App信息安全“大考”在即 金融支付企业如何合规?

隐私政策才是这些App被警方点名的真正原因。122款被点名的App中,74款App没有隐私政策,超过总数一半;接近三分之一App未说明业务逻辑和权限关系;超过四分之一App未说明权限用途。

今年1月,中央网信办、工信部等四部门联合开展了App违法违规收集使用个人信息专项治理行动。自行动开始至今,网信办、警方陆续点名了168款存在个人信息安全隐患的App。其中包括手机银行类App、收单机构工具App、证券信托类App和网贷类App,这些金融类App做错了什么被警方点名?有哪些问题值得注意?

违规收集14类个人信息

在168款被点名的App中有21款属于金融支付类App,其中19款被广东公安厅曝光,并通报了违规细节,移动支付网对这19款App的违规细节进行了统计。

在统计中,警方共通报了14类违规收集个人信息的情况,其中“允许录制音频”被点名次数最多,高达13次;“读取通讯录”紧随其后,有9次;“读取短信或彩信”出现了6次。

App信息安全“大考”在即 金融支付企业如何合规?

“允许录制音频”和“读取通讯录”两个隐私权限一度在网上引起热议。有网友怀疑App通过“允许录制音频”对用户进行窃听从而进行精准营销。虽然后来被专家力证“没有必要这样做”,但网友对于“App窃听”依旧心存怀疑。

“读取通讯录”则是金融支付类App的痛点权限。在风控体系中,通过读取用户通讯录、通话记录判断账户真实性一度是金融支付机构的常用手段,特别在网贷App中,用户通讯录更是成为催收利器,但是也因此被闹出无数风波,最后成为人人喊打的对象。

值得注意的是,警方公布的违规细节可能不够完整。例如,“立刷”App和“通付MPOS”App同属于收单工具App,两者都收集了“用户地理位置信息”。但是警方只通报了“通付MPOS”App违规收集“用户地理位置信息”没有通报“立刷”App违规收集“用户地理位置信息”。

很明显,如果“通付MPOS”App收集“用户地理位置信息”属于违规,那么“立刷”App收集“用户地理位置信息”也必然属于违规,只不过警方在点名“立刷”App时并没有通报该细节。

14类违规收集个人信息情况没有任何一项属于19款App所共有的,没有任何一类属于“出现必抓”。所以这14类情况都属于警方关注的重点,只要被点名就会被列出相应的违规情况,不一定是因为出现了这14类情况中的哪一类被点名。金融支付机构万不可心存侥幸。

隐私政策是重点 《网安法》第四十一条要细读

如果14类违规收集个人信息情况不是“出现必抓”,那么什么是导致这19款App被警方点名的主要因素?事实上,广东警方共分4批通报了132款App存在严重信息安全隐患,除了第一批的10款App外,其他的122款App都具有同一个特点:隐私政策存在问题。

App信息安全“大考”在即 金融支付企业如何合规?

隐私政策才是这些App被警方点名的真正原因。122款被点名的App中,74款App没有隐私政策,超过总数一半;接近三分之一App未说明业务逻辑和权限关系;超过四分之一App未说明权限用途。

令人惊讶的是,隐私政策不易阅读也会被警方点名。例如在广东警方7月的曝光名单中酷狗音乐App有服务协议有隐私协议,隐私政策易于访问,但因隐私政策不易阅读、读取用户通讯录、读取日历数据被点名。

App信息安全“大考”在即 金融支付企业如何合规?

被警方点名的19款金融支付类App中有16款被标注了有隐私政策问题,其中8款App存在未说明业务逻辑和权限关系问题,6款App只有用户协议没有隐私政策,4款App既没有用户协议也没有隐私政策。

App信息安全“大考”在即 金融支付企业如何合规?

当然,如果没有隐私政策自然也不可能“说明业务逻辑和权限关系”。从这一点考虑,“未说明业务逻辑和权限关系”这一问题几乎是所有金融支付类App都存在的问题。《网络安全法》第四十一条明确规定:“网络运营者收集、使用个人信息应明示收集、使用信息的目的、方式和范围,并经被收集者同意。”

另外在网信办点名的30款App中,10款App无隐私政策,20款App强迫用户同意一次性开启多种隐私权限。在网信办的通报中,这30款App全部违反了《网络安全法》第四十一条。由此可见《网络安全法》第四十一条的重要性。

App信息安全“大考”在即 金融支付企业如何合规?

合规要点:一个完整的隐私政策

7月1日,工信部下发《电信和互联网行业提升网络数据安全保护能力专项行动方案》,要求今年10月底前完成200款主流App数据安全检查,深化App违法违规专项治理,持续推进App违法违规收集使用个人信息专项治理行动。

由文件可知,App治理工作会继续进行,而且即将进行一次“大考”,金融支付行业作为基础行业必然会参加“大考”。那么这次“大考”的考试要点是什么呢?一个完整的隐私政策是必不可少的。

由上文的“隐私政策问题种类”结合《个人信息安全规范》(下文简称“《规范》”),我们可以得到一些“知识点”。

1、用户协议和隐私政策需要单独成文。74款没有隐私政策被点名的App中有37款属于“有用户协议但是没有隐私政策”,其中有不少App用户协议中有隐私条款但是因为没有单独成文所以被点名。除了这74款App还有3款App因为有隐私政策无用户协议被点名。

2、业务逻辑和权限关系必须说明。在统计中,“未说明业务逻辑和权限关系”是所有问题中出现次数最多的,同时“未完整说明业务和权限关系”的App也被警方点名。《规范》要求:“隐私协议应包括收集、使用个人信息的目的,以及目的所涵盖的各个业务功能”。

3、用户协议和隐私政策需要易于访问、阅读。《规范》明确规定:隐私政策应公开发布且易于访问。前文已有举例App因隐私政策不易阅读被点名,除此之外还有App因为隐私政策打不开、登录后才可查看用户协议和隐私政策被点名。因此,App最好在注册页面显示用户协议和隐私政策,且应“清晰易懂,符合通用的语言习惯”。

4、合法且遵守原则。个人信息安全有7项基本原则:权责一致、目的明确、选择同意、最少够用、公开透明、确保安全、主体参与。隐私政策的编写需要遵守这7项原则,并在条文中有所体现,这七项原则在《网路安全法》中有所呈现,并在《规范》中再次出现。遵守这7项原则是合法合规最简单的办法。

一个完整的隐私政策被制定出来之后更重要的是遵守,也就是按照隐私政策和用户协议所公布的条款采集、使用个人信息。违规收集用户个人信息中的“规”可以理解为《网络安全法》、《规范》,也可以理解为App公布的用户协议和隐私政策。

一款App收集多少用户个人信息固然非常重要,但更重要的是收集这些个人信息是否在用户协议和隐私政策中写明,是否向用户明示且征得用户同意。这是判定是否“违规收集用户个人信息”的重要内容。

安全是重中之重

用户协议和隐私政策严格意义上并不是《规范》的核心内容,“个人信息安全需要全生命周期保护”才是真正的重点,用户协议和隐私政策只是“全生命周期保护”的外在表现。如果写了一份非常漂亮的用户协议和隐私政策却做不到“全生命周期保护”,发生了丢失、滥用个人信息的情况,再漂亮的用户协议和隐私政策也不过是一张废纸。

本文来自信息化观察者网,转载请注明出处。