你的信息在銀行就安全了？44款手機銀行隱私政策測評報告

來源：零壹財經

作者：羅茵茹

摘要

大數據產業高速發展，數字經濟在大幅提升效率的同時，用戶隱私也屢受侵犯。監管機構、企業、個人對隱私保護的關注度正逐步抬升，相關立法也在緊鑼密鼓地推進。

2018年5月1日，《信息安全技術個人信息安全規範》（以下簡稱《信息安全規範》）正式實施。作為推薦性國家標準，儘管不具備法律效力和強制約束力，但《信息安全規範》明確了個人信息的收集、保存、使用、共享的合規要求，為網路運營者制定隱私政策及完善內控提供了重要指引。針對個人信息保護的專門立法也已列入十三屆全國人大常委會立法規劃，相關部門正在研究和起草。

隨著移動互聯網的崛起和智能手機的普及，國內手機網民規模快速攀升至2018年底的8.17億人，佔全部網民的比重高達98.55%，手機銀行用戶數也攀升至2018年6月底的3.82億人。作為與上億用戶直接交互的終端工具，手機銀行接觸到了更多的個人敏感信息，更易成為泄露個人信息、侵犯用戶隱私的「溫床」。

本報告根據《信息安全規範》中的相關規定，基於10餘個維度，對市面上44款手機銀行在App Store或註冊頁面兩個渠道發布的隱私政策進行測評，包括國有商業銀行（6家）、股份制商業銀行（12家）、A股或H股上市城商行、農商行（26家）。

測評結果顯示，國有銀行App制定的隱私政策最為符合相關規定，平均得分最高，其次為股份制商業銀行，城商行、農商行則相對得分較低。同時，在用戶註銷賬戶後對個人信息的處理方式、發生個人信息安全事件後銀行應承擔的法律責任等方面，44款手機銀行得分均較低，這也表明當前國內大中型商業銀行在個人信息保護方面依然有較大的改進空間。

一、測評背景

（一）手機銀行發展現狀

移動互聯網時代的到來，讓網路觸手可及，尤其隨著智能手機的普及，我國網民規模、手機網民規模迅速攀升。

據Wind統計，我國網民規模從2008年底的2.98億元增長至2018年底的8.29億元，10年間網民規模年均複合增長率為10.77%。手機網民規模也由2008年底的1.18億人，增長至2018年底的8.17億人，10年間年均複合增長率為21.35%。

另一方面，零售業務成為銀行轉型重要方向，各大商業銀行紛紛下重兵布局零售業務，手機銀行成為零售銀行客戶服務主渠道之一，手機銀行用戶數也快速攀升。

根據Wind統計數據，我國手機銀行用戶數由2014年6月的1.83億人迅速增加至2018年6月的3.82億人，4年間手機銀行用戶總人數的年均複合增長率為20.2%。

手機銀行與上億用戶在終端直接交互，涉及大量個人財產信息、身份信息等敏感信息，它們如何獲取、使用、保存、轉讓用戶個人信息受到越來越多的關注，其制定的隱私政策也成為關注的焦點。

（二）個人信息保護相關法律法規

近年來，在個人信息保護方面，國內已陸續出台相關法律法規以及規範性文件，但總體呈現分散立法狀態、法律效力也各有不同，包括《刑法》、《民法總則》、《消費者權益保護法》、《網路安全法》、《電子商務法》等，以及推薦性國家標準《信息安全技術個人信息安全規範》等，司法解釋層面則有最高人民法院與最高人民檢察院聯合發布的《關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》。針對個人信息保護的專門立法則已列入十三屆全國人大常委會立法規劃，相關部門正在抓緊研究和起草。

以下為我們整理的個人信息保護相關政策主要內容。

資料來源：公開信息，零壹智庫

從實踐性和可操作性來看，《信息安全規範》在個人信息的收集、保存、使用、委託處理、共享、轉讓、公開披露，以及個人信息安全事件處置、組織管理要求等方面做出了相應的規範和指導，具有較強的指導性。

按照《信息安全規範》相關定義，個人信息指的是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、出生日期、身份證件號碼等。

表1-2：個人信息列舉

資料來源：《信息安全技術個人信息安全規範》，零壹智庫

而個人敏感信息指的是一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息，包括身份證件號碼、個人生物識別信息、銀行賬號等。

《信息安全規範》指出，個人信息控制者應制定隱私政策，內容應包括但不限於個人信息收集方式、目的，對外共享、轉讓、公開披露個人信息的目的、涉及的個人信息類型，個人信息主體註銷賬戶的方法、撤回同意的方法等。

《信息安全規範》還給出了隱私政策模板和相關編寫要求。

二、測評標準與樣本選擇

本測評報告以《信息安全規範》相關規定為基準，報告選取了11個維度，對市面上44款手機銀行在App Store或註冊頁面兩個渠道發布的隱私政策進行測評，包括國有商業銀行（6家）、股份制商業銀行（12家）、A股或H股上市城商行、農商行（26家）。

該評測標準僅代表第三方機構提出的合規化建議

三、測評結果

（一）總體情況

從上述兩個渠道來看，國有銀行更為重視隱私政策的設立，有5家均設立了獨立的隱私政策，佔比高達83%；有13家城商行、農商行也設立了獨立隱私政策，佔比為50%；股份制銀行則比重相對較低，僅有4家設立了獨立隱私政策，佔比僅為33%。

具體來看，儘管蘋果公司要求去年10月3日起所有新應用和應用更新版本時都需提供隱私政策，但測評結果發現，僅有50%在APP Store中提供可訪問的隱私政策，或者手機銀行中設有獨立的隱私政策。而32%的隱私政策鏈接為電子銀行客戶服務協議等，服務協議雖也涉及部分個人信息內容，但仍不符合《信息安全規範》中的模板要求。此外，9%的隱私政策鏈接為銀行官網，如吳州銀行、錦州銀行等；9%的鏈接無法打開，如廣發銀行、渤海銀行等，所謂的隱私政策形同虛設。

基於上述11個維度的測評標準，若符合標準則得1分，不符合則不得分，11分為滿分，結果顯示，國有銀行App發布的隱私政策得分最高，平均得分為6.49分；其次為股份制銀行，平均得分為5.39分；城商行、農商行平均得分最低，僅為2.53分。

（二）隱私條款細節分析

1. 告知和明示同意

關於基本業務功能的告知和明示同意的實現方法，《信息安全規範》規定：在基本業務功能開啟前（如個人信息主體初始安裝、首次使用、註冊賬號等），應通過交互界面或設計（如彈窗、文字說明、填寫框、提示條、提示音等形式），向個人信息主體告知基本業務功能所必要收集的個人信息類型，以及個人信息主體拒絕提供或拒絕同意收集將帶來的影響，並通過個人信息主體對信息收集主動做出肯定性動作（如勾選、點擊「同意」或「下一步」等）徵得其明示同意。

不過，從圖7可以看出，雖然《信息規範》對於隱私政策的明示告知形式有明確的建議，但測評樣本中僅有27%使用了彈窗或在註冊頁面明確告知用戶，73%的隱私政策在手機銀行的「設置」、「關於我們」等較為隱蔽的位置，甚至無法找到。

2. 個人信息收集與使用目的

關於用戶個人信息的收集與使用，《信息安全規範》規定：詳細列舉收集和使用個人信息的目的，不得使用概括性語言。

從圖9可以看出，59%的銀行隱私政策在用戶個人信息收集與使用方面符合《信息安全規範》的要求，但仍有41%由於發布時間較早等原因，關於個人信息的收集與使用目的均用了概括性語言。從圖10可看出，隱私政策使用概括性語言的手機銀行主要集中於城商行、農商行。

3.用戶權利說明

關於用戶對其個人信息可行使的權利，《信息安全規範》如下：隱私政策要說明用戶對其個人信息擁有何種權利，內容包括但不限於：信息收集、使用和公開披露時允許用戶選擇的個人信息範圍，用戶所具備的訪問、更正、刪除、獲取等控制許可權，用戶隱私偏好設置，用戶可以選擇的通信和廣告偏好，用戶不再使用服務後撤回同意和註銷賬號的渠道、用戶進行維權的有效渠道等。

從圖11和圖12可以看出，近六成手機銀行的隱私政策在「用戶訪問與更正個人信息說明」方面不符合《信息安全規範》要求，主要集中於城商行、農商行，其中77%的城商行、農商行所發布的隱私政策並未提及「用戶訪問與更正個人信息說明」。

在「用戶申請刪除個人信息說明」這一項上，明確提及的手機銀行僅佔了27%，73%的銀行在隱私政策中並未提及。其中，75%的股份制銀行，85%的城商行、農商行並未提及用戶在什麼情況下可以申請刪除個人信息。

此外，當用戶註銷賬戶後，《信息安全規範》規定個人信息控制者（銀行）應提供用戶簡便易操作的註銷賬戶方法，並及時刪除用戶個人信息或做匿名化處理。但測評結果發現，不足10%的銀行在隱私政策中明確提及將對用戶的個人信息進行刪除或匿名處理；82%的銀行在隱私政策中並未提及用戶註銷後個人信息的處理辦法；9%的銀行提及用戶註銷賬戶後將對用戶信息進行其他處理，如中信銀行表示，用戶註銷賬戶時，視為用戶撤回同意，但並不影響銀行基於用戶撤回同意前的個人信息處理。相比其他銀行，用戶註銷賬戶即可刪除個人信息，但中信銀行則指出用戶若想刪除個人信息需註銷賬號後申請刪除才可實現。

4. 用戶信息安全保護

當發生個人信息安全事件後，《信息安全規範》規定，應表明在發生個人信息安全事件後，個人信息控制者將承擔法律責任。應表明在發生個人信息安全事件後，將及時告知個人信息主體。

但測評結果發現，44款手機銀行的隱私政策中，僅有工商銀行和中信銀行明確提及發生信息安全事故後承擔法律責任。

此外，《信息安全規範》指出，應標明在發生個人信息安全事件後，將及時告知個人信息主體。但我們的測評結果顯示，僅有41%的手機銀行明確提及將「及時通知」，59%未提及。

5. 用戶投訴或反饋

關於用戶的投訴或反饋，《信息安全規範》規定：個人信息控制者需要明確給出處理個人信息安全問題相關反饋、投訴的渠道，如個人信息安全責任部門的聯繫方式、地址、電子郵箱、用戶反饋問題的表單等，並明確用戶可以收到回應的時間。

統計發現，44款手機銀行並未提及為用戶提供反饋問題表單，一般只會提供聯繫方式（如客服電話、郵箱等），僅有工商銀行隱私政策中明確提及用戶可以收到回應的時間。

四、測評小結

作為一種基本人格權利，隱私權是指公民享有的私人生活安寧與私人信息依法受到保護，不被他人非法侵擾、知悉、搜集、利用和公開等的一種人格權。從全球範圍看，隱私權的保護歷史只有100多年，而中國歷史上缺乏保護隱私的傳統，直到上世紀80年代，隱私才被最高人民法院的司法解釋所保護。隨著近年來大數據產業迅猛發展，企業大量收集和使用個人信息，對用戶隱私的保護才受到大眾越來越多的關注。

本報告測評樣本覆蓋了目前市場上多數大中型商業銀行，我們也欣喜地看到，商業銀行在制定隱私政策方面有了長足進步，多數銀行均制定了獨立的隱私政策，對用戶個人信息的保護意識逐步提升，尤其是體量巨大的國有商業銀行，在本次測評中平均得分最高，全國性股份制商業銀行則位列其次。

不過，我們也看到，大多數手機銀行在某些細節條款中依然存在不符合相關規範的現象，甚至有些手機銀行的隱私政策鏈接顯示為銀行官網或者無法打開，所謂的隱私政策形同虛設，這也表明當前國內商業銀行在個人信息保護方面依然有較大的提升空間。我們相信，隨著監管機構、企業、個人對隱私保護的重視程度逐漸增強，一個個人信息與用戶隱私全面受保護的時代即將來臨，當然，這也必然是任重而道遠的，讓我們一起努力。

-/ END /--

零壹財經精彩活動

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！