随着移动互联网的快速发展,移动金融APP已经成为国内金融服务最广泛、最直接、最便捷的入口。
7月16日晚,央视“3.15”晚会再次提及手机应用非法收集个人信息的问题。在提到的50多个应用中,有40多个金融应用。
这些应用程序在后台读取电话号码、地址簿、短信记录、应用程序列表和其他信息,并将联系人和交易验证码等数据上传到第三方服务器。此外,第三方软件开发工具包不仅收集用户的手机号码和设备信息,还收集用户的私人信息,如用户的手机通讯录、短信信息、传感器信息等。收集后,它将被发送到指定的服务器进行存储。
在这方面,工业和信息化部官方网站宣布,将立即组织第三方测试机构,利用上述两个软件开发工具包对央视曝光的50多个应用进行技术测试,并尽快启动有问题应用的现成程序。据工业和信息化部介绍,自去年11月工业和信息化部开展用户权益专项整治以来,共发现8万多个应用,开展了8000多个应用的自查整改,向478家存在问题的企业发出了整改函。
虽然监督一再强调保护个人隐私,但在现实中仍然很普遍。
在此背景下,《21世纪经济报道》记者了解到,央行也在今年上半年启动了金融技术应用(financial technology APPlication)综合风险评估,移动金融客户端应用软件成为评估的重点之一,而移动金融应用及其背后的金融数据安全是重中之重。
随着移动互联网的快速发展,移动金融APP已经成为国内金融服务最广泛、最直接、最便捷的入口。视觉中国赫尔佐格
如何判断收集信息的合法性?
金融应用程序过度收集、阅读和使用收集的用户信息是否构成侵犯公民个人信息罪?这是有区别的。
7月21日,中国银行法律研究协会会长肖萨在接受《21世纪经济报道》采访时表示,一种观点认为,这不构成侵犯公民个人信息罪。因为APP是在用户同意的情况下读取这类信息的,所以这些信息是在用户承诺的范围内使用的,企业并没有将这些信息转让给他人,而只是用于金融公司的贷款审批和讨债。
然而,另一种观点认为,用户的同意并不是真正用户的意图。如果用户不同意,他就不能使用金融应用。虽然没有信息外流,但阅读手机通讯录和打电话给亲友讨债的行为给用户带来了很大的麻烦,已经突破了合理合法的界限。
在司法实践中,判断的一个关键点是是否表达信息的使用。企业在获取用户信息时,所采集的手机通讯录信息是否会被用于贷款审批和讨债,如果没有明确说明,将被视为非法获取。
《网络安全法》第41条规定,网络经营者在收集和使用个人信息时,应当遵循合法、公正和必要的原则,公布收集和使用信息的规则,明确说明收集和使用信息的目的、方法和范围,并征得被收集人的同意。
就收集者而言,隐私协议旨在获得用户信息授权。然而,大多数金融应用都是内置协议。根据我国《合同法》第40条的规定,提供格式条款的一方当事人免除其责任,加重另一方当事人的责任,排除另一方当事人的主要权利的,该条款无效。
“在实际案件中,法官会根据协议的内容和商业逻辑的实质进行判断。一旦法院认定授权无效,移动APP获取用户信息的行为将完全失去法律依据。”萧
同时,7月17日公布的《商业银行互联网贷款管理暂行办法》也提到,商业银行如需从合作机构获取借款人风险数据,应通过适当方式确认合作机构的数据来源合法、合规、真实、有效,向外界提供数据不违反法律法规要求,并已获得信息主体本人的明确授权。商业银行不得与非法收集和使用个人信息的第三方合作。
央行移动金融应用的核心是金融数据安全
今年上半年,央行发布了《关于开展金融科技应用风险专项摸排工作的通知》号文件(以下简称45号文件)。
“45号文件”的背景是加强金融技术应用的风险防控,确保用户信息和资金的安全。中国人民银行要求各分行在2020年10月31日前提交书面报告。
自2019年9月103010日(YF[2019]237号)起,移动金融客户端应用软件备案工作正在进行中。
《21世纪经济报道》记者了解到,移动金融APP及其背后的金融数据安全是最重要的事情。本次安排工作中对APP的安全要求继承了银发〔2019〕237号文件的要求,并结合当前APP造假问题细化了监控要求,有助于央行更好地推进统一风险监控平台建设。
主要内容涵盖人工智能、大数据、区块链、物联网等新技术在金融领域的应用,展现前瞻性技术风险。
此外,磨盘还特别关注金融业务的交易安全和贯穿金融交易数据流和个人金融信息保护生命周期的金融核心处理元素——金融数据。
根据45号通知的工作安排,相关金融机构应于2020年5月至7月完成自评工作,按照《中国人民银行关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》逐项进行自评,并及时提交报告。对发现的问题建立库存控制和动态跟踪机制,并酌情采取必要的风险补救或补偿措施。
排列表包括个人金融信息保护、交易安全、伪造漏洞、技术使用安全和内部控制管理五个方面,涵盖40个具体排列项和123个排列点,涵盖应用程序、系统和应用程序接口等。
移动金融客户端应用、应用编程接口、信息系统等。都是关键对象。从技术层面来看,主要涉及人工智能、大数据、区块链和物联网等新技术的金融应用风险,包括个人金融信息保护、交易安全、造假漏洞、技术使用安全和内部控制管理。
《21世纪经济报道》记者了解到,一方面,45号通知将对各金融机构在金融技术应用初期所做的风险合规工作进行阶段性验收,或者帮助中国人民银行了解金融技术发展现状,检查漏洞,填补空白,避免表外业务泛滥、同业业务异化等行业混乱现象再次发生,进行有效监管。另一方面,它也为后续的金融技术监管方向提供了实际的数据支持,这种情况可能决定新的监管政策的力度。