案例解析 | 金融行业12项个人信息违规场景及合规要点披露

2024年4月，国家金融监督管理总局重庆监管局、重庆市地方金融管理局、重庆市通信管理局三部门联合印发《关于促进金融服务类App个人信息保护合规经营能力提升的通知》（以下简称《通知》）。

此前工信体系从未发布针对金融服务类App的针对性指引文件，本次是具有极强创新性的地方实践。《通知》首次明确三部门建立联合监管工作机制，监管部门针对金融服务类App的监管力度持续加强。

为协助金融类企业加强个人信息合规能力，爱加密特收集金融行业三大类问题，总计12条具体场景及三大类合规要点供各位参考。

案例来自监管部门近2年公开资料，详情如下：

1.银保监会《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知（银保监办法〔2022〕80号）》

2.上海网信办《网络理财小贷场景违法违规收集使用个人信息案例解析》

3.金管局《中国人民银行金融消费者权益保护典型案例》

问题一：超范围、过度及违规收集

案例如下：
1.消费者使用某银行贷款微信小程序，该小程序以“定位分行属地”为由申请非必要的精准位置信息。

2.消费者使用某手机银行App注册登录功能时，该App以“填写验证码”为由申请非必要的短信权限，消费者拒绝后，重新使用注册登录功能，仍继续弹窗申请短信权限，严重干扰消费者使用。

3.通过格式化合同、业务申请表向消费者收集非办理业务或提供服务所必需的个人信息。

4.利用有奖问答、赠送礼物等方式诱导消费者提供与本人业务或服务无关的个人信息。

5.将提供非办理业务必需的个人信息作为受理业务前提条件。

6.第三方SDK收集软件安装列表、设备MAC地址、GPS定位等信息，未在隐私声明中告知用户。

问题二：未经同意收集、未公开收集使用详情

案例如下：

1.在未取得消费者同意的情况下，利用移动互联网应用程序（App）获取手机通讯录、监测输入内容、监听语音收集消费者个人信息；未在官网、App主动披露隐私政策；通过非法途径盗取或购买消费者个人信息等。

2.消费者使用某保险类小程序时，该小程序在消费者同意隐私政策之前就向消费者申请授权精准位置信息。

3.App首次运行时未主动提示消费者阅读隐私政策；消费者使用借款、注册等功能时，App强制要求消费者同意第三方产品隐私政策或默认同意隐私政策。

问题三：强制、不正当收集、频繁索权

案例如下：

1.消费者使用某投资理财类App拍照上传头像功能，该App申请非必要的存储权限（实际只需拍照权限即可），否则无法使用拍照上传头像功能。

2.消费者使用某消费分期类App语音搜索功能时，该App申请非必要的存储权限（实际只需麦克风权限即可），否则无法使用语音搜索功能。

3.在格式化的合同、业务申请表、App隐私政策中加入无法选择的不合理授权条款，强制消费者同意将其信息用于与所办理业务无关的用途（如同意用于营销推介、同意向外部机构或个人提供等），否则无法正常办理业务、使用服务或功能。

个人信息合规要点

一、关注多个监管体系要求
仅2024年一季度便已有20余款金融类APP被监管部门通报批评，各企业继续学习工信部、网信办、公安部、市监局四大监管部门，目前较常被四大监管部门使用的文件约26份。

金管局、央行、证监会三大金融行业主管部门也不断发文强调个人信息安全，企业极难融会贯通多监管部门及主管部门要求进行合规检测，急需借助专业机构提高个人信息合规能力。

二、遵守三大原则

1.合法正当原则

处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。金融机构在开展互联网业务时，对于向第三方提供、分享、委托处理个人信息的，即使已经取得了用户的充分授权，也应当评估该等向第三方提供的处理方式是否直接与业务相关，是否具有必要性，是否采取了对借款人权益影响最小的方式

2.最小必要原则

处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。例如互联网信贷业务中收集工作单位领导/同事的联系方式、父母配偶等多名亲属联系方式，与借贷无关的金融信息、生物识别信息、或者其他与借贷无关的借款人个人私密信息，都不符合最小必要原则。

3.公开透明原则

处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。金融机构应当向用户公开自身的个人信息处理规则，并说明具体的处理目的、方式和范围。

三、分析应用及内嵌第三方SDK行为部分开发者个人信息保护意识不足或对第三方SDK不熟悉，如调用第三方SDK以实现广告、推送等功能时，未声明该SDK获取GPS定位、系统软件列表等行为，导致应用违规。企业需对应用行为及SDK行为进行深度分析。

爱加密可通过唯一标识精准识别SDK信息、版本，通过行为调用栈判别、区分行为应用主体或SDK，识别收集使用个人信息行为、权限使用情况、通信IP次数、收集使用个人信息。协助企业分析个人信息违规风险。

爱加密可提供专业的移动应用个人信息安全检测、移动应用个人信息安全合规评估服务。可帮助应用开发企业在应用发布前评估个人信息的安全性和合规性，从源头上降低被监管机构通报的风险。出具专业的个人信息测评报告，助力企业提升个人信息安全合规能力。

作为国内移动信息安全综合服务提供商，爱加密时刻关注我国的个人信息安全发展状况，致力于通过优质的核心技术，帮助企业、监管机构、测评机构等实现移动应用的合法合规，从行业实践角度着手大力推动我国移动应用个人信息安全保护生态的良好发展。