长路漫漫:移动金融的个人信息保护_许可_专栏频道首页_财经网 - CAIJING.COM.CN
当前位置:专栏频道首页 > 许可 >
个股查询:
 

长路漫漫:移动金融的个人信息保护

本文来源于财经网 2018-03-19 15:39:00 我要评论(0
字号:

任何时代的人都关心金钱。可作为现代人,我们还关心我们的个人信息。如果一件事既关乎金钱,又关乎个人信息,那么它自然就成为格外重要的大事,移动金融的用户信息保护便是这样的大事。所谓“移动金融”,即以移动互联网为基础,以移动智能终端为载体,向用户提供的随时随地随身的金融服务。移动金融固然包括银行、证券公司等传统金融机构的移动化,但更重要的还是金融科技企业在移动互联网时代提供的新型金融服务,从移动支付到手机理财再到网络小贷,不胜枚举。就像手机已成为我们身体一部分那样,以手机为端口的移动金融也已成为我们最常用的金融服务方式。然而,2018年初,支付宝账单事件所引发的轩然大波警示我们,移动金融和其他互联网行业一样,均面临着如何保护个人信息的严峻挑战。 

从行业标准到测评报告

基于以上的理由,从去年八月份开始,中国人民大学金融科技与互联网安全研究中心就承担了中国互联网金融协会制定“用户数据在移动金融中的收集与使用行业标准”工作。以招商银行、360公司、京东金融等主要企业的实践为素材,以《网络安全法》《信息安全技术个人信息安全规范》以及《信息安全技术移动智能终端个人信息保护技术要求》等法律和标准为指引,我们深入移动金融用户数据生命周期之中,详细规定了用户数据收集和使用基本原则和规范、用户的数据权益及数据安全、组织的管理要求,以期推动个人信息保护行业自律和安全机制建设。

为了促进“用户数据在移动金融中的收集与使用行业标准”的落地,受到去年中央网信办、工信部、公安部、国家标准委联合进行的“个人信息保护提升行动”——隐私政策检查行动的启发,我们中心和南都个人信息保护研究中心合作,在今年年初对目前最为常用的200家移动金融交互类APP个人信息保护水平进行多维度考察,由此形成《2018移动金融用户个人信息安全测评报告》,这是继研究制定“用户数据在移动金融中的收集与使用行业标准”之后,我们中心就移动金融个人信息保护所作的又一次探索。

测评报告的主要内容

本次测评以智能手机为对象,选择了借贷类APP、理财类APP、支付类APP与实体银行的线上产品等四类移动金融交互类APP产品进行考察,测评聚焦在隐私政策是否合规、敏感权限获取是否合规以及财产身份信息收集告知是否合规三个方面。

首先,“隐私政策是否合规”主要关注移动金融类似隐私政策或声明的相应文本是否符合要求。“用户数据在移动金融中的收集与使用行业标准”要求用户数据收集和使用应当遵循公开透明原则,即以明确、易懂和合理的方式公开收集和使用用户数据的范围、目的、规则等,并接受外部监督。据此,本次测评确定了13项隐私政策测评标准:

1.是否提供了个人信息保护政策;2.个人信息保护政策的规范性;3. 履行必要的告知和警示义务;4.用户选择和同意权;5.    用户的访问、更正及删除权;6.向第三方披露用户个人信息;7.  安全承诺;8.使用个人信息向用户发送商业资讯;9.特殊情形下个人信息的处理原则;10.   对个人信息保护政策进行修改的原则;11.  有关的救济措施;12.对于使用Cookie、clickstream和web beacon等技术的专门声明;13.   对链接第三方网站的免责说明。

测评结果显示:1. APP普遍未能清晰区分一般个人信息和敏感信息,对于后者没有特别的保护承诺;2. 对用户的访问、更正及删除权重视程度不足,即么有提及给予用户推定或拒绝的权利,也未在相应条款中为用户呈现具体操作措施;3. 大量隐私协议均声明免于承担因向第三方披露个人信息而产生的责任,存在霸王条款之嫌。

其次,“敏感权限获取是否合规”主要鉴别移动金融在收集个人信息的实际操作中是否符合要求。“用户数据在移动金融中的收集与使用行业标准”明确规定了收集个人信息最小化要求,即只收集满足个人信息主体授权同意的目的所需的最少用户信息类型和数量,换言之,个人信息与其实现的业务功能应有直接关联。本次测评详细分析了移动金融APP向系统申请摄像头、麦克风、手机通讯录、手机短信、传感器与地理位置敏感权限是否满足上述原则。

测评结果显示:1. 几乎所有APP均要求读取地理位置,但当拒绝这一权限后,相关服务并未受到影响,因此,该权限显然并非必要;2. 半数左右的APP申请读取麦克风、手机通讯录、手机短信,但这些信息均非服务所必须;3只有在移动支付等有限场景下,读取摄像头权限才符合最小化要求。

最后,考虑到移动金融多涉及财产、身份等敏感信息,测评着重探查财产、身份信息收集是否取得个人信息主体的明示同意,征求同意的方式是否要求用户作为肯定性动作。测评结果显示,有63%的APP没有提供相应的协议文本,14%的APP选择用“点击注册即表示同意”或“我已经阅读并知晓”的被动接受方式作为收集个人敏感信息的告知方式;另有14%的APP提供了相关政策文本,并提供了勾选框,却默认同意的方式告知;只有9%的APP在获得用户同意时使用了弹出窗口或者默认不同意的方式,合理地给予了用户选择权。由此可知,移动金融APP对于个人敏感信息的重视程度、保护程度均不足,尚需整体提升,

个人信息保护的前路

受制于种种因素,本次测评仍有待完善与改进,但经由此次测评,我们已能窥见移动金融个人信息保护现状。总体而言,这一事关公众财产信息的行业表现并不尽如人意,得分最高的京东金融不过72分,离良好的标准——80分还有较大的距离。更令人忧心的是,在200家APP中,个人信息保护基本达标的不足10%。这进一步证明了我之前的论断——即我国已经进入了“日益增长的个人信息权利需求与不平衡不充分的保护”的新时代。这里的“不平衡”首先发生在正规企业和数据黑产之间,其次发生在少数企业和多数企业之间,“不充分”则意味着尽管企业对于个人数据的存储安全倾注了心力,但对于个人信息,特别是敏感信息的收集和使用仍缺乏必要的重视。

截止2017年3月,全球已经有120个国家制定了专门的个人信息保护法。可以预见,今年两会将会回应人民的呼声和世界的潮流,正式将《中华人民共和国个人信息保护法》列入未来五年的立法规划。正所谓“没有调查就没有发言权”,科学的立法始终依赖于对我国实践的认识和把握。我们相信,本次测评将有助于社会公众和立法机关了解我国个人信息保护的现状,探究问题症结,并为最终的规则设计提供点滴但扎实的现实基础。

(许可,法学博士,中国人民大学金融科技与互联网安全研究中心副主任)

【作者:许可】 (编辑:林辰)
分享到:

财经网微评论0人参与)

查看更多>>
匿名评论
  • 全部评论(0条)
查看更多>>

热门文章

热点商讯

编辑推荐

要闻

更多>>

编辑推荐

  • 宏观
  • 金融
  • 产经
  • 地产
  • 政经
  • 评论
  • 生活
  • 海外

排行榜

  • 热文
  • 本周热文
  • 热图
  • 热评
  • 博客