整而未改遭通報，多款違規金融App這樣回應

對于金融類App違規收集個人信息行為，監管正持續亮劍。近日，工信部通報了最新一批侵害用戶權益行為的App名單，其中，包括暢捷通、廣州農商行、廣東南粵銀行、微眾銀行等多家涉及金融類App被點名存在侵害用戶權益且未及時完成整改。工信部強調，違規機構應在4月29日前完成整改落實。

與此同時，4月26日，工信部公開征求對《移動互聯網應用程序個人信息保護管理暫行規定(征求意見稿)》的意見，強調從事App個人信息處理活動的，應當具有明確、合理的目的，并遵循最小必要原則，不得從事超出用戶同意范圍或者與服務場景無關的個人信息處理活動。

距離“最后通牒”僅剩三日，目前，多家金融機構App整改情況如何?金融機構違規收集用戶信息亂象緣何屢禁不止?后續金融App治理又將是何走向?

整而未改遭通報

多款違規金融App這樣回應

App違規收集使用個人信息問題仍屢禁不止。4月23日，工信部官網通報，按照《關于開展縱深推進APP侵害用戶權益專項整治行動的通知》(工信部信管函〔2020〕164號)工作部署，工信部近期組織第三方檢測機構對手機應用軟件進行檢查，截至目前，尚有93款App未完成整改;另據廣東省通信管理局檢查發現，仍有45款App未完成整改。

從工信部披露的違規企業名單來看，大多為游戲類、工具類App，不過也有數家金融類App被點名。北京商報記者注意到，93款未完成整改名單中，由暢捷通信息技術股份有限公司開發的“好生意”App名列其中。另在45款未完成整改App中，廣州農商行開發的“珠江直銷銀行”App，被點名存在違規收集個人信息;廣東南粵銀行開發的App，存在違規收集個人信息，App強制、頻繁、過度索取權限情形;而微眾銀行開發的“微眾企業愛普”，也存在“違規收集個人信息、超范圍收集個人信息”問題。

對于前述違規App，工信部也下了“最后通牒”，強調機構應在4月29日前完成整改落實工作。逾期不整改的，工業和信息化部將依法依規組織開展相關處置工作。

就最新整改情況，北京商報記者對前述企業進行了一一采訪。其中，微眾銀行回應稱，獲悉廣東省通信管理局提出的整改意見后，微眾銀行第一時間與相關部門進行情況了解和緊急溝通，并對存在問題立即進行了認真整改，微眾銀行將依法合規堅決、用心維護用戶個人信息安全及其合法權益;此外，廣東南粵銀行亦回應稱，目前該行已經按照工信部要求進行整改，新的App版本已經上架，用戶可以更新下載新的App版本。

不過，關于廣州農商行、暢捷通App整改情況，截至發稿，北京商報記者未收到進一步回應。

針對金融App違規收集個人信息且部分“整而未改”等問題，金融科技專家蘇筱芮告訴北京商報記者，一方面，主要是因部分機構合規意識淡薄，尚未建立起個人信息保護、數據安全相關的專業技術團隊;另一方面，部分機構在個人信息保護的工作方面水平低下，對整改內容理解不透徹、不到位，因此影響到后續的整改效果。

屢禁不止

違規收集信息有“苦衷”？

App侵害用戶權益問題由來已久，其中，金融類App安全問題尤引業內關注。一知情人士向北京商報記者說道，“金融理財借貸類用戶價值比較高，用戶的個人信息也成為平臺進行客戶運營或者風控的依據，因此，平臺會傾向于盡可能收集個人信息，甚至出現過度收集的情況。”

事實上，根據北京商報記者多期評測以及相關部門通報來看，目前，確實有不少機構腳踩紅線，其中一大痼疾就是違規收集個人信息。

例如，用戶在金融App上申請信貸的過程中，就不乏有超范圍收集信息的情況，甚至通過捆綁概括、捆綁式授權勾選，違規向第三方共享用戶個人信息;此外，還有在用戶明確表示不同意收集某類個人信息的情況下，仍有App通過其他途徑違規收集，或干擾用戶正常使用的情況。

此外，前述知情人士也提到，目前，金融領域信息安全、隱私保護領域仍存亂象，例如違規收集與使用信息，強制、頻繁、過度索取用戶權限，超范圍收集信息，欺騙誤導用戶主體下載App等。盡管金融機構保護個人信息的意識正在逐漸增強，但仍存在超范圍收集個人信息、未按規定使用和儲存個人信息等問題。

為何金融App規范個人信息收集如此之難?北京市中聞律師事務所律師李亞告訴北京商報記者，“目前，侵犯用戶個人信息保護權益且不完成整改，很大程度是由于違規成本比不上違規產生的收益，許多平臺正是基于其過度收集的個人信息來進行用戶畫像和精準營銷，用這種運營方式使其獲利，相關機構在接受‘重擊’之前自然不肯輕易放棄。”

針對個人金融信息收集成為金融機構違規高發區問題，蘇寧金融研究院金融科技研究中心主任孫揚同樣稱，一是因為侵害用戶權益獲得用戶數據可以用于營銷，金融機構不愿放棄這個營銷數據來源;二是機構很多貸款風控決策可能這些數據相關，如果獲取不到這些數據，將影響風控決策;三是也不乏有機構目前還不具備專業人才來根據法律規定，有效進行全行的數據治理。

多管齊下

違規收集亂象當休矣

不過，隨著金融App治理逐步進入深水區，在多方監管加碼及法律武器的有力震懾下，后續金融違規收集信息亂象有望進一步改善。

其中兩大法律利器就是個人信息保護法、數據安全法。4月26-29日，十三屆全國人大常委會第二十八次會議在京舉行。4月22日，全國人大常委會法制工作委員會舉行記者會，發言人臧鐵偉介紹，提請本次常委會會議繼續審議的法律案有9件，其中，個人信息保護法草案、數據安全法草案將提請二審。

個人信息保護法草案擬設專節對處理敏感個人信息做出更嚴格的限制，針對當前個人信息過度收集使用等突出問題進行了完善防范，并增加死者個人信息保護規定;同時，數據安全法草案完善數據分級分類和重要數據保護制度，并充實了數據出境安全管理規定。

“根據《立法法》第二十九條規定，列入常務委員會會議議程的法律案，一般應當經三次常務委員會會議審議后再交付表決。本次二審說明，個人信息保護法、數據安全法的出臺正在穩步推進。”李亞解釋道。

在蘇筱芮看來，個人信息保護法草案、數據安全法草案將迎二審，表明國內信息保護、數據安全相關的法律法規完善的進度在持續提速，從修改內容來看，有助于金融行業個人信息保護建立基本框架，便于金融機構按照要求搭建起信息保護的“防火墻”，切實維護金融消費者的合法權益。

另外，App監管方面，繼此前央行發布《個人金融信息保護技術規范》之后，4月26日，工信部公開征求對《移動互聯網應用程序個人信息保護管理暫行規定(征求意見稿)》的意見，其中界定了適用范圍和監管主體，確立了“知情同意”“最小必要”兩項重要原則。并強調從事App個人信息處理活動的，應當具有明確、合理的目的，并遵循最小必要原則，不得從事超出用戶同意范圍或者與服務場景無關的個人信息處理活動。

如今，個人信息保護法、數據安全法出臺在即，App個人信息保護也迎來進一步規范，對于金融機構來說，后續又該如何整治頑疾?

李亞稱，金融機構應當充分重視個人信息保護和數據規范使用，在制度制定、規范執行和自我監督等多層面進行落實，嚴格遵守“權責一致、目的明確、選擇同意、最少夠用、公開透明、確保安全、主體參與”的安全基本原則。

蘇筱芮則指出，個人信息保護的工作完善流程并非一蹴而就，各金融機構及其合作伙伴應該從數據的采集、存儲、加工、傳輸、披露等環節規范用戶個人信息管理，例如采集前需征求用戶同意，必要時應采取去標識化原則等，通過制度及流程的梳理來加強內部管控，對于其中的不規范信息管理行為及時糾偏。此外，相關法律法規的審核修訂是一個與時俱進的過程，機構需要保持對監管要求的最新關注與跟進，安排專人開展研究并及時做出業務方面的合規調整。

記者岳品瑜 劉四紅

關鍵詞： 整而未改 違規金融APP