金融APP治理周年:配套制度亟须跟上
发布时间:2020-12-28 10:35:37 作者: 来源:中国银行保险报网
□记者 于晗
随着金融APP的广泛使用,个人信息安全得到越来越多的关注。去年末,工信部、央行等监管机构相继开展APP安全治理工作。一年多来,有哪些成效?
日前,工信部公布了《关于侵害用户权益行为的APP通报(2020年第七批)》,其中,两款金融类APP在列,分别是财富管理平台宜信财富和消费分期平台桔多多,两款APP均因违规收集及使用个人信息被点名。与此形成对照的是,12月初,中国互联网金融协会(以下简称“互金协会”)发布了移动金融APP备案试点管理最新一批拟备案名单,共有169款金融APP上榜。截至目前,工信部及互金协会分别发布七批次APP侵权名单和四批次金融APP备案名单。可以看到,一方面,违规现象仍在冒头,而相关监管备案工作同样在稳步推进中。而在“治”“乱”之间,针对金融APP的治理,已经逐渐步入正轨。
王梓/制图
21款被点名和202款通过备案
去年11月,工信部启动开展APP侵犯用户权益专项整治行动。重点检查内容包括,私自收集个人信息、超范围收集个人信息、私自共享给第三方等四个方面8类重点问题。
根据《中国银行保险报》统计,历经一年多时间,工信部共点名通报444款APP,其中,有21款金融APP因侵犯用户权益被点名,涉及银行、支付、网贷和基金等多类型金融机构。
紧随工信部的专项治理行动,去年12月,央行印发了《移动金融客户端应用软件安全管理规范》(以下简称《规范》),要求金融机构按照《规范》对APP进行整改。
《规范》明确,针对一些金融机构客户端软件存在的安全防护能力参差不齐、超范围收集个人信息、仿冒钓鱼现象突出等问题,要积极推动金融APP实名备案的全覆盖。随后,在央行的指导下,互金协会启动了移动金融客户端应用软件(以下简称“移动金融APP”)备案试点工作。
截至目前,互金协会已发布四批次移动金融APP备案名单,共有202款移动金融APP通过备案。12月3日,最新一批拟备案名单出炉,169款金融APP上榜。据悉,目前已有4000多家机构在互金协会备案系统注册,拟申请备案的App则接近2000余款。
麻袋研究员高级研究员苏筱芮表示,从今年金融App的治理情况看,工作进度超过预期,治理工作取得了良好的社会效果。一方面,金融机构开始大幅重视APP合规工作;同时,用户也提升了维护自身权益的意识,“强制索要权限”“注销不了的账户”等顽疾得到大幅整改。
一位业内人士指出,《民法典》《消费者权益保护法》《网络安全法》规定了个人信息保护制度,强调用法律约束违法违规行为,从长远来看,治理APP侵权还要确立保护用户权益的常态机制,在专项治理和备案监管的同时,相关配套制度也要及时跟上。
获取用户信息需遵循“最小必要”原则
实际上,目前市场上多数APP均设有隐私条款,用户点击同意后方才允许使用,但在具体执行方面,仍然涌现诸多问题。同时,不同业务领域的APP必要个人信息范围也具有较大差异,能否按照同一标准来监管和规范,行业也存在一定分歧。
对外经济贸易大学数字经济与法律创新研究中心执行主任许可表示,当前,多数APP都要求点击隐私政策同意后才能使用,但用户的“同意”是个人的主观判断,同时,很多时候用户未充分知情便点击了“同意”,APP过度索权限的问题在行业实践中仍然突出。因此,还需要在客观上对APP加以限制,遵循必要性的原则。
作为互联网领域的“专门监管部门”,12月初,国家互联网信息办公室(以下简称“网信办”)发布了《常见类型移动互联网应用程序(APP)必要个人信息范围(征求意见稿)》,对38类常见类型APP必要个人信息范围进行了明示和区分。必要个人信息是指保障APP基本功能正常运行所必需的个人信息,缺少该信息APP无法提供基本功能服务。只要用户同意收集必要个人信息,APP不得拒绝用户安装使用。
与网信办几乎同步,工信部也于近日联合多家机发布了《APP用户权益保护测评规范》10项标准和《APP收集使用个人信息最小必要评估规范》8 项标准,涉及图片、通信录、设备信息、人脸、位置、录像、软件列表等信息收集使用规范。
在网信办明确的34种常见APP中,网络支付、网络支付、网络借贷、投资理财和手机银行等四种金融类APP得到认定和区分,在相关意见稿中,网信办明确,金融类APP必要个人信息的收集范围并不包括通讯录、位置信息和相机等方面权限。
“监管机构制定必要个人信息标准,体现了细化监管和分类监管的思路。”前述业内人士指出,企业通过APP提供服务,但用户在使用时,可能只需要使用APP的特定功能。监管机构通过分类方式,实行“最小必要”原则,划定必要信息的范围,可以最大程度减少对用户信息的收集,避免各类个人信息泄露的风险。
许可认为,每个APP都涉及不同行业的需求以及相应机构的业务模式,监管机构划定必要性标准,符合用户个人信息安全的需求。但在执行过程中,也要注意紧贴市场,对必要性信息的认定在不同阶段执行不同的要求,以实现个人信息保护与数字经济发展的平衡。
个人金融信息保护暂行办法将出台
针对金融类APP的治理,下一步,有何特别措施和监管预期?
“移动金融APP的个人信息保护,需要从监管科技与顶层设计两方面来推进治理。”苏筱芮认为,一方面,要通过监管科技水平的提升加大对金融APP的监测,从事前、事中阶段介入APP非法侵害金融消费者权益的案例;同时,要完善相关法律法规,由顶层制度明确协会等组织的工作地位,设立金融消费者有关APP的投诉举报渠道。
许可认为,在各类APP的治理中,保护个人信息应尽可能地提供更多事中、事后救济途径,而相关措施的落地,需要通过正在制定的“个人信息保护法”来实现。在相关立法过程中,要充分保障个人信息的透明性,保障用户对个人信息收集和使用情况的知情权、查询权等。
日前,央行副行长陈雨露在国务院政策例行吹风会答记者问时表示,国家正在加快推动“个人信息保护法”和“数据安全法”等信息保护立法工作。人民银行也将在相关法律出台后,适时推出“个人金融信息保护暂行办法”,以更大力度规范个人信息在金融领域依法合规使用,切实维护好信息主体的合法权益。
□记者 于晗
随着金融APP的广泛使用,个人信息安全得到越来越多的关注。去年末,工信部、央行等监管机构相继开展APP安全治理工作。一年多来,有哪些成效?
日前,工信部公布了《关于侵害用户权益行为的APP通报(2020年第七批)》,其中,两款金融类APP在列,分别是财富管理平台宜信财富和消费分期平台桔多多,两款APP均因违规收集及使用个人信息被点名。与此形成对照的是,12月初,中国互联网金融协会(以下简称“互金协会”)发布了移动金融APP备案试点管理最新一批拟备案名单,共有169款金融APP上榜。截至目前,工信部及互金协会分别发布七批次APP侵权名单和四批次金融APP备案名单。可以看到,一方面,违规现象仍在冒头,而相关监管备案工作同样在稳步推进中。而在“治”“乱”之间,针对金融APP的治理,已经逐渐步入正轨。
王梓/制图
21款被点名和202款通过备案
去年11月,工信部启动开展APP侵犯用户权益专项整治行动。重点检查内容包括,私自收集个人信息、超范围收集个人信息、私自共享给第三方等四个方面8类重点问题。
根据《中国银行保险报》统计,历经一年多时间,工信部共点名通报444款APP,其中,有21款金融APP因侵犯用户权益被点名,涉及银行、支付、网贷和基金等多类型金融机构。
紧随工信部的专项治理行动,去年12月,央行印发了《移动金融客户端应用软件安全管理规范》(以下简称《规范》),要求金融机构按照《规范》对APP进行整改。
《规范》明确,针对一些金融机构客户端软件存在的安全防护能力参差不齐、超范围收集个人信息、仿冒钓鱼现象突出等问题,要积极推动金融APP实名备案的全覆盖。随后,在央行的指导下,互金协会启动了移动金融客户端应用软件(以下简称“移动金融APP”)备案试点工作。
截至目前,互金协会已发布四批次移动金融APP备案名单,共有202款移动金融APP通过备案。12月3日,最新一批拟备案名单出炉,169款金融APP上榜。据悉,目前已有4000多家机构在互金协会备案系统注册,拟申请备案的App则接近2000余款。
麻袋研究员高级研究员苏筱芮表示,从今年金融App的治理情况看,工作进度超过预期,治理工作取得了良好的社会效果。一方面,金融机构开始大幅重视APP合规工作;同时,用户也提升了维护自身权益的意识,“强制索要权限”“注销不了的账户”等顽疾得到大幅整改。
一位业内人士指出,《民法典》《消费者权益保护法》《网络安全法》规定了个人信息保护制度,强调用法律约束违法违规行为,从长远来看,治理APP侵权还要确立保护用户权益的常态机制,在专项治理和备案监管的同时,相关配套制度也要及时跟上。
获取用户信息需遵循“最小必要”原则
实际上,目前市场上多数APP均设有隐私条款,用户点击同意后方才允许使用,但在具体执行方面,仍然涌现诸多问题。同时,不同业务领域的APP必要个人信息范围也具有较大差异,能否按照同一标准来监管和规范,行业也存在一定分歧。
对外经济贸易大学数字经济与法律创新研究中心执行主任许可表示,当前,多数APP都要求点击隐私政策同意后才能使用,但用户的“同意”是个人的主观判断,同时,很多时候用户未充分知情便点击了“同意”,APP过度索权限的问题在行业实践中仍然突出。因此,还需要在客观上对APP加以限制,遵循必要性的原则。
作为互联网领域的“专门监管部门”,12月初,国家互联网信息办公室(以下简称“网信办”)发布了《常见类型移动互联网应用程序(APP)必要个人信息范围(征求意见稿)》,对38类常见类型APP必要个人信息范围进行了明示和区分。必要个人信息是指保障APP基本功能正常运行所必需的个人信息,缺少该信息APP无法提供基本功能服务。只要用户同意收集必要个人信息,APP不得拒绝用户安装使用。
与网信办几乎同步,工信部也于近日联合多家机发布了《APP用户权益保护测评规范》10项标准和《APP收集使用个人信息最小必要评估规范》8 项标准,涉及图片、通信录、设备信息、人脸、位置、录像、软件列表等信息收集使用规范。
在网信办明确的34种常见APP中,网络支付、网络支付、网络借贷、投资理财和手机银行等四种金融类APP得到认定和区分,在相关意见稿中,网信办明确,金融类APP必要个人信息的收集范围并不包括通讯录、位置信息和相机等方面权限。
“监管机构制定必要个人信息标准,体现了细化监管和分类监管的思路。”前述业内人士指出,企业通过APP提供服务,但用户在使用时,可能只需要使用APP的特定功能。监管机构通过分类方式,实行“最小必要”原则,划定必要信息的范围,可以最大程度减少对用户信息的收集,避免各类个人信息泄露的风险。
许可认为,每个APP都涉及不同行业的需求以及相应机构的业务模式,监管机构划定必要性标准,符合用户个人信息安全的需求。但在执行过程中,也要注意紧贴市场,对必要性信息的认定在不同阶段执行不同的要求,以实现个人信息保护与数字经济发展的平衡。
个人金融信息保护暂行办法将出台
针对金融类APP的治理,下一步,有何特别措施和监管预期?
“移动金融APP的个人信息保护,需要从监管科技与顶层设计两方面来推进治理。”苏筱芮认为,一方面,要通过监管科技水平的提升加大对金融APP的监测,从事前、事中阶段介入APP非法侵害金融消费者权益的案例;同时,要完善相关法律法规,由顶层制度明确协会等组织的工作地位,设立金融消费者有关APP的投诉举报渠道。
许可认为,在各类APP的治理中,保护个人信息应尽可能地提供更多事中、事后救济途径,而相关措施的落地,需要通过正在制定的“个人信息保护法”来实现。在相关立法过程中,要充分保障个人信息的透明性,保障用户对个人信息收集和使用情况的知情权、查询权等。
日前,央行副行长陈雨露在国务院政策例行吹风会答记者问时表示,国家正在加快推动“个人信息保护法”和“数据安全法”等信息保护立法工作。人民银行也将在相关法律出台后,适时推出“个人金融信息保护暂行办法”,以更大力度规范个人信息在金融领域依法合规使用,切实维护好信息主体的合法权益。
