部分银行App未授权无法使用 收集信息范围该如何界定?
2021-06-24 15:33:33来源:城市金融报
手机银行App因侵害用户权益被点名并不是什么新鲜事。但在监管点名之后,有些银行整改并不到位,违规收集用户信息的情况仍然存在。这其中的原因有哪些?银行要求用户开通多项权限是否为服务所必须?严监管之下,App收集的信息范围该如何界定?
侵害用户权益行为已成为监管部门对手机App整治的重点。近期部分银行App也因违规收集个人信息、超范围收集个人信息、强制用户使用定向推送功能等被通报。调查发现,在强监管下,部分银行已对手机App进行整改,若用户拒绝开通相关权限则不影响部分功能和服务的使用,但仍有银行App首次打开时需要获取存储权限、设备状态、位置权限等,若用户拒绝则无法使用手机银行服务。
部分银行App未授权无法使用
工信部日前发布《关于侵害用户权益行为的App通报(2021年第5批总第14批)》通报了291款侵害存在问题尚未完成整改的App。在四川省通信管理局通报存在问题的应用软件名单中,四川天府银行以及绵阳市商业银行因违规收集个人信息、超范围收集个人信息等原因位于该名单之中。
工信部要求上述违规App在6月16日前完成整改落实工作。但调查发现,整改并非完全落实。如当首次打开四川天府银行App时仍需要获取存储权限、设备状态、位置权限等,若用户拒绝则无法进入手机银行主界面。该手机App提示,“手机状态与身份权限以及存储权限是必须的,否则我们无法为您提供相关的服务,请在设置-应用-天府手机银行-权限中开启相关权限”。而绵阳市商业银行与四川天府银行同样也需要获取用户相关权限,但用户拒绝授权后则可进入手机银行服务界面。
谈及仍有通报银行未经整改的原因,资深银行业分析人士王剑辉认为,App整改难是因为有些银行规模并不是很大,在手机银行方面的投入也相对比较有限,修改并不是简单取消一两项权限,可能整个流程、信息库的管理都需要修改,成本也会比较高,而在此期间能否平滑过渡也不能保证。还有些银行也抱着得过且过的态度,出于成本考虑沿用原来的系统不太愿意彻底整改。更有甚者出于自身利益的考量,想通过收集App信息扩大业务带来更多的收入,而罚款的额度小于这部分利益的收入,所以愿意铤而走险。
除上述被通报App之外,据了解,有部分银行因用户未授权相关信息,而无法使用手机银行。例如,北京农商行用户不开通存储、电话权限则无法进入手机银行主界面;蒙商银行储存权限未开启无法使用手机银行;上海银行若存储卡读写、获取手机状态权限申请被拒绝,App则会自动退出等。
对此,北京农商行的客服人员表示,开通上述权限是为了确保用户的账户安全,如果一天之内用户账号频繁操作就可能出现相应的风险,不开通权限,银行无法监管,资金方面的风险就无法保障。至于个人信息安全,银行有保密协议,客户的个人信息不会对外泄露。
银行要求用户开通上述权限是否为服务所必须?王剑辉认为,从银行角度而言确实有出于安全方面的考虑,通过采集用户的个人信息来确保客户资产安全的需要,但在执行过程中也确实存在一些过量采集信息的行为,比如一些银行App要求访问通讯录、访问设备位置信息等,这些信息银行并不是非要不可,与保障客户利益关联性并不是很大。
银行App收集的信息范围该如何界定
此前,有媒体在对18家民营银行App调查中发现,有16家首次打开App即弹窗要求访问用户相关信息,收集权限大致涵盖:位置、设备照片(相册)及文件、读取通话状态和移动网络信息、录制音频视频、获取储存权限等。
对此,多位律师表示,个人信息在具体业务有必要时才能采集,打开App并非提供服务,未享受相关服务时就不该收集相关信息。
那么政策又对银行App权限是否有规定?哪些属于银行应收集的必要个人信息?
5月1日,国家互联网信息办公室等四部门联合发布的《常见类型移动互联网应用程序必要个人信息范围规定》正式实施,《规定》明确移动互联网应用程序(App)运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用App基本功能服务。在手机银行方面,《规定》提到,手机银行类基本功能服务为“通过手机等移动智能终端设备进行银行账户管理、信息查询、转账汇款等服务”,必要个人信息包括:注册用户移动电话号码;用户姓名、证件类型和号码、证件有效期限、证件影印件、银行卡号码、银行预留移动电话号码;转账时需提供收款人姓名、银行卡号码、开户银行信息。
4月26日,工信部会同公安部、市场监管总局起草的《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》也提到,移动互联网应用程序不得提前申请超出其业务功能或者服务外的权限,不得利用频繁弹窗反复申请与当前服务场景无关的权限。
谈及银行App整改建议,北京寻真律师事务所律师王德怡表示,银行App有基础查询功能,也有转账、贷款及理财功能,银行应当根据客户不同类型的需求设定相应的权限。银行所采集的信息范围,要遵守《常见类型移动互联网应用程序必要个人信息范围规定》的规定;如果金融行业监管规定另有特别要求,银行收集上述信息也不违法。
金融科技专家苏筱芮认为,从业机构需要及时关注法律法规,及时按照监管要求做好各项备案与整改工作。从监管信号判断,信息安全与隐私保护已成金融监管全新课题,建议各机构充分重视监管信号,成立专项组来稳步推进技术方面的合规工作。
王剑辉则建议,手机App治理应采用更硬性的管理,应该出台相应的法律措施加大处罚力度,同时,银行应在银行科技投入方面提供更多的鼓励措施,鼓励银行开发更先进创新的系统而不是通过过量采集用户信息的方式保障客户利益。(孟凡霞 李海颜)