每經(jīng)記者 廖丹 每經(jīng)實習記者 馮典俊 每經(jīng)編輯 廖丹
《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)自11月1日起正式實施。而就在近日,工信部公布第三次“回頭看”的檢查結(jié)果,并通報38款違規(guī)APP。
《每日經(jīng)濟新聞(博客,微博)》記者注意到,其中包括深圳市移卡科技有限公司(以下簡稱“移卡”)旗下的收付款A(yù)PP“刷寶”,所涉問題是“超范圍收集個人信息”,“APP強制、頻繁、過度索取權(quán)限”。
那么,對于支付企業(yè)而言,在個人信息收集方面,未來應(yīng)如何規(guī)避風險?信息收集的尺度又在哪里?博通分析金融行業(yè)資深分析師王蓬博認為有幾條原則是必須遵循的,首先肯定是最小化和非必要不收集的原則,其次涉及到每次單獨應(yīng)用個人信息時需要遵守用戶明確授權(quán)原則。
工信部點名移卡旗下APP超范圍收集個人信息
近日,工信部微信公眾號“工信微報”發(fā)布《關(guān)于APP超范圍索取權(quán)限、過度收集用戶個人信息等問題“回頭看”的通報》,公布了工信部第三次“回頭看”的檢查結(jié)果,共發(fā)現(xiàn)38款A(yù)PP存在問題。
通報要求這38款A(yù)PP應(yīng)在11月9日前完成整改,逾期不整改或整改不到位的,工信部將依法依規(guī)進行處置并予以行政處罰。
每經(jīng)記者注意到,此次工信部通報的違規(guī)APP名單中,移卡旗下“刷寶”APP在列。據(jù)通報內(nèi)容,在OPPO軟件商店,刷寶APP 3.4.5(001)版本被指超范圍收集個人信息,強制、頻繁、過度索取權(quán)限。
OPPO軟件商店顯示,刷寶是為中小微商戶設(shè)計的便攜式移動收款A(yù)PP,支持所有銀聯(lián)卡刷卡付款、微信、支付寶掃碼支付,采用T+0、T+1結(jié)算模式,最快2小時到賬,方便快捷。同時提供信用卡還款、轉(zhuǎn)賬匯款、手機充值以及商家營銷等多種便民服務(wù)。
11月9日,記者發(fā)現(xiàn)該軟件已經(jīng)更新到了3.4.7版本,首次打開APP,頁面顯示《服務(wù)協(xié)議和隱私政策》,其中提及“使用過程中,我們將在根據(jù)具體功能需要獲取某項手機權(quán)限時,再次請您確認同意,并在條款說明的范圍內(nèi)收集、使用、共享并保護您的個人信息,如您拒絕開啟權(quán)限,將不影響其他功能的使用。”
對此,記者采訪了移卡相關(guān)人士,但截至發(fā)稿,未收到對方回復。
至于如何定義“超范圍收集個人信息”以及“強制、頻繁、過度索取權(quán)限”,中國電子信息產(chǎn)業(yè)發(fā)展研究院網(wǎng)絡(luò)安全研究所所長劉權(quán)在接受記者采訪時表示,目前相關(guān)法律及政策文件并未對上述關(guān)鍵詞的概念做出直接定義,但進行了間接解釋。
針對“超范圍收集個人信息”,劉權(quán)表示,2019年中央網(wǎng)信辦等四部門聯(lián)合發(fā)布《App違法違規(guī)收集使用個人信息行為認定方法》,明確了可被認定為“違反必要原則,收集與其提供的服務(wù)無關(guān)的個人信息”的六大行為,“超范圍收集個人信息”可解釋為“違反必要原則,收集與其提供的服務(wù)無關(guān)的個人信息”。
2021年工信部會同公安部、市場監(jiān)管總局起草了《移動互聯(lián)網(wǎng)應(yīng)用程序個人信息保護管理暫行規(guī)定(征求意見稿)》(以下簡稱《征求意見稿》),其中第七條提出,從事App個人信息處理活動的,應(yīng)當具有明確、合理的目的,并遵循最小必要原則,不得從事超出用戶同意范圍或者與服務(wù)場景無關(guān)的個人信息處理活動。劉權(quán)表示,“超范圍收集個人信息”可解釋為收集未經(jīng)用戶同意的或與服務(wù)場景無關(guān)的個人信息。
對于“APP強制、頻繁、過度索取權(quán)限”,劉權(quán)告訴記者,根據(jù)《征求意見稿》第六條、第七條內(nèi)容,“APP強制索權(quán)”可解釋為未經(jīng)用戶同意或用戶拒絕相關(guān)授權(quán)申請后,APP強制更改用戶設(shè)置的權(quán)限狀態(tài),或以APP可用性為條件,強制要求用戶同意打開相關(guān)系統(tǒng)權(quán)限;“APP頻繁索權(quán)”可解釋為利用彈窗等技術(shù)手段,反復申請與當前服務(wù)場景無關(guān)的權(quán)限;“APP過度索權(quán)”可解釋為APP申請超出其業(yè)務(wù)功能的權(quán)限。
工信部披露的名單顯示,刷寶的應(yīng)用開發(fā)者是“移卡”。在移卡官網(wǎng)可以看到,移卡的支付服務(wù)由子公司樂刷科技有限公司(以下簡稱“樂刷”)負責,后者于2014年獲得央行頒發(fā)的支付業(yè)務(wù)許可證(又稱“第三方支付牌照”),提供全國范圍內(nèi)的銀行卡收單及移動電話支付業(yè)務(wù)。央行信息顯示,樂刷的第三方支付牌照獲批的具體日期是2014年7月10日,并于2019年7月10日通過續(xù)展,有效期至2024年7月9日。
據(jù)悉,移卡(09923.HK)于去年6月1日在香港上市,今年9月23日,移卡發(fā)布2021年中期報告稱,由于其一站式支付業(yè)務(wù)從疫情中恢復以及科技賦能商業(yè)服務(wù)的顯著成長,移卡今年上半年收入為14.025億元,與去年同期相比,同比增長30.2%;利潤同比增長30.7%,至2.911億元。
專家:合規(guī)使用數(shù)據(jù)提升服務(wù)能力是關(guān)鍵
作為日常使用最頻繁的軟件之一,收付款A(yù)PP在使用前往往需要實名認證、綁定銀行卡等操作。這會涉及更敏感的個人信息,甚至關(guān)系到個人財產(chǎn)安全,引起人們對個人信息安全的擔憂。
那么,收付款A(yù)PP可能會收集哪些個人信息,哪些是業(yè)務(wù)必須的,而哪些又是非必須的,尺度在哪里?
博通分析金融行業(yè)資深分析師王蓬博在接受記者采訪時表示,不同的支付平臺收集的個人信息因為用處不同,收集的范圍是不同的。“比如你要通過支付平臺綁卡,那就肯定需要銀行卡賬戶信息以及個人身份等信息。如果僅僅是通過支付寶寄快遞,那就只需要個人電話和地址。”
對于支付業(yè)務(wù)收集個人信息的尺度,王蓬博認為有幾條原則是必須遵循的,首先肯定是最小化和非必要不收集的原則,其次涉及到每次單獨應(yīng)用個人信息時需要遵守用戶明確授權(quán)原則。
易觀高級分析師蘇筱芮則向記者表示,今年三月,網(wǎng)信辦、工信部等四部門聯(lián)合發(fā)布了《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》,根據(jù)文件精神,網(wǎng)絡(luò)運營者收集、使用個人信息,應(yīng)當遵循合法、正當、必要的原則,不得收集與其提供的服務(wù)無關(guān)的個人信息。支付APP相關(guān)的為文件當中的“網(wǎng)絡(luò)支付類”,必要個人信息包括兩類,一是用戶手機號;二是用戶姓名、證件類型和號碼、證件有效期限與銀行卡號碼。
近年來,數(shù)據(jù)保護成為監(jiān)管重點,《個人信息保護法》的實施會給第三方支付機構(gòu)展業(yè)帶來哪些影響?第三方支付機構(gòu)應(yīng)該如何規(guī)范地收集和使用數(shù)據(jù)?
蘇筱芮認為,《個人信息保護法》的出臺不僅給個人信息保護工作的順利開展奠定優(yōu)良根基,而且作為信息保護領(lǐng)域的上位法,后續(xù)亦將加速推動征信業(yè)務(wù)管理、個人金融信息保護等支付相關(guān)的法規(guī)條例出臺,預(yù)計會給行業(yè)帶來的變化主要有兩個方面:一是部分合規(guī)意識低下、合規(guī)水平不足的機構(gòu)難以適應(yīng)大環(huán)境,從而逐步退出市場;二是隱私計算等圍繞個人信息保護的技術(shù)產(chǎn)業(yè)將加速崛起,科技的工具屬性將被更多地引導和運用于良性方面。
個人信息保護的工作完善流程并非一蹴而就,蘇筱芮向記者表示,支付機構(gòu)及其合作伙伴應(yīng)該從數(shù)據(jù)的采集、存儲、加工、傳輸、披露等環(huán)節(jié)規(guī)范用戶個人信息管理,例如采集前需征求用戶同意,必要時應(yīng)采取去標識化原則等,通過制度及流程的梳理來加強內(nèi)部管控,遵循“用戶授權(quán)、最小夠用、專事專用、全程防護”原則,對于其中的不規(guī)范信息管理行為及時糾偏。
“此外,相關(guān)法律法規(guī)的審核修訂是一個與時俱進的過程,機構(gòu)需要保持對監(jiān)管要求的最新關(guān)注與跟進,安排專人開展研究并及時作出業(yè)務(wù)方面的合規(guī)調(diào)整。”她補充說。
王蓬博則認為,《個人信息保護法》對支付行業(yè)的影響不會很大。“To C的支付平臺幾年前就已經(jīng)開始注意個人信息的保護和合法利用,目前只需要重新從產(chǎn)品的角度進行合規(guī)細化,比如是否在每次利用用戶信息數(shù)據(jù)時都遵循用戶明確授權(quán)原則,以及輸出數(shù)據(jù)時的封裝問題等。”他向記者表示。
不過,在《個人信息保護法》正式施行的背景下,第三方支付機構(gòu)要承受的壓力將更多來自于如何使用數(shù)據(jù)。王蓬博直言:“實際上,重點不在于第三方支付機構(gòu)掌握了多少用戶數(shù)據(jù),而在于他們有沒有合規(guī)地運用和運營數(shù)據(jù),以及是否具備使用這些數(shù)據(jù)去為用戶和商戶提供服務(wù)的能力。合規(guī)使用數(shù)據(jù)以提升服務(wù)水平才是第三方支付機構(gòu)所必須要具備的能力。”
他認為,第一,第三方支付機構(gòu)肯定要按照《個人信息保護法》規(guī)定,處理個人信息應(yīng)當具有明確、合理的目的,并與處理目的直接相關(guān),采取對個人權(quán)益影響最小的方式;收集個人信息應(yīng)當限于實現(xiàn)處理目的的最小范圍,不得過度收集個人信息。公開處理規(guī)則、保證信息質(zhì)量、采取安全保護措施等原則應(yīng)當貫穿于個人信息處理的全過程、各環(huán)節(jié)。
第二,根據(jù)《個人信息保護法》第五章的相關(guān)規(guī)定,第三方支付機構(gòu)要遵守個人信息處理者的義務(wù),包括指定個人信息保護負責人,定期對其處理個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計。發(fā)生或者可能發(fā)生個人信息泄露、篡改、丟失的,個人信息處理者應(yīng)當立即采取補救措施。
(實習生宋欽章對本文亦有貢獻)
封面圖片來源:攝圖網(wǎng)-500670681
