侵害用戶權益行為已成為監管部門對手機App整治的重點。近期部分銀行App也因違規收集個人信息、超范圍收集個人信息、強制用戶使用定向推送功能等被通報。6月22日北京商報記者調查發現,在強監管下,部分銀行已對手機App進行整改,若用戶拒絕開通相關權限則不影響部分功能和服務的使用,但仍有銀行App首次打開時需要獲取存儲權限、設備狀態、位置權限等,若用戶拒絕則無法使用手機銀行服務。對此,分析人士指出,從銀行角度來看,有通過收集必要的用戶個人信息來確保客戶資產安全的需要,但在執行過程中也存在一些過量采集信息的行為,從業機構需要及時關注法律法規,及時按照監管要求做好各項備案與整改工作。
銀行App被通報整改效果如何?
工信部日前發布《關于侵害用戶權益行為的App通報(2021年第5批總第14批)》通報了291款侵害存在問題尚未完成整改的App。在四川省通信管理局通報存在問題的應用軟件名單中,四川天府銀行以及綿陽市商業銀行因違規收集個人信息、超范圍收集個人信息等原因位于該名單之中。
工信部要求上述違規App在6月16日前完成整改落實工作。但北京商報記者發現,整改并非完全落實。當首次打開四川天府銀行App時仍需要獲取存儲權限、設備狀態、位置權限等,若用戶拒絕則無法進入手機銀行主界面。該手機App提示,“手機狀態與身份權限以及存儲權限是必須的,否則我們無法為您提供相關的服務,請在設置-應用-天府手機銀行-權限中開啟相關權限”。而綿陽市商業銀行與四川天府銀行同樣也需要獲取用戶相關權限,但用戶拒絕授權后則可進入手機銀行服務界面。
為此北京商報記者致電四川天府銀行,相關客服人員表示,存儲權限是需要打開才可以使用的,系統會有相應的設置。當問及為何一定要授權才能使用時,該客服人員表示,具體原因不太清楚。
北京商報記者注意到,銀行App因侵害用戶權益被點名并不是什么新鮮事。此前,平安銀行、廣州農商行、廣東南粵銀行、微眾銀行等App都曾被點名,涉及的違規行為包括違反必要原則、收集與其提供的服務無關的個人信息以及違規收集個人信息、App強制頻繁過度索取權限等。北京商報記者下載上述銀行App體驗后發現,平安銀行、廣州農商行仍有獲取用戶照片、媒體內容和文件的要求,但當用戶拒絕時仍可進入服務界面。
談及仍有通報銀行未經整改的原因,金融科技專家蘇筱芮表示,尚未整改其一是機構合規意識不夠強,對待整改工作未有足夠重視;其二是機構水平不足,對監管要求的理解及技術能力還有待提升。
資深銀行業分析人士王劍輝則認為,App整改難是因為有些銀行規模并不是很大,在手機銀行方面的投入也相對比較有限,修改并不是簡單取消一兩項權限,可能整個流程、信息庫的管理都需要修改,成本也會比較高,而在此期間能否平滑過渡也不能保證。還有些銀行也抱著得過且過的態度,出于成本考慮沿用原來的系統不太愿意徹底整改。更有甚者出于自身利益的考量,想通過收集App信息擴大業務帶來更多的收入,而罰款的額度小于這部分利益的收入,所以愿意鋌而走險。
部分銀行App未授權無法使用
除上述被通報App之外,北京商報記者注意到,有部分銀行因用戶未授權相關信息,而無法使用手機銀行。例如,北京農商行用戶不開通存儲、電話權限則無法進入手機銀行主界面;蒙商銀行儲存權限未開啟無法使用手機銀行;上海銀行若存儲卡讀寫、獲取手機狀態權限申請被拒絕,App則會自動退出等。
北京商報記者致電上述銀行,北京農商行的客服人員表示,開通上述權限是為了確保用戶的賬戶安全,如果一天之內用戶賬號頻繁操作就可能出現相應的風險,不開通權限,銀行無法監管,資金方面的風險就無法保障。至于個人信息安全,銀行有保密協議,客戶的個人信息不會對外泄露。蒙商銀行的客服人員則表示,可能是用戶手機權限限制的原因,其App并未設置此要求,但記者下載其他銀行App卻發現并未有此授權要求。上海銀行則未回復。
銀行要求用戶開通上述權限是否為服務所必須?王劍輝認為,從銀行角度而言確實有出于安全方面的考慮,通過采集用戶的個人信息來確保客戶資產安全的需要,但在執行過程中也確實存在一些過量采集信息的行為,比如一些銀行App要求訪問通訊錄、訪問設備位置信息等,這些信息銀行并不是非要不可,與保障客戶利益關聯性并不是很大。
而此前,北京商報記者對18家民營銀行App調查中也發現,有16家首次打開App即彈窗要求訪問用戶相關信息,收集權限大致涵蓋:位置、設備照片(相冊)及文件、讀取通話狀態和移動網絡信息、錄制音頻視頻、獲取儲存權限等。
多位律師人士曾在接受北京商報記者采訪時表示,個人信息在具體業務有必要時才能采集,打開App并非提供服務,未享受相關服務時就不該收集相關信息。
對于上述銀行App未授權無法使用是否屬于侵害用戶權益的行為,北京尋真律師事務所律師王德怡表示,不能推定為侵害用戶權益。銀行之所以要開通這些權限,有可能是因為技術上有必要。例如,數字人民幣在某地區試點只面向本地用戶發行,如果不打開系統定位,則無法判斷用戶所在位置。
“幾乎所有的App都會試圖收集用戶數據,且都有大規模采集用戶數據的利益驅動,銀行類App也不例外。收集的數據越多、越準確,有利于銀行方面對數據進行分析利用,對客戶實施精準營銷,在和客戶發生爭議時,也有利于向客戶主張法律權利?,F實生活中,用戶往往看不到銀行收集信息的邊界,一些用戶對這個問題也不敏感。”王德怡說。
銀行App收集的信息范圍如何界定?
那么政策又對銀行App權限是否有規定?哪些屬于銀行應收集的必要個人信息?
5月1日,國家互聯網信息辦公室等四部門聯合發布的《常見類型移動互聯網應用程序必要個人信息范圍規定》(以下簡稱《規定》)正式實施,《規定》明確移動互聯網應用程序(App)運營者不得因用戶不同意收集非必要個人信息,而拒絕用戶使用App基本功能服務。在手機銀行方面,《規定》提到,手機銀行類基本功能服務為“通過手機等移動智能終端設備進行銀行賬戶管理、信息查詢、轉賬匯款等服務”,必要個人信息包括:注冊用戶移動電話號碼;用戶姓名、證件類型和號碼、證件有效期限、證件影印件、銀行卡號碼、銀行預留移動電話號碼;轉賬時需提供收款人姓名、銀行卡號碼、開戶銀行信息。
4月26日,工信部會同公安部、市場監管總局起草的《移動互聯網應用程序個人信息保護管理暫行規定(征求意見稿)》也提到,移動互聯網應用程序不得提前申請超出其業務功能或者服務外的權限,不得利用頻繁彈窗反復申請與當前服務場景無關的權限。
談及銀行App整改建議,王德怡表示,銀行App有基礎查詢功能,也有轉賬、貸款及理財功能,銀行應當根據客戶不同類型的需求設定相應的權限。銀行所采集的信息范圍,要遵守《常見類型移動互聯網應用程序必要個人信息范圍規定》的規定;如果金融行業監管規定另有特別要求,銀行收集上述信息也不違法。
蘇筱芮進一步指出,從業機構需要及時關注法律法規,及時按照監管要求做好各項備案與整改工作。從監管信號判斷,信息安全與隱私保護已成金融監管全新課題,建議各機構充分重視監管信號,成立專項組來穩步推進技術方面的合規工作。
王劍輝則建議,手機App治理應采用更硬性的管理,應該出臺相應的法律措施加大處罰力度,同時,銀行應在銀行科技投入方面提供更多的鼓勵措施,鼓勵銀行開發更先進創新的系統而不是通過過量采集用戶信息的方式保障客戶利益。(孟凡霞 實習記者 李海顏)