信息化觀察網(wǎng)

今年1月，中央網(wǎng)信辦、工信部等四部門(mén)聯(lián)合開(kāi)展了App違法違規(guī)收集使用個(gè)人信息專(zhuān)項(xiàng)治理行動(dòng)。自行動(dòng)開(kāi)始至今，網(wǎng)信辦、警方陸續(xù)點(diǎn)名了168款存在個(gè)人信息安全隱患的App。其中包括手機(jī)銀行類(lèi)App、收單機(jī)構(gòu)工具App、證券信托類(lèi)App和網(wǎng)貸類(lèi)App，這些金融類(lèi)App做錯(cuò)了什么被警方點(diǎn)名？有哪些問(wèn)題值得注意？

違規(guī)收集14類(lèi)個(gè)人信息

在168款被點(diǎn)名的App中有21款屬于金融支付類(lèi)App，其中19款被廣東公安廳曝光，并通報(bào)了違規(guī)細(xì)節(jié)，移動(dòng)支付網(wǎng)對(duì)這19款A(yù)pp的違規(guī)細(xì)節(jié)進(jìn)行了統(tǒng)計(jì)。

在統(tǒng)計(jì)中，警方共通報(bào)了14類(lèi)違規(guī)收集個(gè)人信息的情況，其中“允許錄制音頻”被點(diǎn)名次數(shù)最多，高達(dá)13次；“讀取通訊錄”緊隨其后，有9次；“讀取短信或彩信”出現(xiàn)了6次。

“允許錄制音頻”和“讀取通訊錄”兩個(gè)隱私權(quán)限一度在網(wǎng)上引起熱議。有網(wǎng)友懷疑App通過(guò)“允許錄制音頻”對(duì)用戶進(jìn)行竊聽(tīng)從而進(jìn)行精準(zhǔn)營(yíng)銷(xiāo)。雖然后來(lái)被專(zhuān)家力證“沒(méi)有必要這樣做”，但網(wǎng)友對(duì)于“App竊聽(tīng)”依舊心存懷疑。

“讀取通訊錄”則是金融支付類(lèi)App的痛點(diǎn)權(quán)限。在風(fēng)控體系中，通過(guò)讀取用戶通訊錄、通話記錄判斷賬戶真實(shí)性一度是金融支付機(jī)構(gòu)的常用手段，特別在網(wǎng)貸App中，用戶通訊錄更是成為催收利器，但是也因此被鬧出無(wú)數(shù)風(fēng)波，最后成為人人喊打的對(duì)象。

值得注意的是，警方公布的違規(guī)細(xì)節(jié)可能不夠完整。例如，“立刷”App和“通付MPOS”App同屬于收單工具App，兩者都收集了“用戶地理位置信息”。但是警方只通報(bào)了“通付MPOS”App違規(guī)收集“用戶地理位置信息”沒(méi)有通報(bào)“立刷”App違規(guī)收集“用戶地理位置信息”。

很明顯，如果“通付MPOS”App收集“用戶地理位置信息”屬于違規(guī)，那么“立刷”App收集“用戶地理位置信息”也必然屬于違規(guī)，只不過(guò)警方在點(diǎn)名“立刷”App時(shí)并沒(méi)有通報(bào)該細(xì)節(jié)。

14類(lèi)違規(guī)收集個(gè)人信息情況沒(méi)有任何一項(xiàng)屬于19款A(yù)pp所共有的，沒(méi)有任何一類(lèi)屬于“出現(xiàn)必抓”。所以這14類(lèi)情況都屬于警方關(guān)注的重點(diǎn)，只要被點(diǎn)名就會(huì)被列出相應(yīng)的違規(guī)情況，不一定是因?yàn)槌霈F(xiàn)了這14類(lèi)情況中的哪一類(lèi)被點(diǎn)名。金融支付機(jī)構(gòu)萬(wàn)不可心存僥幸。

隱私政策是重點(diǎn) 《網(wǎng)安法》第四十一條要細(xì)讀

如果14類(lèi)違規(guī)收集個(gè)人信息情況不是“出現(xiàn)必抓”，那么什么是導(dǎo)致這19款A(yù)pp被警方點(diǎn)名的主要因素？事實(shí)上，廣東警方共分4批通報(bào)了132款A(yù)pp存在嚴(yán)重信息安全隱患，除了第一批的10款A(yù)pp外，其他的122款A(yù)pp都具有同一個(gè)特點(diǎn)：隱私政策存在問(wèn)題。

隱私政策才是這些App被警方點(diǎn)名的真正原因。122款被點(diǎn)名的App中，74款A(yù)pp沒(méi)有隱私政策，超過(guò)總數(shù)一半；接近三分之一App未說(shuō)明業(yè)務(wù)邏輯和權(quán)限關(guān)系；超過(guò)四分之一App未說(shuō)明權(quán)限用途。

令人驚訝的是，隱私政策不易閱讀也會(huì)被警方點(diǎn)名。例如在廣東警方7月的曝光名單中酷狗音樂(lè)App有服務(wù)協(xié)議有隱私協(xié)議，隱私政策易于訪問(wèn)，但因隱私政策不易閱讀、讀取用戶通訊錄、讀取日歷數(shù)據(jù)被點(diǎn)名。

被警方點(diǎn)名的19款金融支付類(lèi)App中有16款被標(biāo)注了有隱私政策問(wèn)題，其中8款A(yù)pp存在未說(shuō)明業(yè)務(wù)邏輯和權(quán)限關(guān)系問(wèn)題，6款A(yù)pp只有用戶協(xié)議沒(méi)有隱私政策，4款A(yù)pp既沒(méi)有用戶協(xié)議也沒(méi)有隱私政策。

當(dāng)然，如果沒(méi)有隱私政策自然也不可能“說(shuō)明業(yè)務(wù)邏輯和權(quán)限關(guān)系”。從這一點(diǎn)考慮，“未說(shuō)明業(yè)務(wù)邏輯和權(quán)限關(guān)系”這一問(wèn)題幾乎是所有金融支付類(lèi)App都存在的問(wèn)題?！毒W(wǎng)絡(luò)安全法》第四十一條明確規(guī)定：“網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息應(yīng)明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。”

另外在網(wǎng)信辦點(diǎn)名的30款A(yù)pp中，10款A(yù)pp無(wú)隱私政策，20款A(yù)pp強(qiáng)迫用戶同意一次性開(kāi)啟多種隱私權(quán)限。在網(wǎng)信辦的通報(bào)中，這30款A(yù)pp全部違反了《網(wǎng)絡(luò)安全法》第四十一條。由此可見(jiàn)《網(wǎng)絡(luò)安全法》第四十一條的重要性。

合規(guī)要點(diǎn)：一個(gè)完整的隱私政策

7月1日，工信部下發(fā)《電信和互聯(lián)網(wǎng)行業(yè)提升網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)能力專(zhuān)項(xiàng)行動(dòng)方案》，要求今年10月底前完成200款主流App數(shù)據(jù)安全檢查，深化App違法違規(guī)專(zhuān)項(xiàng)治理，持續(xù)推進(jìn)App違法違規(guī)收集使用個(gè)人信息專(zhuān)項(xiàng)治理行動(dòng)。

由文件可知，App治理工作會(huì)繼續(xù)進(jìn)行，而且即將進(jìn)行一次“大考”，金融支付行業(yè)作為基礎(chǔ)行業(yè)必然會(huì)參加“大考”。那么這次“大考”的考試要點(diǎn)是什么呢？一個(gè)完整的隱私政策是必不可少的。

由上文的“隱私政策問(wèn)題種類(lèi)”結(jié)合《個(gè)人信息安全規(guī)范》（下文簡(jiǎn)稱“《規(guī)范》”），我們可以得到一些“知識(shí)點(diǎn)”。

1、用戶協(xié)議和隱私政策需要單獨(dú)成文。74款沒(méi)有隱私政策被點(diǎn)名的App中有37款屬于“有用戶協(xié)議但是沒(méi)有隱私政策”，其中有不少App用戶協(xié)議中有隱私條款但是因?yàn)闆](méi)有單獨(dú)成文所以被點(diǎn)名。除了這74款A(yù)pp還有3款A(yù)pp因?yàn)橛须[私政策無(wú)用戶協(xié)議被點(diǎn)名。

2、業(yè)務(wù)邏輯和權(quán)限關(guān)系必須說(shuō)明。在統(tǒng)計(jì)中，“未說(shuō)明業(yè)務(wù)邏輯和權(quán)限關(guān)系”是所有問(wèn)題中出現(xiàn)次數(shù)最多的，同時(shí)“未完整說(shuō)明業(yè)務(wù)和權(quán)限關(guān)系”的App也被警方點(diǎn)名?！兑?guī)范》要求：“隱私協(xié)議應(yīng)包括收集、使用個(gè)人信息的目的，以及目的所涵蓋的各個(gè)業(yè)務(wù)功能”。

3、用戶協(xié)議和隱私政策需要易于訪問(wèn)、閱讀?！兑?guī)范》明確規(guī)定：隱私政策應(yīng)公開(kāi)發(fā)布且易于訪問(wèn)。前文已有舉例App因隱私政策不易閱讀被點(diǎn)名，除此之外還有App因?yàn)殡[私政策打不開(kāi)、登錄后才可查看用戶協(xié)議和隱私政策被點(diǎn)名。因此，App最好在注冊(cè)頁(yè)面顯示用戶協(xié)議和隱私政策，且應(yīng)“清晰易懂，符合通用的語(yǔ)言習(xí)慣”。

4、合法且遵守原則。個(gè)人信息安全有7項(xiàng)基本原則：權(quán)責(zé)一致、目的明確、選擇同意、最少夠用、公開(kāi)透明、確保安全、主體參與。隱私政策的編寫(xiě)需要遵守這7項(xiàng)原則，并在條文中有所體現(xiàn)，這七項(xiàng)原則在《網(wǎng)路安全法》中有所呈現(xiàn)，并在《規(guī)范》中再次出現(xiàn)。遵守這7項(xiàng)原則是合法合規(guī)最簡(jiǎn)單的辦法。

一個(gè)完整的隱私政策被制定出來(lái)之后更重要的是遵守，也就是按照隱私政策和用戶協(xié)議所公布的條款采集、使用個(gè)人信息。違規(guī)收集用戶個(gè)人信息中的“規(guī)”可以理解為《網(wǎng)絡(luò)安全法》、《規(guī)范》，也可以理解為App公布的用戶協(xié)議和隱私政策。

一款A(yù)pp收集多少用戶個(gè)人信息固然非常重要，但更重要的是收集這些個(gè)人信息是否在用戶協(xié)議和隱私政策中寫(xiě)明，是否向用戶明示且征得用戶同意。這是判定是否“違規(guī)收集用戶個(gè)人信息”的重要內(nèi)容。

安全是重中之重

用戶協(xié)議和隱私政策嚴(yán)格意義上并不是《規(guī)范》的核心內(nèi)容，“個(gè)人信息安全需要全生命周期保護(hù)”才是真正的重點(diǎn)，用戶協(xié)議和隱私政策只是“全生命周期保護(hù)”的外在表現(xiàn)。如果寫(xiě)了一份非常漂亮的用戶協(xié)議和隱私政策卻做不到“全生命周期保護(hù)”，發(fā)生了丟失、濫用個(gè)人信息的情況，再漂亮的用戶協(xié)議和隱私政策也不過(guò)是一張廢紙。