个人信息未经同意就收集 南方都市报评测200款移动金融APP六成不合规

“是否允许发送通知、是否允许读取地理位置……”，如今用智能手机离不开各种APP，但APP在使用前，都会需要用户授权访问各种功能的权限。有些恶意应用趁机故意要用户授权开通一些和软件无关的权限，在使用时神不知鬼不觉地窃取用户个人信息。

从支付宝年度账单事件，到江苏消保委诉百度侵犯用户隐私;从李书福称微信的聊天内容可能被腾讯窥视，到今日头条的算法受到用户的质疑。一系列热点事件的集中爆发，预示着公众在互联网时代的隐私保护意识已经全面觉醒。

然而，互联网企业对用户隐私保护的重视程度却普遍不高，未能跟上用户隐私保护意识的发展。以移动端 APP 为例，在谷歌 Play、苹果 App Store 上，均有要求凡涉及个人信息及敏感信息的网络运营商必须提供隐私政策，说明如何收集使用、分享和处理用户数据。但并非所有上线的 APP 都有隐私政策。在大多数无这方面要求的应用商店里，情况更是如此。

2018 年 3 月15日，南方都市报个人信息保护研究中心与中国人民大学金融科技与互联网安全研究中心共同举办“2018消费者个人信息保护论坛”，并在会议上发布《移动金融用户个人信息安全测评报告》。据了解，此次测评涵盖200款移动金融交互类 APP 产品，具体测评了隐私政策、敏感权限获取、财产身份信息收集告知的合规程度。结果显示，六成受测APP未经用户明示同意就收集了用户的财产身份信息，成绩排在旅游类、求职类、交友类应用之后，隐私政策透明度低的金融类 APP 占比甚至高于 90%。

报告中，支付宝、京东金融APP合规程度最高，评分并列第一，评分为 95 分;人人贷、小米金融并列第二，评分为 82 分。值得注意的是，阿里巴巴与京东的产品都参与了2017 年 8 月由中央网信办等四部委发起的联合测评，因此，支付宝与京东金融在此次参与测评的产品中名列前茅，并且成绩超过其他 APP 10 分以上。在透明度低的 111 款 APP 中，有 20 款因为完全没有隐私政策得到 0 分。这意味着，这些会收集用户实名信息、银行卡信息、信用信息等敏感信息的 APP，根本没有任何保护用户个人信息的承诺文本，保护隐私意识淡薄，用户面临着信息被不当泄露等风险，应对这些 APP 保持警惕。

中国银行和中国建设银行作为进入世界500强的两家传统金融机构却意外的进入了此次评测报告的黑榜，它们的APP是实体银行的线上应用平台，与其他 APP 在用户协议签订时略有不同。一般情况下，银行 APP 的用户往往已经在线下柜台完成面对面签约再使用线上平台。因此有观点认为，实体银行的线上产品不需要再提供用户协议与隐私政策。但本报告认为，线上收集个人信息与线下收集个人信息，在收集内容、存放方式、保护手段等都有很大不同，因此实体银行的线上产品应当提供专门的隐私政策。

报告指出，APP获取敏感隐私权限和收集敏感信息时的合规程度较低，这一方面是由于应用开放商没有对于个人信息与个人敏感信息的区分意识，另一方面是由于与敏感权限相关的法律法规较少。对此报告发布者称，财产信息、实名身份信息都属于个人敏感信息，移动金融APP产品相比其他领域APP，会更频繁地使用这类信息，如果在收集时都不能做到合法合规，那么，其安全性与对个人敏感信息的重视程度都值得用户警惕。

互联网金融的迅速发展，让越来越多用户的个人信息在各类金融平台聚集，其中大部分是与个人财产相关的敏感信息，一旦这些个人数据被泄露，那么就会给当事者造成经济损失或者更为严重危害。山东准大学生徐玉玉就是血的教训。

此外，从企业自身发展的角度看，一旦发生个人信息泄漏案就会对企业的声誉、品牌形象和经营绩效造成很大的负面影响。

大数据时代，流动的数据创造价值，数据开放利用将是趋势，这需要企业建立保护个人信息的可信任形象。对此，全国人大代表陈乃科指出：不能让不合理、不科学的个人信息保护制度成为阻碍现代金融服务业发展的“拦路虎”。建议国家有关部门对此高度重视，从理念和制度创新入手，切实改善个人信息在现代金融服务业乃至整个数据产业的应用。

信息安全是个人信息利用的前提，确保个人信息安全是个人信息收集使用人的基本义务。个人信息保护的重要目的是防止个人信息的滥用或泄露侵害个人权益，确保个人信息的安全。基于个人信息的收集和利用在金融行业的特殊性，在改善过去把金融行业收集和获取个人信息“个人同意”作为唯一门槛的同时，应当加强金融行业个人信息信息安全的监管，建立区别于其他行业的监管制度。比如，推行强制性的信息安全标准，对于不符合要求的不予准入，对于违反要求采取金融监管的行政处罚，守住金融信息的安全底线。

有学者认为，2018 年是公众个人信息保护意识觉醒的元年，作为上榜服务机构们，你们真的准备好了吗?