本報記者 李冰

    日前，中國互聯網金融協會公布《移動金融客戶端應用軟件典型違規案例》，經梳理，這已是中國互聯網金融協會年內第三次公布相關違規案例。

    受訪者普遍認為，移動金融App違規收集個人信息背后原因是機構在收集大量的用戶信息以進行分析和挖掘時，在隱私保護方面存在欠缺，未遵循用戶知情同意、目的限制原則和最小必要原則，導致違規問題頻發。

    違規收集個人信息

    根據中國互聯網金融協會公布內容來看，某移動金融App使用的第三方SDK收集用戶“設備MAC地址、AndroidID、OAID”等個人信息，但未在App隱私政策中向用戶告知上述第三方SDK（軟件開發工具）收集個人信息情況。

    其問題根源是，該移動金融App在使用第三方SDK前未進行SDK個人信息保護能力評估，對其使用的第三方SDK收集個人信息范圍未全面掌握，造成所使用的第三方SDK私自收集個人信息。

    事實上，此前監管部門對上述問題曾有過明確規定。《工業和信息化部關于進一步提升移動互聯網應用服務能力的通知》中要求App開發者加強軟件開發工具（SDK）使用管理：使用SDK前對其進行個人信息保護能力評估，通過合同等形式明確約定各方權利和義務，確保個人信息處理依法合規；集中展示并及時更新嵌入的SDK名稱、功能及其處理個人信息的規則。

    同時，《工業和信息化部關于開展縱深推進App侵害用戶權益專項整治行動的通知》中明確整治任務包括違規收集個人信息。重點整治App、SDK未告知用戶收集個人信息的目的、方式、范圍且未經用戶同意，私自收集用戶個人信息的行為。

    “協會發布相關案例在業內具有警示作用，機構應全面了解第三方SDK收集個人信息范圍，并在App自身隱私政策中完整向用戶告知；同時，機構也應全面評估使用的第三方SDK是否存在風險，選擇使用合規SDK。”中國（上海）自貿區研究院金融研究室主任劉斌對《證券日報》記者說。

    年內已公布三期典型違規案例

    經梳理，年內中國互聯網金融協會已發布三期移動金融客戶端應用軟件典型違規案例。中國互聯網金融協會在1月22日發布《移動金融客戶端應用軟件典型違規案例》第一期，某金融App申請連接使用藍牙key功能，用戶在同意“存儲”權限申請告知后拒絕權限申請。App重新運行時，仍向用戶彈窗申請該權限，且該權限與當前服務場景無關；3月5日發布《移動金融客戶端應用軟件典型違規案例》第二期，通報某移動金融App向其他個人信息處理者提供其處理的個人信息時，未向個人告知接收方的名稱或者姓名、聯系方式、處理目的、處理方式和個人信息的種類，未取得個人的單獨同意。

    劉斌分析認為，從通報違規案例特點來看，一是對用戶告知環節容易被忽視，導致在涉及第三方的信息共享環節中，未能主動向用戶披露相關信息并獲取明確授權。二是對“單獨同意”機制理解執行不足。此外，內部管理機制的不完善也可能導致在信息共享環節缺乏必要的審核流程，使得信息在未經用戶充分授權的情況下被提供給第三方。

    在北京市社會科學院副研究員王鵬看來，金融機構應在以下幾方面守護個人信息安全底線。第一，加強內部管理和培訓。組織員工深入學習個人信息保護法律法規和監管要求，提高合規意識和法律意識。第二，提升技術手段和防護能力，加強對個人信息存儲和傳輸環節的安全保護；第三，機構仍需關注用戶隱私邊界，建立數據泄露監測和響應機制，及時發現并應對數據泄露事件；第四，建立健全內部審核機制，對涉及第三方的信息共享行為進行嚴格管控，確保符合法律法規要求。

    中國銀行研究院研究員葉銀丹對《證券日報》記者表示，機構應重點關注用戶知情同意、目的限制原則和最小必要原則，完善數據安全規范管理。同時，金融機構及其合作伙伴需從數據采集、存儲、加工、傳輸、披露等環節規范用戶個人信息管理。同時可以建立全流程合規機制并細化權限管理，區分必要授權與非必要授權，對于重點和敏感信息應給予用戶單獨同意的權利。此外，要強化第三方合作管控，確保用戶對銀行與第三方的個人信息合作共享事項知情同意，與外部合作方簽訂數據安全協議，明確責任邊界。同時，通過彈窗、視頻等形式做好用戶教育和特別提醒，避免“長篇條款”導致的用戶忽視和反復詢問帶來的體驗感下降。

（編輯 孫倩）