強監管加碼四大類金融理財類App個人信息收集受限

原標題：強監管加碼，四大類金融理財類App個人信息收集受限

App收集個人信息監管加碼。3月22日，國家互聯網信息辦公室等四部門聯合印發《常見類型移動互聯網應用程序必要個人信息範圍規定》（下稱《規定》），自5月1日起施行。

《規定》對網絡借貸類、投資理財類等39類常見類型App規定了“必要個人信息範圍”，其中關於金融理財的App有四類，涉及的“必要個人信息範圍”主要包括註冊用戶移動電話號碼、用戶姓名、證件類型和號碼、銀行卡號碼等。除了這些必要信息外，《規定》強調App不得因用戶不提供非必要個人信息，就拒絕用戶使用其基本功能服務。

接受第一財經記者採訪的業內人士認爲，《規定》的出臺有利於解決以往存在的個人信息泄漏、濫用等問題。中倫律師事務所合夥人劉新宇對記者稱，《規定》從監管層面劃定了信息收集的最小範圍，即App只有在用戶拒絕提供規定的必要信息的情況下，才能拒絕提供服務，進而對用戶信息提供實質性保護。

四類金融理財類App信息收集受限

距離徵求意見稿發佈3個月有餘，3月22日《規定》正式下發。根據中國網信網消息，這主要是爲了落實《中華人民共和國網絡安全法》關於個人信息收集合法、正當、必要的原則，規範移動互聯網應用程序（App）個人信息收集行爲，保障公民個人信息安全。

從內容上看，《規定》明確了地圖導航、網絡約車、即時通信、網絡購物等39類常見類型移動應用程序必要個人信息範圍，要求其運營者不得因用戶不同意提供非必要個人信息，而拒絕用戶使用App基本功能服務。

其中，在金融理財方面，有四大類App涉及其中，主要包括網絡支付類、網絡借貸類、投資理財類和手機銀行類。

具體來看，對於網絡借貸類App，必要個人信息包括：註冊用戶移動電話號碼；借款人姓名、證件類型和號碼、證件有效期限、銀行卡號碼；對於投資理財類App，必要個人信息包括：註冊用戶移動電話號碼；投資理財用戶姓名、證件類型和號碼、證件有效期限、證件影印件；投資理財用戶資金賬戶、銀行卡號碼或支付賬號等。

針對網絡支付類App，必要個人信息包括：註冊用戶移動電話號碼；註冊用戶姓名、證件類型和號碼、證件有效期限、銀行卡號碼；針對手機銀行類App，必要個人信息包括註冊用戶移動電話號碼；用戶姓名、證件類型和號碼、證件有效期限、證件影印件、銀行卡號碼、銀行預留移動電話號碼；轉賬時需提供收款人姓名、銀行卡號碼、開戶銀行信息。

“以往App出現問題，主要就是由於監管未明確其所屬服務類型的必要信息而自行劃定了信息收集情況，往往這個範圍會比較有利於App運營者，且所收集的信息很多都超出了必要範圍。”劉新宇說。而對於用戶來說，很可能只是需要使用App中的某個基本功能，如此一來，就會出現App過度索權的問題。

用戶個人在信息市場上處於相對劣勢的地位，通常不清楚自己需要提供哪些個人信息，以及哪些信息會被收集，因此，在業內人士看來，App即使獲得了用戶的同意和授權，也需要在客觀上加以限制，遵循必要性原則，這就意味着劃定個人信息收集範圍有其必要性。

不過，《規定》的出臺也爲App主體帶來了更多挑戰。劉新宇對記者稱，App主體首先要明確劃分好自己的基本功能服務是什麼，同時還要調整現行隱私政策等個人信息授權文本中的表述。再者，部分類型的App可能會影響業務模式，如網絡借貸。“《規定》要求的必要範圍比行業實踐中實際收集的信息範圍要小得多，要嚴格執行這個規定，用戶提供幾項信息即可，如何在只有這幾項信息的情況下進行貸款審批，可能涉及到風控策略的調整。”他說道。

App個人信息收集持續嚴監管

近年來，隨着移動互聯網快速發展，各類應用程序迅速普及應用，在促進經濟社會發展、服務民生等方面發揮了重要作用。但同時，App超範圍收集用戶個人信息問題越來越突出。

不只是金融理財類App，包括地圖導航類、網絡約車類等App也存在信息過度收集的問題。特別是大量App通過捆綁功能服務一攬子索取個人信息授權，用戶拒絕授權就無法使用App基本功能服務，變相強制用戶授權，使得個人信息泄漏、濫用等情形頻頻發生。

爲治理此類亂象，早在2019年，相關部門就開展過專項治理工作。2019年1月，中央網絡安全和信息化委員會辦公室、工業和信息化部、公安部、國家市場監督管理總局聯合發佈《關於開展App違法違規收集使用個人信息專項治理的公告》，同時成立App專項治理工作組，在全國範圍內組織開展App違法違規收集使用個人信息專項治理，至此，個人信息保護迎來強監管時代。

據悉，當時專項治理工作組建立了專門針對App違法違規收集使用個人信息行爲的舉報渠道，受理網民投訴舉報。根據舉報內容，網民反映較多的前五大典型問題分別爲：超範圍收集與功能無關個人信息、強制或頻繁索要無關權限、存在不合理免責條款、無法註銷賬號、默認捆綁功能並一攬子同意。

對此，相關部門制定了《App違法違規收集使用個人信息行爲認定方法》，將App違法違規收集使用個人信息行爲概括爲“未公開收集使用規則”、“未明示收集使用個人信息的目的、方式和範圍”、“未經用戶同意收集使用個人信息”、“違反必要原則，收集與其提供的服務無關的個人信息”、“未經用戶同意向他人提供個人信息”、“未按法律規定提供刪除或更正個人信息功能或未公佈投訴、舉報方式等信息”六類行爲，爲統一監管執法尺度提供了參考。

另外，專項治理工作還委託全國信息安全標準化技術委員會組織修訂國家標準的《個人信息安全規範》，編制國家標準《移動互聯網應用程序（App）收集個人信息基本規範》，明確App收集使用個人信息時應滿足的基本要求，以及30類大衆化App基本業務功能可收集的最小必要信息。

如今，在前期要求的基礎上，國家互聯網信息辦公室會同工業和信息化部、公安部、國家市場監督管理總局聯合制定實施《規定》，聚焦解決App超範圍收集個人信息問題，規範收集個人信息活動。在業內人士看來，這將爲個人信息收集提供實質性保護。

不過，還有觀點提及，App個人信息保護問題不僅與APP自身有關，還涉及移動設備生產商（手機廠商）、App分發平臺（應用商店）、第三方（第三方SDK、合作伙伴）等多方主體，需要多方合力解決。