手機APP應用規範發布 明確借貸類應用不應強制讀取用戶通訊錄

6月1日，全國信息安全標準化技術委員會發布《網路安全實踐指南——移動互聯網應用基本業務功能必要信息規範》（簡稱「《規範》」），這一規範是針對當前用戶數量大、社會關注度高的移動互聯網應用中存在的超範圍收集、強制授權、過度索權等個人信息收集安全問題而發布的。

《規範》中對於網路約車、網路支付、短視頻、金融借貸、房產交易、汽車交易等16類，針對不同類型App的特點，給出了每一類搜集用戶必要信息的範圍。

對於《規範》中必要信息的解讀

必要信息主要包括基本業務功能相關必要信息和通用功能相關必要信息，且《規範》對概念做了詳細定義，如下：

基本業務功能相關必要信息，是與基本業務功能直接關聯，一旦缺少會導致基本業務功能無法實現或無法正常運行的個人信息。

通用功能相關必要信息，是相關法律法規要求、保障移動互聯網應用安全風險管控所必需的個人信息。

根據南方都市報的報道，對於必要信息的內容，浙江墾丁律師事務所聯合創始人麻策表示，企業可以不必完全依樣遵守執行，因為此次發布的《規範》在性質上屬於技術文件，不屬於國家標準。但他強調，若有企業收集使用了超出《規範》所列的必要信息，應當有更充分的理由進行說明，否則容易被認為超出必要性範疇，帶來監管執法風險。

中國電子技術標準化研究院信息安全研究中心審查部總監何延哲表示，「以前在判定什麼是必要信息時，通常只能『一事一議』，效率比較低。現在有了《規範》之後，相對來說能夠形成比較一致的觀點，在這個基礎上再去討論，會變得更加方便一點。」

下表是《規範》中網路支付和金融借貸兩類App收集用戶必要信息的詳細界定。

根據《規範》要求，網路支付基本業務功能必要信息有：手機號碼、賬號信息、身份信息、銀行賬戶信息、交易信息、交易身份驗證信息等6項。

其中，對於賬號信息，《規範》要求僅用於保障賬號信息安全；對於需要提供生物特徵的身份驗證方式，會涉及個人生物特徵信息的，《規範》要求網路支付機構應再次告知用戶並獲取用戶明示同意，並應優先採取本地終端認證機制。

對於安全風控和生物識別，倫律師事務所金融部合伙人劉新宇律師談到，第一，設備信息只能用於安全風控目的，意味著網路支付應用的運營者收集用戶的設備信息只能用於應對反作弊、反欺詐、違法不良信息管控等業務安全風控用途。如果用於安全風控以外的目的，則需要再次徵得用戶同意；第二，生物識別信息應優先採取本地終端認證機制，意味著在技術等條件允許的情況下，運營者應當僅接收用戶生物識別信息的驗證結果，而不應收集用戶的指紋信息或面容ID等生物識別信息。

金融借貸基本業務功能必要信息有：手機號碼、賬號信息、身份信息、銀行賬戶信息、個人徵信信息、緊急聯繫人信息、借貸交易記錄等7項。其中「緊急聯繫人信息」僅限兩人，用於逾期不還情況下進行催款，且應允許手動輸入，而非強制讀取通訊錄。可以注意到，《規範》首次明確不應強制讀取用戶的通訊錄。

針對金融借貸相關要求，麻策解釋說基於貸款業務場景中失信人慣於「玩消失」的行業特色，允許App適當通過其它聯繫人了解情況也是符合行業習慣的，但他強調，借款人通訊錄中其他用戶信息，除非基於擔保等法定情形，並無接收任何催收信息的義務，故強制讀取通訊錄的做法不符合最小化收集的原則，此類催收不被法律所允許。

劉新宇律師認為《規範》對於金融借貸的影響有兩點：第一，學信網信息、通話記錄等信息未納入基本業務功能必要信息範疇，意味著金融借貸應用的運營者如果需要收集該等信息，需要具有充分的理由並允許用戶自主選擇同意；第二，不得強制讀取用戶的通訊錄，意味著強制讀取通訊錄這一屢被詬病和大量投訴的「默認操作」失去其必要性基礎，如果金融借貸行業繼續堅持強制讀取通訊錄，即使用於催收，也會面臨較高的監管合規風險。

APP違法違規專項治理在行動

截至2018年12月，我國手機網民規模達8.17億，網民中手機上網比例高達98.6%，我國市場上檢測到在架APP數量的高達449萬款，App違法違規收集使用個人信息受到相關部門的高度重視，開展了一系列APP違法違規收集使用個人信息專項治理行動。

1月25日，自《關於開展App違法違規收集使用個人信息專項治理的公告》的發布，APP違法違規收集使用個人信息專項治理行動正式拉開帷幕。

下表是對近半年來相關部門開展治理行動的整理。

據新華社報道，截至4月16日，被舉報的App數量已經達到1300餘款，主要集中在金融借貸、社區社交、網上購物、短視頻與直播、即時通訊等領域。

從舉報的問題來看：31%的App在申請打開收集個人信息相關許可權時，未明確告知用戶；26%的App沒有隱私條款或未在隱私條款中明確收集個人信息的目的、方式、範圍；20%的App收集與業務功能無關的個人信息，如金融借貸App收集用戶通訊錄；19%的App未經用戶同意，向他人提供設備ID、應用程序列表等個人信息；13%的App強制索要與業務功能無關的許可權，如計算器、手電筒App強制要求打開地理位置許可權。其中App獲取個人信息相關許可權時未明確告知用戶的問題最為突出，佔總舉報數量的31%，佔比最高。

用戶如何識別「涉嫌違法違規收集個人信息」APP

1、App無隱私政策：在APP安裝、註冊賬號、彈窗界面、文本片段或鏈接、客服問答等均無法找到隱私政策；

2、超範圍收集與業務無關個人信息：指收集與App功能毫無關係的個人信息或要求打開毫無關係的系統許可權；

3、捆綁業務功能要求用戶一攬子同意：要求用戶一次性同意多項功能或打開多項系統許可權，才能正常使用App；

4、強制、頻繁索要業務功能非必需的許可權：如果不給許可權，會閃退、反覆彈窗，影響其他功能的使用；

5、無法註銷賬號：App內無法找到註銷方式或註銷過程設置不合理條件；

6、存在不合理條款：如存在免除自身責任、加重用戶責任、排除用戶權利的條款；

7、無法刪除或更正個人信息：如用戶主動提交的信息無法修改或刪除（功能所必需的除外）；

8、無申訴渠道或渠道無效：沒有告訴用戶例如電子郵件、電話、傳真、在線客服、在線表格等針對個人信息保護的詢問、申訴渠道和反饋機制。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！