侵害用戶權(quán)益行為已成為監(jiān)管部門對手機App整治的重點。近期部分銀行App也因違規(guī)收集個人信息、超范圍收集個人信息、強制用戶使用定向推送功能等被通報。6月22日北京商報記者調(diào)查發(fā)現(xiàn)，在強監(jiān)管下，部分銀行已對手機App進行整改，若用戶拒絕開通相關(guān)權(quán)限則不影響部分功能和服務的使用，但仍有銀行App首次打開時需要獲取存儲權(quán)限、設(shè)備狀態(tài)、位置權(quán)限等，若用戶拒絕則無法使用手機銀行服務。對此，分析人士指出，從銀行角度來看，有通過收集必要的用戶個人信息來確?？蛻糍Y產(chǎn)安全的需要，但在執(zhí)行過程中也存在一些過量采集信息的行為，從業(yè)機構(gòu)需要及時關(guān)注法律法規(guī)，及時按照監(jiān)管要求做好各項備案與整改工作。

銀行App被通報整改效果如何?

工信部日前發(fā)布《關(guān)于侵害用戶權(quán)益行為的App通報(2021年第5批總第14批)》通報了291款侵害存在問題尚未完成整改的App。在四川省通信管理局通報存在問題的應用軟件名單中，四川天府銀行以及綿陽市商業(yè)銀行因違規(guī)收集個人信息、超范圍收集個人信息等原因位于該名單之中。

工信部要求上述違規(guī)App在6月16日前完成整改落實工作。但北京商報記者發(fā)現(xiàn)，整改并非完全落實。當首次打開四川天府銀行App時仍需要獲取存儲權(quán)限、設(shè)備狀態(tài)、位置權(quán)限等，若用戶拒絕則無法進入手機銀行主界面。該手機App提示，“手機狀態(tài)與身份權(quán)限以及存儲權(quán)限是必須的，否則我們無法為您提供相關(guān)的服務，請在設(shè)置-應用-天府手機銀行-權(quán)限中開啟相關(guān)權(quán)限”。而綿陽市商業(yè)銀行與四川天府銀行同樣也需要獲取用戶相關(guān)權(quán)限，但用戶拒絕授權(quán)后則可進入手機銀行服務界面。

為此北京商報記者致電四川天府銀行，相關(guān)客服人員表示，存儲權(quán)限是需要打開才可以使用的，系統(tǒng)會有相應的設(shè)置。當問及為何一定要授權(quán)才能使用時，該客服人員表示，具體原因不太清楚。

北京商報記者注意到，銀行App因侵害用戶權(quán)益被點名并不是什么新鮮事。此前，平安銀行、廣州農(nóng)商行、廣東南粵銀行、微眾銀行等App都曾被點名，涉及的違規(guī)行為包括違反必要原則、收集與其提供的服務無關(guān)的個人信息以及違規(guī)收集個人信息、App強制頻繁過度索取權(quán)限等。北京商報記者下載上述銀行App體驗后發(fā)現(xiàn)，平安銀行、廣州農(nóng)商行仍有獲取用戶照片、媒體內(nèi)容和文件的要求，但當用戶拒絕時仍可進入服務界面。

談及仍有通報銀行未經(jīng)整改的原因，金融科技專家蘇筱芮表示，尚未整改其一是機構(gòu)合規(guī)意識不夠強，對待整改工作未有足夠重視;其二是機構(gòu)水平不足，對監(jiān)管要求的理解及技術(shù)能力還有待提升。

資深銀行業(yè)分析人士王劍輝則認為，App整改難是因為有些銀行規(guī)模并不是很大，在手機銀行方面的投入也相對比較有限，修改并不是簡單取消一兩項權(quán)限，可能整個流程、信息庫的管理都需要修改，成本也會比較高，而在此期間能否平滑過渡也不能保證。還有些銀行也抱著得過且過的態(tài)度，出于成本考慮沿用原來的系統(tǒng)不太愿意徹底整改。更有甚者出于自身利益的考量，想通過收集App信息擴大業(yè)務帶來更多的收入，而罰款的額度小于這部分利益的收入，所以愿意鋌而走險。

部分銀行App未授權(quán)無法使用

除上述被通報App之外，北京商報記者注意到，有部分銀行因用戶未授權(quán)相關(guān)信息，而無法使用手機銀行。例如，北京農(nóng)商行用戶不開通存儲、電話權(quán)限則無法進入手機銀行主界面;蒙商銀行儲存權(quán)限未開啟無法使用手機銀行;上海銀行若存儲卡讀寫、獲取手機狀態(tài)權(quán)限申請被拒絕，App則會自動退出等。

北京商報記者致電上述銀行，北京農(nóng)商行的客服人員表示，開通上述權(quán)限是為了確保用戶的賬戶安全，如果一天之內(nèi)用戶賬號頻繁操作就可能出現(xiàn)相應的風險，不開通權(quán)限，銀行無法監(jiān)管，資金方面的風險就無法保障。至于個人信息安全，銀行有保密協(xié)議，客戶的個人信息不會對外泄露。蒙商銀行的客服人員則表示，可能是用戶手機權(quán)限限制的原因，其App并未設(shè)置此要求，但記者下載其他銀行App卻發(fā)現(xiàn)并未有此授權(quán)要求。上海銀行則未回復。

銀行要求用戶開通上述權(quán)限是否為服務所必須?王劍輝認為，從銀行角度而言確實有出于安全方面的考慮，通過采集用戶的個人信息來確保客戶資產(chǎn)安全的需要，但在執(zhí)行過程中也確實存在一些過量采集信息的行為，比如一些銀行App要求訪問通訊錄、訪問設(shè)備位置信息等，這些信息銀行并不是非要不可，與保障客戶利益關(guān)聯(lián)性并不是很大。

而此前，北京商報記者對18家民營銀行App調(diào)查中也發(fā)現(xiàn)，有16家首次打開App即彈窗要求訪問用戶相關(guān)信息，收集權(quán)限大致涵蓋：位置、設(shè)備照片(相冊)及文件、讀取通話狀態(tài)和移動網(wǎng)絡(luò)信息、錄制音頻視頻、獲取儲存權(quán)限等。

多位律師人士曾在接受北京商報記者采訪時表示，個人信息在具體業(yè)務有必要時才能采集，打開App并非提供服務，未享受相關(guān)服務時就不該收集相關(guān)信息。

對于上述銀行App未授權(quán)無法使用是否屬于侵害用戶權(quán)益的行為，北京尋真律師事務所律師王德怡表示，不能推定為侵害用戶權(quán)益。銀行之所以要開通這些權(quán)限，有可能是因為技術(shù)上有必要。例如，數(shù)字人民幣在某地區(qū)試點只面向本地用戶發(fā)行，如果不打開系統(tǒng)定位，則無法判斷用戶所在位置。

“幾乎所有的App都會試圖收集用戶數(shù)據(jù)，且都有大規(guī)模采集用戶數(shù)據(jù)的利益驅(qū)動，銀行類App也不例外。收集的數(shù)據(jù)越多、越準確，有利于銀行方面對數(shù)據(jù)進行分析利用，對客戶實施精準營銷，在和客戶發(fā)生爭議時，也有利于向客戶主張法律權(quán)利?，F(xiàn)實生活中，用戶往往看不到銀行收集信息的邊界，一些用戶對這個問題也不敏感。”王德怡說。

銀行App收集的信息范圍如何界定?

那么政策又對銀行App權(quán)限是否有規(guī)定?哪些屬于銀行應收集的必要個人信息?

5月1日，國家互聯(lián)網(wǎng)信息辦公室等四部門聯(lián)合發(fā)布的《常見類型移動互聯(lián)網(wǎng)應用程序必要個人信息范圍規(guī)定》(以下簡稱《規(guī)定》)正式實施，《規(guī)定》明確移動互聯(lián)網(wǎng)應用程序(App)運營者不得因用戶不同意收集非必要個人信息，而拒絕用戶使用App基本功能服務。在手機銀行方面，《規(guī)定》提到，手機銀行類基本功能服務為“通過手機等移動智能終端設(shè)備進行銀行賬戶管理、信息查詢、轉(zhuǎn)賬匯款等服務”，必要個人信息包括：注冊用戶移動電話號碼;用戶姓名、證件類型和號碼、證件有效期限、證件影印件、銀行卡號碼、銀行預留移動電話號碼;轉(zhuǎn)賬時需提供收款人姓名、銀行卡號碼、開戶銀行信息。

4月26日，工信部會同公安部、市場監(jiān)管總局起草的《移動互聯(lián)網(wǎng)應用程序個人信息保護管理暫行規(guī)定(征求意見稿)》也提到，移動互聯(lián)網(wǎng)應用程序不得提前申請超出其業(yè)務功能或者服務外的權(quán)限，不得利用頻繁彈窗反復申請與當前服務場景無關(guān)的權(quán)限。

談及銀行App整改建議，王德怡表示，銀行App有基礎(chǔ)查詢功能，也有轉(zhuǎn)賬、貸款及理財功能，銀行應當根據(jù)客戶不同類型的需求設(shè)定相應的權(quán)限。銀行所采集的信息范圍，要遵守《常見類型移動互聯(lián)網(wǎng)應用程序必要個人信息范圍規(guī)定》的規(guī)定;如果金融行業(yè)監(jiān)管規(guī)定另有特別要求，銀行收集上述信息也不違法。

蘇筱芮進一步指出，從業(yè)機構(gòu)需要及時關(guān)注法律法規(guī)，及時按照監(jiān)管要求做好各項備案與整改工作。從監(jiān)管信號判斷，信息安全與隱私保護已成金融監(jiān)管全新課題，建議各機構(gòu)充分重視監(jiān)管信號，成立專項組來穩(wěn)步推進技術(shù)方面的合規(guī)工作。

王劍輝則建議，手機App治理應采用更硬性的管理，應該出臺相應的法律措施加大處罰力度，同時，銀行應在銀行科技投入方面提供更多的鼓勵措施，鼓勵銀行開發(fā)更先進創(chuàng)新的系統(tǒng)而不是通過過量采集用戶信息的方式保障客戶利益。

(記者孟凡霞實習記者李海顏)

關(guān)鍵詞： 手機App 整改難 違規(guī)獲取 個人信息