侵害用户权益行为已成为监管部门对手机App整治的重点。近期部分银行App也因违规收集个人信息、超范围收集个人信息、强制用户使用定向推送功能等被通报。6月22日北京商报记者调查发现,在强监管下,部分银行已对手机App进行整改,若用户拒绝开通相关权限则不影响部分功能和服务的使用,但仍有银行App首次打开时需要获取存储权限、设备状态、位置权限等,若用户拒绝则无法使用手机银行服务。对此,分析人士指出,从银行角度来看,有通过收集必要的用户个人信息来确保客户资产安全的需要,但在执行过程中也存在一些过量采集信息的行为,从业机构需要及时关注法律法规,及时按照监管要求做好各项备案与整改工作。
银行App被通报整改效果如何?
工信部日前发布《关于侵害用户权益行为的App通报(2021年第5批总第14批)》通报了291款侵害存在问题尚未完成整改的App。在四川省通信管理局通报存在问题的应用软件名单中,四川天府银行以及绵阳市商业银行因违规收集个人信息、超范围收集个人信息等原因位于该名单之中。
工信部要求上述违规App在6月16日前完成整改落实工作。但北京商报记者发现,整改并非完全落实。当首次打开四川天府银行App时仍需要获取存储权限、设备状态、位置权限等,若用户拒绝则无法进入手机银行主界面。该手机App提示,“手机状态与身份权限以及存储权限是必须的,否则我们无法为您提供相关的服务,请在设置-应用-天府手机银行-权限中开启相关权限”。而绵阳市商业银行与四川天府银行同样也需要获取用户相关权限,但用户拒绝授权后则可进入手机银行服务界面。
为此北京商报记者致电四川天府银行,相关客服人员表示,存储权限是需要打开才可以使用的,系统会有相应的设置。当问及为何一定要授权才能使用时,该客服人员表示,具体原因不太清楚。
北京商报记者注意到,银行App因侵害用户权益被点名并不是什么新鲜事。此前,平安银行、广州农商行、广东南粤银行、微众银行等App都曾被点名,涉及的违规行为包括违反必要原则、收集与其提供的服务无关的个人信息以及违规收集个人信息、App强制频繁过度索取权限等。北京商报记者下载上述银行App体验后发现,平安银行、广州农商行仍有获取用户照片、媒体内容和文件的要求,但当用户拒绝时仍可进入服务界面。
谈及仍有通报银行未经整改的原因,金融科技专家苏筱芮表示,尚未整改其一是机构合规意识不够强,对待整改工作未有足够重视;其二是机构水平不足,对监管要求的理解及技术能力还有待提升。
资深银行业分析人士王剑辉则认为,App整改难是因为有些银行规模并不是很大,在手机银行方面的投入也相对比较有限,修改并不是简单取消一两项权限,可能整个流程、信息库的管理都需要修改,成本也会比较高,而在此期间能否平滑过渡也不能保证。还有些银行也抱着得过且过的态度,出于成本考虑沿用原来的系统不太愿意彻底整改。更有甚者出于自身利益的考量,想通过收集App信息扩大业务带来更多的收入,而罚款的额度小于这部分利益的收入,所以愿意铤而走险。
部分银行App未授权无法使用
除上述被通报App之外,北京商报记者注意到,有部分银行因用户未授权相关信息,而无法使用手机银行。例如,北京农商行用户不开通存储、电话权限则无法进入手机银行主界面;蒙商银行储存权限未开启无法使用手机银行;上海银行若存储卡读写、获取手机状态权限申请被拒绝,App则会自动退出等。
北京商报记者致电上述银行,北京农商行的客服人员表示,开通上述权限是为了确保用户的账户安全,如果一天之内用户账号频繁操作就可能出现相应的风险,不开通权限,银行无法监管,资金方面的风险就无法保障。至于个人信息安全,银行有保密协议,客户的个人信息不会对外泄露。蒙商银行的客服人员则表示,可能是用户手机权限限制的原因,其App并未设置此要求,但记者下载其他银行App却发现并未有此授权要求。上海银行则未回复。
银行要求用户开通上述权限是否为服务所必须?王剑辉认为,从银行角度而言确实有出于安全方面的考虑,通过采集用户的个人信息来确保客户资产安全的需要,但在执行过程中也确实存在一些过量采集信息的行为,比如一些银行App要求访问通讯录、访问设备位置信息等,这些信息银行并不是非要不可,与保障客户利益关联性并不是很大。
而此前,北京商报记者对18家民营银行App调查中也发现,有16家首次打开App即弹窗要求访问用户相关信息,收集权限大致涵盖:位置、设备照片(相册)及文件、读取通话状态和移动网络信息、录制音频视频、获取储存权限等。
多位律师人士曾在接受北京商报记者采访时表示,个人信息在具体业务有必要时才能采集,打开App并非提供服务,未享受相关服务时就不该收集相关信息。
对于上述银行App未授权无法使用是否属于侵害用户权益的行为,北京寻真律师事务所律师王德怡表示,不能推定为侵害用户权益。银行之所以要开通这些权限,有可能是因为技术上有必要。例如,数字人民币在某地区试点只面向本地用户发行,如果不打开系统定位,则无法判断用户所在位置。
“几乎所有的App都会试图收集用户数据,且都有大规模采集用户数据的利益驱动,银行类App也不例外。收集的数据越多、越准确,有利于银行方面对数据进行分析利用,对客户实施精准营销,在和客户发生争议时,也有利于向客户主张法律权利。现实生活中,用户往往看不到银行收集信息的边界,一些用户对这个问题也不敏感。”王德怡说。
银行App收集的信息范围如何界定?
那么政策又对银行App权限是否有规定?哪些属于银行应收集的必要个人信息?
5月1日,国家互联网信息办公室等四部门联合发布的《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称《规定》)正式实施,《规定》明确移动互联网应用程序(App)运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用App基本功能服务。在手机银行方面,《规定》提到,手机银行类基本功能服务为“通过手机等移动智能终端设备进行银行账户管理、信息查询、转账汇款等服务”,必要个人信息包括:注册用户移动电话号码;用户姓名、证件类型和号码、证件有效期限、证件影印件、银行卡号码、银行预留移动电话号码;转账时需提供收款人姓名、银行卡号码、开户银行信息。
4月26日,工信部会同公安部、市场监管总局起草的《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》也提到,移动互联网应用程序不得提前申请超出其业务功能或者服务外的权限,不得利用频繁弹窗反复申请与当前服务场景无关的权限。
谈及银行App整改建议,王德怡表示,银行App有基础查询功能,也有转账、贷款及理财功能,银行应当根据客户不同类型的需求设定相应的权限。银行所采集的信息范围,要遵守《常见类型移动互联网应用程序必要个人信息范围规定》的规定;如果金融行业监管规定另有特别要求,银行收集上述信息也不违法。
苏筱芮进一步指出,从业机构需要及时关注法律法规,及时按照监管要求做好各项备案与整改工作。从监管信号判断,信息安全与隐私保护已成金融监管全新课题,建议各机构充分重视监管信号,成立专项组来稳步推进技术方面的合规工作。
王剑辉则建议,手机App治理应采用更硬性的管理,应该出台相应的法律措施加大处罚力度,同时,银行应在银行科技投入方面提供更多的鼓励措施,鼓励银行开发更先进创新的系统而不是通过过量采集用户信息的方式保障客户利益。
(作者:孟凡霞 实习记者 李海颜)