本報(bào)記者 李冰
近日,工業(yè)和信息化部(下稱“工信部”)發(fā)布《關(guān)于APP超范圍索取權(quán)限����、過度收集用戶個人信息等問題“回頭看”的通報(bào)》�,共有38款應(yīng)用軟件因存在問題被通報(bào)�,其中不乏包括多款金融類知名APP。
“工信部等關(guān)于移動APP的問題通報(bào)一直在進(jìn)行�����。‘回頭看’是常見的檢查方式之一����,以檢驗(yàn)此前的整改落實(shí)情況。”博通咨詢資深金融分析師王蓬博對《證券日報(bào)》解析認(rèn)為����,從通報(bào)來看��,多款A(yù)PP涉及超范圍收集個人信息等問題���。
涉及多款金融類APP
據(jù)了解�,今年以來�����,工信部持續(xù)加大對APP侵害用戶權(quán)益的整治力度,先后三次組織對重點(diǎn)問題開展“回頭看”�����。前期�,重拳整治了APP違規(guī)調(diào)用通信錄、位置信息以及彈窗信息騷擾用戶等問題����。近期,針對用戶反映強(qiáng)烈的APP超范圍�、高頻次索取權(quán)限,非服務(wù)場景所必需收集用戶個人信息��,欺騙誤導(dǎo)用戶下載等違規(guī)行為進(jìn)行了檢查��,共發(fā)現(xiàn)38款A(yù)PP存在問題����。同時,各通信管理局按照工信部統(tǒng)籌部署���,積極開展APP技術(shù)檢測��,截至目前也尚有17款A(yù)PP未按時限要求完成整改�����。
工信部強(qiáng)調(diào)����,逾期不整改或整改不到位的,將依法依規(guī)進(jìn)行處置并予以行政處罰����。
記者注意到,被工信部通報(bào)38款違規(guī)APP中大多涉及超范圍索取權(quán)限�����、過度收集用戶個人信息等問題�。例如,58同城���、平安金管家、啟信寶��、豆瓣等多款A(yù)PP涉及超范圍收集個人信息�����;騰訊新聞涉及欺騙誤導(dǎo)強(qiáng)迫用戶以及應(yīng)用分發(fā)平臺上的APP信息明示不到位;愛回收�、有趣生活涉及違規(guī)收集、使用個人信息�����;刷寶涉及APP強(qiáng)制�����、頻繁�����、過度索取權(quán)限以及超范圍收集個人信息等問題�。
按照工信部要求,通報(bào)的APP逾期不整改或整改不到位的�����,將依法依規(guī)進(jìn)行處置��。參照前例�����,此前逾期未整改的APP,工信部對其進(jìn)行了下架處理�。據(jù)《證券日報(bào)》記者不完全統(tǒng)計(jì),今年以來��,已有包括蛋殼公寓�����、海淘免稅店��、助力錢包在內(nèi)的超過100款A(yù)PP被下架��,呈現(xiàn)出逐批次下架數(shù)量增多態(tài)勢���。
易觀高級分析師蘇筱芮在接受《證券日報(bào)》記者采訪時表示���,“上述通報(bào)中,‘回頭看’是關(guān)鍵要素���,目前監(jiān)管對違法違規(guī)APP監(jiān)測力度不斷加大���,體現(xiàn)了APP監(jiān)管監(jiān)測合規(guī)工作的連續(xù)性�。”
應(yīng)遵循最小化和非必要不收集原則
在《個人信息保護(hù)法》已經(jīng)實(shí)施的背景下���,上述通報(bào)則讓業(yè)界尤為關(guān)注。
事實(shí)上��,自2019年開始�����,國家網(wǎng)信辦聯(lián)合工信部�、公安部、市場監(jiān)管總局持續(xù)開展了專項(xiàng)治理行動�����,統(tǒng)籌制定APP個人信息保護(hù)系列規(guī)范��,先后發(fā)布了《信息安全技術(shù)個人信息安全規(guī)范》《APP違法違規(guī)收集使用個人信息行為認(rèn)定方法》《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》等���。
中國銀行法學(xué)研究會理事肖颯對《證券日報(bào)》記者表示����,“工信部對APP的檢查是一以貫之的��。但在《個人信息保護(hù)法》已經(jīng)實(shí)施的背景下����,這樣的通報(bào)更具標(biāo)桿意義���。”
肖颯指出,在《個人信息保護(hù)法》實(shí)施后�����,會對APP個人信息的收集��、使用提出更高的要求��。“APP的運(yùn)營者需要仔細(xì)評估每一項(xiàng)信息與權(quán)限獲取的必要性���,如果沒有必要則不用獲取���。結(jié)合《個人信息保護(hù)法》的實(shí)施,尤其需要關(guān)注一些敏感個人信息的處理��,比如面部信息���、身份證號���、金融賬戶等�,這些信息的收集需要獲取用戶的單獨(dú)同意����。”
那么金融機(jī)構(gòu)在收集個人信息尺度在哪里�?
王蓬博認(rèn)為有幾條原則是必須遵循的,首先肯定是最小化和非必要不收集的原則�,其次涉及到每次單獨(dú)應(yīng)用個人信息時需要遵守用戶明確授權(quán)原則。“以支付機(jī)構(gòu)為例�����,不同的支付平臺收集的個人信息因?yàn)橛锰幉煌?��,收集的范圍是不同的�����。比如你要通過支付平臺綁卡�����,那就肯定需要銀行卡賬戶信息以及個人身份等信息����。如果僅僅是通過支付寶寄快遞,那就只需要個人電話和地址��。”
蘇筱芮認(rèn)為����,“個人信息保護(hù)的工作完善流程并非一蹴而就,未來機(jī)構(gòu)方需通過制度及流程的梳理來加強(qiáng)內(nèi)部管控��,遵循‘用戶授權(quán)�����、最小夠用�����、專事專用�、全程防護(hù)’原則,對于其中的不規(guī)范信息管理行為及時糾偏�����,合規(guī)使用數(shù)據(jù)需引起重視�。”
(編輯 孫倩)
京公網(wǎng)安備 11010202007567號京ICP備17054264號
