App信息安全“大考”在即金融支付企业如何合规
今年1月,中央网信办、工信部等四部门联合开展了App违法违规收集使用个人信息专项治理行动。自行动开始至今,网信办、警方陆续点名了168款存在个人信息安全隐患的App。其中包括手机银行类App、收单机构工具App、证券信托类App和网贷类App,这些金融类App做错了什么被警方点名?有哪些问题值得注意?
违规收集14类个人信息
在168款被点名的App中有21款属于金融支付类App,其中19款被广东公安厅曝光,并通报了违规细节,移动支付网对这19款App的违规细节进行了统计。
在统计中,警方共通报了14类违规收集个人信息的情况,其中“允许录制音频”被点名次数最多,高达13次;“读取通讯录”紧随其后,有9次;“读取短信或彩信”出现了6次。
“允许录制音频”和“读取通讯录”两个隐私权限一度在网上引起热议。有网友怀疑App通过“允许录制音频”对用户进行窃听从而进行精准营销。虽然后来被专家力证“没有必要这样做”,但网友对于“App窃听”依旧心存怀疑。
“读取通讯录”则是金融支付类App的痛点权限。在风控体系中,通过读取用户通讯录、通话记录判断账户真实性一度是金融支付机构的常用手段,特别在网贷App中,用户通讯录更是成为催收利器,但是也因此被闹出无数风波,最后成为人人喊打的对象。
值得注意的是,警方公布的违规细节可能不够完整。例如,“立刷”App和“通付MPOS”App同属于收单工具App,两者都收集了“用户地理位置信息”。但是警方只通报了“通付MPOS”App违规收集“用户地理位置信息”没有通报“立刷”App违规收集“用户地理位置信息”。
很明显,如果“通付MPOS”App收集“用户地理位置信息”属于违规,那么“立刷”App收集“用户地理位置信息”也必然属于违规,只不过警方在点名“立刷”App时并没有通报该细节。
14类违规收集个人信息情况没有任何一项属于19款App所共有的,没有任何一类属于“出现必抓”。所以这14类情况都属于警方关注的重点,只要被点名就会被列出相应的违规情况,不一定是因为出现了这14类情况中的哪一类被点名。金融支付机构万不可心存侥幸。
隐私政策是重点《网安法》第四十一条要细读
如果14类违规收集个人信息情况不是“出现必抓”,那么什么是导致这19款App被警方点名的主要因素?事实上,广东警方共分4批通报了132款App存在严重信息安全隐患,除了第一批的10款App外,其他的122款App都具有同一个特点:隐私政策存在问题。
隐私政策才是这些App被警方点名的真正原因。122款被点名的App中,74款App没有隐私政策,超过总数一半;接近三分之一App未说明业务逻辑和权限关系;超过四分之一App未说明权限用途。
令人惊讶的是,隐私政策不易阅读也会被警方点名。例如在广东警方7月的曝光名单中酷狗音乐App有服务协议有隐私协议,隐私政策易于访问,但因隐私政策不易阅读、读取用户通讯录、读取日历数据被点名。
被警方点名的19款金融支付类App中有16款被标注了有隐私政策问题,其中8款App存在未说明业务逻辑和权限关系问题,6款App只有用户协议没有隐私政策,4款App既没有用户协议也没有隐私政策。
当然,如果没有隐私政策自然也不可能“说明业务逻辑和权限关系”。从这一点考虑,“未说明业务逻辑和权限关系”这一问题几乎是所有金融支付类App都存在的问题。《网络安全法》第四十一条明确规定:“网络运营者收集、使用个人信息应明示收集、使用信息的目的、方式和范围,并经被收集者同意。”
另外在网信办点名的30款App中,10款App无隐私政策,20款App强迫用户同意一次性开启多种隐私权限。在网信办的通报中,这30款App全部违反了《网络安全法》第四十一条。由此可见《网络安全法》第四十一条的重要性。
合规要点:一个完整的隐私政策
7月1日,工信部下发《电信和互联网行业提升网络数据安全保护能力专项行动方案》,要求今年10月底前完成200款主流App数据安全检查,深化App违法违规专项治理,持续推进App违法违规收集使用个人信息专项治理行动。
由文件可知,App治理工作会继续进行,而且即将进行一次“大考”,金融支付行业作为基础行业必然会参加“大考”。那么这次“大考”的考试要点是什么呢?一个完整的隐私政策是必不可少的。
由上文的“隐私政策问题种类”结合《个人信息安全规范》(下文简称“《规范》”),我们可以得到一些“知识点”。
1、用户协议和隐私政策需要单独成文。74款没有隐私政策被点名的App中有37款属于“有用户协议但是没有隐私政策”,其中有不少App用户协议中有隐私条款但是因为没有单独成文所以被点名。除了这74款App还有3款App因为有隐私政策无用户协议被点名。
2、业务逻辑和权限关系必须说明。在统计中,“未说明业务逻辑和权限关系”是所有问题中出现次数最多的,同时“未完整说明业务和权限关系”的App也被警方点名。《规范》要求:“隐私协议应包括收集、使用个人信息的目的,以及目的所涵盖的各个业务功能”。
3、用户协议和隐私政策需要易于访问、阅读。《规范》明确规定:隐私政策应公开发布且易于访问。前文已有举例App因隐私政策不易阅读被点名,除此之外还有App因为隐私政策打不开、登录后才可查看用户协议和隐私政策被点名。因此,App最好在注册页面显示用户协议和隐私政策,且应“清晰易懂,符合通用的语言习惯”。
4、合法且遵守原则。个人信息安全有7项基本原则:权责一致、目的明确、选择同意、最少够用、公开透明、确保安全、主体参与。隐私政策的编写需要遵守这7项原则,并在条文中有所体现,这七项原则在《网路安全法》中有所呈现,并在《规范》中再次出现。遵守这7项原则是合法合规最简单的办法。
一个完整的隐私政策被制定出来之后更重要的是遵守,也就是按照隐私政策和用户协议所公布的条款采集、使用个人信息。违规收集用户个人信息中的“规”可以理解为《网络安全法》、《规范》,也可以理解为App公布的用户协议和隐私政策。
一款App收集多少用户个人信息固然非常重要,但更重要的是收集这些个人信息是否在用户协议和隐私政策中写明,是否向用户明示且征得用户同意。这是判定是否“违规收集用户个人信息”的重要内容。
安全是重中之重
用户协议和隐私政策严格意义上并不是《规范》的核心内容,“个人信息安全需要全生命周期保护”才是真正的重点,用户协议和隐私政策只是“全生命周期保护”的外在表现。如果写了一份非常漂亮的用户协议和隐私政策却做不到“全生命周期保护”,发生了丢失、滥用个人信息的情况,再漂亮的用户协议和隐私政策也不过是一张废纸。
在监管趋严的势态下,金融支付机构需要做的是直面应当承担的责任和义务。金融信息安全的重要性随着大数据时代的到来达到了前所未有的地步,如何保护好金融信息安全已经成为了企业的生命线。金融支付机构会怎么走?未来会发生什么事情?移动支付网将于11月5日在深圳举办“2019第四届中国移动金融安全大会”,本次大会将探讨有关问题。