每經記者 廖丹 每經實習記者 馮典俊 每經編輯 廖丹
《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)自11月1日起正式實施。而就在近日,工信部公布第三次“回頭看”的檢查結果,并通報38款違規APP。
《每日經濟新聞(博客,微博)》記者注意到,其中包括深圳市移卡科技有限公司(以下簡稱“移卡”)旗下的收付款APP“刷寶”,所涉問題是“超范圍收集個人信息”,“APP強制、頻繁、過度索取權限”。
那么,對于支付企業而言,在個人信息收集方面,未來應如何規避風險?信息收集的尺度又在哪里?博通分析金融行業資深分析師王蓬博認為有幾條原則是必須遵循的,首先肯定是最小化和非必要不收集的原則,其次涉及到每次單獨應用個人信息時需要遵守用戶明確授權原則。
工信部點名移卡旗下APP超范圍收集個人信息
近日,工信部微信公眾號“工信微報”發布《關于APP超范圍索取權限、過度收集用戶個人信息等問題“回頭看”的通報》,公布了工信部第三次“回頭看”的檢查結果,共發現38款APP存在問題。
通報要求這38款APP應在11月9日前完成整改,逾期不整改或整改不到位的,工信部將依法依規進行處置并予以行政處罰。
每經記者注意到,此次工信部通報的違規APP名單中,移卡旗下“刷寶”APP在列。據通報內容,在OPPO軟件商店,刷寶APP 3.4.5(001)版本被指超范圍收集個人信息,強制、頻繁、過度索取權限。
OPPO軟件商店顯示,刷寶是為中小微商戶設計的便攜式移動收款APP,支持所有銀聯卡刷卡付款、微信、支付寶掃碼支付,采用T+0、T+1結算模式,最快2小時到賬,方便快捷。同時提供信用卡還款、轉賬匯款、手機充值以及商家營銷等多種便民服務。
11月9日,記者發現該軟件已經更新到了3.4.7版本,首次打開APP,頁面顯示《服務協議和隱私政策》,其中提及“使用過程中,我們將在根據具體功能需要獲取某項手機權限時,再次請您確認同意,并在條款說明的范圍內收集、使用、共享并保護您的個人信息,如您拒絕開啟權限,將不影響其他功能的使用。”
對此,記者采訪了移卡相關人士,但截至發稿,未收到對方回復。
至于如何定義“超范圍收集個人信息”以及“強制、頻繁、過度索取權限”,中國電子信息產業發展研究院網絡安全研究所所長劉權在接受記者采訪時表示,目前相關法律及政策文件并未對上述關鍵詞的概念做出直接定義,但進行了間接解釋。
針對“超范圍收集個人信息”,劉權表示,2019年中央網信辦等四部門聯合發布《App違法違規收集使用個人信息行為認定方法》,明確了可被認定為“違反必要原則,收集與其提供的服務無關的個人信息”的六大行為,“超范圍收集個人信息”可解釋為“違反必要原則,收集與其提供的服務無關的個人信息”。
2021年工信部會同公安部、市場監管總局起草了《移動互聯網應用程序個人信息保護管理暫行規定(征求意見稿)》(以下簡稱《征求意見稿》),其中第七條提出,從事App個人信息處理活動的,應當具有明確、合理的目的,并遵循最小必要原則,不得從事超出用戶同意范圍或者與服務場景無關的個人信息處理活動。劉權表示,“超范圍收集個人信息”可解釋為收集未經用戶同意的或與服務場景無關的個人信息。
對于“APP強制、頻繁、過度索取權限”,劉權告訴記者,根據《征求意見稿》第六條、第七條內容,“APP強制索權”可解釋為未經用戶同意或用戶拒絕相關授權申請后,APP強制更改用戶設置的權限狀態,或以APP可用性為條件,強制要求用戶同意打開相關系統權限;“APP頻繁索權”可解釋為利用彈窗等技術手段,反復申請與當前服務場景無關的權限;“APP過度索權”可解釋為APP申請超出其業務功能的權限。
工信部披露的名單顯示,刷寶的應用開發者是“移卡”。在移卡官網可以看到,移卡的支付服務由子公司樂刷科技有限公司(以下簡稱“樂刷”)負責,后者于2014年獲得央行頒發的支付業務許可證(又稱“第三方支付牌照”),提供全國范圍內的銀行卡收單及移動電話支付業務。央行信息顯示,樂刷的第三方支付牌照獲批的具體日期是2014年7月10日,并于2019年7月10日通過續展,有效期至2024年7月9日。
據悉,移卡(09923.HK)于去年6月1日在香港上市,今年9月23日,移卡發布2021年中期報告稱,由于其一站式支付業務從疫情中恢復以及科技賦能商業服務的顯著成長,移卡今年上半年收入為14.025億元,與去年同期相比,同比增長30.2%;利潤同比增長30.7%,至2.911億元。
專家:合規使用數據提升服務能力是關鍵
作為日常使用最頻繁的軟件之一,收付款APP在使用前往往需要實名認證、綁定銀行卡等操作。這會涉及更敏感的個人信息,甚至關系到個人財產安全,引起人們對個人信息安全的擔憂。
那么,收付款APP可能會收集哪些個人信息,哪些是業務必須的,而哪些又是非必須的,尺度在哪里?
博通分析金融行業資深分析師王蓬博在接受記者采訪時表示,不同的支付平臺收集的個人信息因為用處不同,收集的范圍是不同的。“比如你要通過支付平臺綁卡,那就肯定需要銀行卡賬戶信息以及個人身份等信息。如果僅僅是通過支付寶寄快遞,那就只需要個人電話和地址。”
對于支付業務收集個人信息的尺度,王蓬博認為有幾條原則是必須遵循的,首先肯定是最小化和非必要不收集的原則,其次涉及到每次單獨應用個人信息時需要遵守用戶明確授權原則。
易觀高級分析師蘇筱芮則向記者表示,今年三月,網信辦、工信部等四部門聯合發布了《常見類型移動互聯網應用程序必要個人信息范圍規定》,根據文件精神,網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,不得收集與其提供的服務無關的個人信息。支付APP相關的為文件當中的“網絡支付類”,必要個人信息包括兩類,一是用戶手機號;二是用戶姓名、證件類型和號碼、證件有效期限與銀行卡號碼。
近年來,數據保護成為監管重點,《個人信息保護法》的實施會給第三方支付機構展業帶來哪些影響?第三方支付機構應該如何規范地收集和使用數據?
蘇筱芮認為,《個人信息保護法》的出臺不僅給個人信息保護工作的順利開展奠定優良根基,而且作為信息保護領域的上位法,后續亦將加速推動征信業務管理、個人金融信息保護等支付相關的法規條例出臺,預計會給行業帶來的變化主要有兩個方面:一是部分合規意識低下、合規水平不足的機構難以適應大環境,從而逐步退出市場;二是隱私計算等圍繞個人信息保護的技術產業將加速崛起,科技的工具屬性將被更多地引導和運用于良性方面。
個人信息保護的工作完善流程并非一蹴而就,蘇筱芮向記者表示,支付機構及其合作伙伴應該從數據的采集、存儲、加工、傳輸、披露等環節規范用戶個人信息管理,例如采集前需征求用戶同意,必要時應采取去標識化原則等,通過制度及流程的梳理來加強內部管控,遵循“用戶授權、最小夠用、專事專用、全程防護”原則,對于其中的不規范信息管理行為及時糾偏。
“此外,相關法律法規的審核修訂是一個與時俱進的過程,機構需要保持對監管要求的最新關注與跟進,安排專人開展研究并及時作出業務方面的合規調整。”她補充說。
王蓬博則認為,《個人信息保護法》對支付行業的影響不會很大。“To C的支付平臺幾年前就已經開始注意個人信息的保護和合法利用,目前只需要重新從產品的角度進行合規細化,比如是否在每次利用用戶信息數據時都遵循用戶明確授權原則,以及輸出數據時的封裝問題等。”他向記者表示。
不過,在《個人信息保護法》正式施行的背景下,第三方支付機構要承受的壓力將更多來自于如何使用數據。王蓬博直言:“實際上,重點不在于第三方支付機構掌握了多少用戶數據,而在于他們有沒有合規地運用和運營數據,以及是否具備使用這些數據去為用戶和商戶提供服務的能力。合規使用數據以提升服務水平才是第三方支付機構所必須要具備的能力。”
他認為,第一,第三方支付機構肯定要按照《個人信息保護法》規定,處理個人信息應當具有明確、合理的目的,并與處理目的直接相關,采取對個人權益影響最小的方式;收集個人信息應當限于實現處理目的的最小范圍,不得過度收集個人信息。公開處理規則、保證信息質量、采取安全保護措施等原則應當貫穿于個人信息處理的全過程、各環節。
第二,根據《個人信息保護法》第五章的相關規定,第三方支付機構要遵守個人信息處理者的義務,包括指定個人信息保護負責人,定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。發生或者可能發生個人信息泄露、篡改、丟失的,個人信息處理者應當立即采取補救措施。
(實習生宋欽章對本文亦有貢獻)
封面圖片來源:攝圖網-500670681
