原標題：違規幹這種事？！招行、平安銀行旗下App遭點名通報 另有80多款App也上榜

日前，多款銀行旗下App違規收集使用個人信息被網信辦點名。

5月10日，網信辦對84款App違法違規收集使用個人信息的情況進行了點名通報，其中涉及36款安全管理類App、48款網絡借貸類App。所涉違法違規行爲包括未經用戶同意收集使用個人信息，收集與其提供服務無關的個人信息等。

值得注意的是，在被通報的網絡借貸類App中，平安貸款App、招貸App兩款直屬平安銀行、招商銀行的平臺；此外，還有招聯消金、馬上消金、中原消金等多家持牌機構及大型企業旗下的App也在名單之列。

近日，多位業內人士向券商中國記者表示，針對用戶個人信息安全保護，監管近年頻頻重拳出擊，從頒法令到落地執行的逐步完善過程中，包括金融、生活服務類等App違規採集、使用、交易個人信息被通告整改時有發生，這是個人信息保護走向規範的必經階段。

不過，涉及到金融類App，金融要素信息更加敏感，而且和個人財產安全高度相關，受市場關注度更大，監管對個人金融信息安全保護要求也必然等級更高。

招行、平安等銀行App被通報整改

5月10日，網信辦發佈通報稱，在近期對安全管理、網絡借貸等常見類型公衆大量使用的部分App的個人信息收集使用情況進行了檢測，發現共有84款App存在違法違規收集使用個人信息等問題。

在本次被通報的App中，網絡借貸類App涉及48款，其中，360借條、平安好貸、平安消費金融、中原消費金融等18款App未經用戶同意收集使用個人信息；招聯消費金融、滴滴金融等平臺也涉及收集與其提供的服務無關的個人信息等違規行爲。

值得注意的是，此次通報的平臺包括兩款銀行類App，即平安銀行旗下的平安貸款和招商銀行旗下的招貸。具體來看，平安貸款和招貸這兩款App存在的主要問題均涉及“違反必要原則，收集與其提供的服務無關的個人信息等。”

券商中國記者從平安貸款App的《用戶隱私政策》上看到，平臺收集的“服務基本業務功能所需的個人信息”除了證件類型、號碼、姓名等基本信息外，還包括SIM卡號、人臉識別信息、OCR上傳證件信息等，甚至包括App的瀏覽信息、屏幕信息、訪問時間、頁面點擊頻次、廣告點擊情況等。

與類似平安貸款的是，招行旗下的招貸App也收集了用戶的個人上網記錄，包括用戶操作記錄、軟件的使用和點擊記錄等，還收集個人財產信息，包括銀行賬戶、鑑別信息、房產信息信貸記錄、徵信信息、信貸記錄和交易信息等。

根據央行去年2月發佈的《個人金融信息保護技術規範》，個人金融信息類別根據可危害程度及敏感程度分爲C3、C2、C1三個類別。C3主要包括用戶鑑別信息，即銀行卡磁道數據、銀行卡密碼、網絡支付交易密碼、賬戶密碼等，以及用於鑑別的個人生物識別信息。

上述文件指出，C3類信息一旦遭到未經授權的查看或未經授權的變更，會對個人金融信息主體的信息安全與財產安全造成嚴重危害。

金融類App侵害個人信息現象屢禁不止

實際上，近期監管部門對違規App的整治行動中，多家銀行等金融機構的“正規軍”網絡應用存在較多侵害用戶權益的行爲。

4月23日，由工信部官網披露《關於侵害用戶權益行爲的App通報（2021年第4批總第13批）》中，涵蓋生活社區、遊戲娛樂、金融及科技等過個領域的93款App上了通報榜單。之後，在廣東省通信管理局的檢查中發現，仍有45款App未完成整改，包括多家銀行App。

名單顯示，廣州農商行的珠江直銷銀行App、廣東南粵銀行App、微衆銀行的微衆企業愛普App在列。所涉問題分別爲違規收集個人信息；違規收集個人信息、App強制、頻繁、過度索取權限；違規收集個人信息、超範圍收集個人信息。

2020年12月，國家計算機病毒應急處理中心在“淨網2020”專項行動中通過互聯網監測發現，興業銀行、內蒙古農信、內蒙古銀行、海峽銀行、鄂爾多斯銀行6家銀行App因“未向用戶明示申請的全部隱私權限，涉嫌隱私不合規”被點名。

此前，一家業內知名反欺詐科技公司資深安全產品經理告訴券商中國記者，相比其他信息，“用戶的金融要素信息，如身份證號、手機號、證件信息、賬戶信息、財產信息等，涉敏，而且往往和個人金融安全高度相關，若被有心分子盜用作爲交易資源的話，它的‘商業價值’是最高的，所以會被重點關注。”

四部門聯合頒佈新規，5月已正式實施

近期，爲規範App個人信息處理活動，由網信辦統籌指導下，工信部、公安部、市場監管總局四部門聯合印發《常見類型移動互聯網應用程序必要個人信息範圍規定》（下稱《規定》），並於5月1正式實施。

網信辦相關人員在答記者問時表示，App超範圍收集個人信息、強制授權、過度索權等現象大量存在，違法違規使用個人信息問題十分突出，廣大網民對此反映強烈。《規定》明確要求，App運營者不得因用戶不同意收集非必要個人信息，而拒絕用戶使用其基本功能服務。

同時，《規定》明確指出，“個人生物特徵、醫療健康、金融賬戶、個人行蹤等敏感個人信息的，應當對用戶進行單獨告知，取得用戶同意後，方可處理敏感個人信息。”

此前，央行在發佈《商業銀行法（修改建議稿）》並公開徵求意見時，新增了“客戶權益保護”章節，對商業銀行營銷、信息披露、風險分級與適當性管理、個人信息保護、收費管理等客戶保護規範作出具體規定。

其中包括：“商業銀行不得收集與業務無關的個人信息或者採取不正當方式收集個人信息，不得篡改、倒賣、違法使用個人信息。”同時，“商業銀行應當保障個人信息安全，防止個人信息泄露和濫用。商業銀行將個人信息處理外包給第三方的，應當確保第三方遵守個人信息保護規定，並採取有效措施保障個人信息安全。”

對於個人金融信息的保護，在《個人信息保護法》草案的通用性規定之外，2019年年底施行的《中國人民銀行金融消費者權益保護實施辦法》，以及去年初出臺的《個人金融信息保護技術規範》都規定了個人金融信息保護的特殊之處。

中國銀行法學研究會理事肖颯介紹，“個人金融信息保護技術規範的擴大適用，除了持牌金融機構，對於‘涉及個人金融信息處理的相關機構’，比如金融機構委託處理個人信息的科技公司也需要受到規制。” 

對於C3類別和C2類別等敏感信息，肖颯介紹，根據個人信息保護法要求，“敏感信息處理更嚴格，要求取得個人單獨授權或書面同意，還應當告知信息被採集人敏感信息對個人的影響。”