私信息���。
在這24款A(yù)PP中包括6個銀行類APP����,國家計算機病毒應(yīng)急處理中心稱其“未向用戶明示申請的全部隱私權(quán)限��,涉嫌隱私不合規(guī)”:《民生銀行》(版本5.12)�����、《興業(yè)銀行》(版本5.0.4)����、《內(nèi)蒙古農(nóng)信》(版本2.4.6)、《內(nèi)蒙古銀行》(版本2.0.4)���、《海峽銀行》(版本2.4.8)�����、《鄂爾多斯銀行》(版本3.1.0)���。
記者測試發(fā)現(xiàn)�����,規(guī)模較小的區(qū)域銀行的APP在申請用戶權(quán)限���、隱私政策申明方面,普遍存在不完善�、不詳盡的問題。以內(nèi)蒙古農(nóng)信APP為例�,下載安裝后,初次登陸即要求用戶授權(quán)定位��、視頻照相��、通訊錄信息等���,但并未說明具體用途�����,且如果用戶拒絕����,將發(fā)生閃退,無法使用這款A(yù)PP��。
而在內(nèi)蒙古農(nóng)信APP的隱私條款中�,也沒有明確列出收集用戶個人信息的范圍���,以及用戶如何注銷賬號�����、注銷賬號后的留存信息如何處理等事項����。
12月30日�,國家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部����、公安部、市場監(jiān)管總局聯(lián)合制定了《App違法違規(guī)收集使用個人信息行為認定方法》(以下簡稱《認定方法》)��,對“未公開收集使用規(guī)則”、“未明示收集使用個人信息的目的����、方式和范圍”、“未經(jīng)用戶同意收集使用個人信息”�、“違反必要原則,收集與其提供的服務(wù)無關(guān)的個人信息”�����,“未經(jīng)同意向他人提供個人信息”�,“未按法律規(guī)定提供刪除或更正個人信息功能”或“未公布投訴、舉報方式等信息”等行為進行了列舉和界定��。
針對這24款有問題的APP����,國家計算機病毒應(yīng)急處理中心提醒廣大手機用戶首先不要下載這些違法有害移動應(yīng)用,避免手機操作系統(tǒng)受到不必要的安全威脅���。其次�����,建議打開手機中防病毒移動應(yīng)用的“實時監(jiān)控”功能����,對手機操作進行主動防御,這樣可以第一時間監(jiān)控未知病毒的入侵活動�����。
金融行業(yè)APP一直是不規(guī)范使用用戶隱私信息的“重災(zāi)區(qū)”����,監(jiān)管部門也多次出文強調(diào)用戶數(shù)據(jù)的規(guī)范使用��。
2019年9月����,人民銀行發(fā)布了《中國人民銀行關(guān)于發(fā)布金融行業(yè)標準加強移動金融客戶端應(yīng)用軟件安全管理的通知》(銀發(fā)〔2019〕237號),明確要求了金融全行業(yè)需要加強個人金融信息保護�����。2019年12月����,中國互聯(lián)網(wǎng)金融協(xié)會在京召開金融業(yè)移動金融客戶端應(yīng)用軟件備案管理工作試點啟動會議,安排部署金融機構(gòu)客戶端軟件備案試點工作�,后續(xù)將在全國范圍內(nèi)分批次組織開展客戶端軟件備案推廣等工作�。
2019年12月12日���,央行科技司司長李偉在出席2019中國金融科技上海高峰論壇時表示�����,“前段時間����,多部委在對App的整治過程中�����,下架了100多個App�,其中金融類App是重災(zāi)區(qū)。后續(xù)���,中國互聯(lián)網(wǎng)金融協(xié)會(以下簡稱‘協(xié)會’)要加快推動備案注冊制度��,加強對這些金融App的測評���、認證工作,同時也會聯(lián)合相關(guān)部委�,對軟件商店采取聯(lián)動措施�,對于不符合規(guī)定���、有重大風險隱患的App����,我們會及時采取下架的措施”�。
中國信息通信研究院金融科技研究中心產(chǎn)業(yè)咨詢總監(jiān)馮橙對本報記者表示,金融APP開發(fā)者應(yīng)當從多方面進行完善����,一是在制度方面高度重視合法、合規(guī)����,認真學習《App違法違規(guī)收集使用個人信息行為認定方法》�����、《移動金融客戶端應(yīng)用軟件安全管理規(guī)范》等規(guī)章制度�。公司內(nèi)部建立更為嚴謹?shù)陌踩珜彶闄C制,對每一項技術(shù)應(yīng)用和業(yè)務(wù)功能進行更加嚴格�、全面的安全測試。建立包括用戶����、外部專家在內(nèi)的信息安全部門�,對金融APP提供的產(chǎn)品和服務(wù)進行獨立����、長期的檢查監(jiān)督;
二是在開發(fā)方面,金融APP開發(fā)者要明確業(yè)務(wù)需求���,詳細界定操作邊界����,充分注重后續(xù)的維護和升級�����。在產(chǎn)品或服務(wù)設(shè)計之初���,就融入隱私保護的理念����,通過產(chǎn)品設(shè)計實現(xiàn)用戶隱私訴求和數(shù)據(jù)權(quán);在APP中植入安全程序���,在使用前進行多次模擬實驗;
三是在合作方方面:合理合規(guī)使用第三方SDK���,避免過度收集用戶權(quán)限和隱私信息��。拒絕廣告合作方的不合理要求�,拒絕參與并積極舉報黑色產(chǎn)業(yè);
四是在數(shù)據(jù)分析方面�,做好流程與權(quán)限控制,對數(shù)據(jù)安全進行管控��。針對用戶數(shù)據(jù)��,要根據(jù)相關(guān)原則合理收集�����、使用��、保管����,優(yōu)化自身算法���、算力��,在減少用戶數(shù)據(jù)搜集的同時提高自身數(shù)據(jù)分析能力;
五是加入相關(guān)聯(lián)盟并遵守相關(guān)行業(yè)標準�����,如“軟件綠色聯(lián)盟”����、“統(tǒng)一推送聯(lián)盟”, 主動遵守軟件綠色聯(lián)盟在2019發(fā)布的《軟件綠色聯(lián)盟安全體驗標準3.0》�����、App違法違規(guī)收集使用個人信息專項治理工作組制定的“App違法違規(guī)收集使用個人信息自評估指南”���,App開發(fā)者可參照相關(guān)標準�、指南對其收集使用個人信息的情況進行自查自糾�,主動提升個人信息保護水平。
2019年12月30日��,人民銀行金融科技委員會召開會議研究部署2020年重點工作中也指出�,將“推動金融APP備案全覆蓋,規(guī)范開放應(yīng)用程序接口管理��,提升線上金融服務(wù)渠道安全應(yīng)用水平��。”
中國互聯(lián)網(wǎng)金融協(xié)會已經(jīng)在京召開移動金融App備案管理工作試點啟動會議。會議明確��,各試點機構(gòu)應(yīng)于2019年底前完成首批試點備案申請����。首批參與移動金融App備案申請的有來自銀行、證券�、基金、保險��、支付等領(lǐng)域的23家試點機構(gòu)�����。
