天津农商银行APP和捷信金融APP由于存在隐私不合规行为，日前被国家计算机病毒应急处理中心点名。强制收集非必要个人信息，隐私政策内容不完整，强制、频繁、过度索取权限……近年来，金融机构旗下APP因隐私合规问题广受诟病。

       业内人士认为，金融行业对数据具有很强的依赖性，手机APP已成为金融机构针对个人和企业客户展业的重要载体。由于缺乏有效监管和法规约束，以及客户往往难以完全理解其中的法律风险等因素，隐私不合规问题成为金融业“顽疾”。对此，监管部门正出台相关办法，引导金融机构加强个人信息保护，明确数据治理边界。

两款金融APP被点名

       近期，国家计算机病毒应急处理中心通过互联网监测发现，14款移动APP存在隐私不合规行为，其中包括捷信金融APP和天津农商银行APP。

       捷信金融APP被通报的原因是，个人信息处理者处理不满十四周岁未成年人个人信息的，未制定专门的个人信息处理规则，涉嫌隐私不合规。

       天津农商银行APP被通报的原因有两点：一是隐私政策未逐一列出收集使用个人信息的目的、方式、范围等，涉嫌隐私不合规；二是频繁自启动和关联启动。

       天津农商银行回应称，该事件主要原因，一是对客隐私协议中部分条款文字表述不够明确；二是为实时监测客户网络状态，进行弱网环境提示，保持服务流畅，该行远程视频银行控件后台运行时，会持续进行网络状态的获取。

       “在国家计算机病毒应急处理中心指导下，已修订完善了用户隐私条款并更新，对手机银行客户端程序进行了优化，相关问题已整改。”天津农商行公告称。

       此外，记者注意到，捷信消金于3月25日更新了捷信金融APP隐私政策。

问题由来已久

       近年来包括交通银行、浙江泰隆商业银行、重庆银行、吉林银行、山西银行、晋商银行等多家银行APP因存在隐私不合规问题，侵害用户权益行为被通报。

       例如，2023年，交通银行买单吧APP由于强制收集非必要个人信息、隐私政策内容不完整、超范围收集个人信息等原因被上海市网信办通报；浙江泰隆商业银行泰惠收APP因违规收集个人信息以及APP强制、频繁、过度索取权限被工信部通报。

       “这反映出银行等金融机构在通过手机银行APP收集客户个人信息时，存在对个人明确告知工作不到位，违规使用个人信息，并且存在信息收集过多，没有有效做好信息保护等问题。”邮储银行研究员娄飞鹏告诉记者。

       在娄飞鹏看来，金融机构在提供金融服务时，对个人信息保护的重要性认识有待提升；在充分利用个人信息和做好信息保护方面，需要有更多的技术支持。

       业内人士告诉记者，手机APP已成为金融机构针对个人和企业客户展业的重要载体。搜集个人信息，利用大数据技术分析客户的使用习惯、金融需求等，往往能更为精准地开展客户服务、营销推送等。

       谈及金融类APP个人信息保护困境，某银行信息科技部人士表示：“尽管银行采集个人信息时，需经过客户本人同意方能实施。但实际操作中存在过度采集情况，主要是相关法律大多是原则性规定，对于数据治理的边界尚不明确。并且，APP收集信息隐私政策/协议告知后，个人信息主体通常不阅读条款，即便阅读也难以完全理解法律风险，存在信息不对称等问题。”

       加强法律法规可操作性

       “我们身处大数据时代。”在招联首席研究员董希淼看来，金融行业对数据具有很强的依赖性，保障数据安全，引导数据向善，是必须要面对的重要课题。

       “应将所有涉金融APP纳入备案管理范围，实现全覆盖市场治理。”针对金融类APP存在隐私不合规行为，在北京德和衡律师事务所联席执行主任裴虹博看来，应加强相关法律法规的可操作性，从顶层制度方面对银行机构的数据安全工作提出更为明确和细致要求，引导金融机构充分重视数据安全工作，从制度规范角度，将合规主线贯穿在业务的前中后全流程中。

       此外，裴虹博认为，可建立用户投诉渠道，及时处理用户隐私相关问题，并建立监督机制监测APP的合规情况；向用户公开APP收集、使用和保护个人信息的方式和目的，及时通知用户任何与其隐私有关的变更；邀请第三方机构对APP的隐私保护措施进行审计，确保符合相关法规要求。

       金融监管总局日前就《银行保险机构数据安全管理办法》征求意见，拟规定健全数据安全技术保护体系。要求银行保险机构建立针对大数据、云计算、移动互联网、物联网等多元异构环境下的数据安全技术保护体系，建立数据安全技术架构，明确数据保护策略方法，采取技术手段保障数据安全。

       《办法》拟要求银行保险机构在处理个人信息时，应按照“明确告知、授权同意”的原则实施，并履行必要的告知义务；收集个人信息应限于实现金融业务处理目的的最小范围，不得过度收集；共享和对外提供个人信息时，应取得个人同意。

       娄飞鹏对记者表示，这有助于让个人用户明确银行收集的信息范围，让银行根据经营管理或者业务发展需要合理收集信息，防止银行过度收集或者过度使用个人信息，提高数据信息的使用效率，也有助于更好保障个人信息安全。

       在董希淼看来，金融机构应从三方面加以努力：高度重视客户信息保护，建立个人信息数据库分级授权管理制度，加强个人金融信息安全保护的宣传教育。

       文章转自：中国证券报

律师简介

裴虹博

北京德和衡律师事务所联席执行主任

争议解决业务中心副总监

商事与金融争议解决部主任

       专业领域：金融与资本市场/私募基金/商事金融争议解决与执行/合规与风险防控/商事经济犯罪

       裴虹博，客座研究员、经济师、仲裁员、公安管理学硕士、法律硕士、金融学硕士专业。裴律师具有丰富的商事经济金融领域的专业经验，具有经济专业技术资格、会计从业资格、证券从业资格、基金从业资格、保险代理人等专业资格。分别为多家基金公司设立、产品募集备案、投资管理与退出等提供专业法律服务；为近三十家企业发行股票并交易提供相关专业服务；已为重大公司集团等提供合规管理与风险防控、重大民商事争议解决、对外投资合规与风险评估、并购重组、中短期票据发行等提供专业法律服务；所涉及服务领域涵盖影视动漫、医药健康、军工安防、信息安全、新材料、液压制造、精密仪器制造、广告传媒、新能源和TMT等多个行业。

       合著（译）作：《国际警务执法合作》（中国人民公安大学十三五规划教材）、《中国文化旅游产业报告（2015）》、《隐形的国民财富:幸福感、社会关系与权利共享》、《伟大的商业游戏》。

       科研专项与研究报告：公安部公安理论及软科学研究计划项目《国际刑警组织的国际警务合作资源研究》；中央高校基本业务费专项资金资助项目《变革世界的中国警察外交》；《疫情“黑天鹅”事件对外商投资影响分析与合规建议报告》（收入威科先行数据库）、《药品零售业行业研究报告》、《动漫影视行业研究报告》、《软件和信息技术服务行业研究报告》。

       媒体采访：保险互联网营销乱象排查将启动（中国证券报）；工行2.5亿存款“不翼而飞”？判决书还原真相，涉案储户、银行独家回应（中国证券报）；新冠肺炎疫情“黑天鹅”事件背景下外商投资影响性分析与合规建议报告（新华社新华财经）；新冠肺炎疫情对外商投资短期影响有限（经济日报）；科创板试点注册制三类企业可获优先推荐（中国青年报）；全方位立体式追责体系有力强化证券市场法治建设（中国律师网）；证券代表人诉讼制度推动纠纷多元化解（新华社新华财经）；从“高光”驶向“黯淡”ofo小黄车带来的警示（中国青年报）、北交所起航 中小企业迎东风（新华网、中国青年报）；在线理财教育健康发展需有效监管（中国青年报）；“一元理财训练营”让一些年轻人频频踩坑（中国青年报）；买房“负首付”，馅饼还是陷阱？（半月谈内部版）；贷款逾期可减免？起底“非法代理维权”乱象（中国证券报）；4.3%变8%？车贷现“模糊营销”（中国证券报）；下载个App就能还清信用卡账单？揭秘信用卡“代还”乱象（中国证券报）等。

       邮箱：peihongbo@deheheng.com