央行摸排金融科技应用风险　移动金融ＡＰＰ数据安全成重中之重

随着移动互联网快速发展，移动金融ＡＰＰ已成为目前国内金融业务最广泛、最 直接、最便捷的入口。 ７月１６日晚，央视“３·１５”晚会再次提到手机ＡＰＰ违规收集个人信息问 题，在其提到的５０多个违规收集信息的ＡＰＰ中，金融类就超过４０个。 这些ＡＰＰ在后台读取电话号码、通讯录、短信记录、应用列表等信息的同时， 上传联系人、交易验证码等数据到第三方服务器。并且，第三方ＳＤＫ除了收集用户 手机号码、设备信息之外，还会收集用户手机通讯录、短信信息、传感器信息等用户 隐私信息，在采集之后还会发送至指定服务器进行存储。 对此，工信部官网发布公告称，第一时间组织第三方检测机构对央视曝光的使用 上述两家ＳＤＫ的５０余款ＡＰＰ进行技术检测，对存在问题的ＡＰＰ第一时间启动 下架程序。工信部称，自去年１１月工信部启动ＡＰＰ侵害用户权益专项整治行动以 来，共检测超过８万余款ＡＰＰ，推动８０００余款ＡＰＰ自查整改，对４７８家存 在问题的企业下发整改函。 尽管监管一再强调个人隐私保护，但在现实中依然屡见不鲜。 在此背景下，２１世纪经济报道记者获悉，央行也在今年上半年启动了全面摸排 金融科技应用风险工作，移动金融客户端应用软件成为摸排重点之一，移动金融ＡＰ Ｐ及其背后金融数据安全则是重中之重。 如何判定收集信息的合法性？ 金融ＡＰＰ过度收集读取并使用收集用户信息是否构成侵犯公民个人信息犯罪？ 分歧是存在的。 中国银行法学研究会理事肖飒７月２１日对２１世纪经济报道记者表示，一种观 点认为不构成侵犯公民个人信息罪。因为ＡＰＰ读取该类信息系经过用户同意的，信 息使用在用户承诺范围内，且企业并没有将信息转手给他人，仅是用于金融公司贷款 审批、催债使用。 但另一种观点认为，该用户同意并非真实用户意思表示，用户若不同意则无法使 用金融ＡＰＰ，虽然信息没有外流，但是通过读取的手机通讯录并给亲友打电话催债 的行为，给用户造成了较大困扰，已然突破合理合法边界。 而在司法实践中，判断的一个关键点在于是否明示信息使用用途。企业在获取用 户信息时，是否明示收集的手机通讯录信息将被用于贷款审批及债务催收，如果没有 明示，却在收集后用于该用途，会被认定为非法获取。 网络安全法第４１条规定，网络运营者收集、使用个人信息，应当遵循合法、正 当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围， 并经被收集者同意。 就收集者同意而言，隐私协议本是为了获得用户信息授权，但金融ＡＰＰ中多是 内置协议，提供格式条款一方免除其责任、加重对方责任、排除对方主要权利的，根 据我国合同法第四十条，该条款无效。 “在实际案例中，将由法官结合协议内容、业务逻辑实质等予以判断。一旦法院 认定授权无效的，手机ＡＰＰ获取用户信息的行为将彻底丧失合法性依据。”肖飒表 示，即使在隐私协议授权条款有效的基础上，信息收集还需遵循必要性原则，也即， 金融ＡＰＰ只能处理满足个人信息主体授权同意目的所需的最少个人信息类型和数量 。如此，借贷审批是否需要全部获知用户通讯录等，便存在合法性疑问。 与此同时，在７月１７日发布的《商业银行互联网贷款管理暂行办法》中也提到 ，商业银行如果需要从合作机构获取借款人风险数据，应通过适当方式确认合作机构 的数据来源合法合规、真实有效，对外提供数据不违反法律法规要求，并已获得信息 主体本人的明确授权。商业银行不得与违规收集和使用个人信息的第三方开展数据合 作。 央行摸排移动金融ＡＰＰ的核心是金融数据安全 央行今年上半年发布了《关于开展金融科技应用风险专项摸排工作的通知》（以 下简称“４５号文”）。 “４５号文”出台的背景是加强金融科技应用风险防控，切实保障用户的信息和 资金安全，人民银行要求各分支机构于２０２０年１０月３１日前报送摸排的书面报 告。 自２０１９年９月《中国人民银行关于发布金融行业标准加强移动金融客户端应 用软件安全管理的通知》（银发〔２０１９〕２３７号）发布以来，移动金融客户端 应用软件备案工作正在进行中。 ２１世纪经济报道记者了解到，此次摸排中，移动金融ＡＰＰ和背后的金融数据 安全是重中之重。本次摸排工作对ＡＰＰ的安全要求继承了银发〔２０１９〕２３７ 号文的要求，并结合当前ＡＰＰ伪冒等问题对监控要求进行了细化，帮助央行更好地 推进统一风险监控平台的建设。 对于摸排的主要内容，覆盖了人工智能、大数据、区块链、物联网等新技术在金 融领域的应用，表现出对技术风险的前瞻性。 另外，摸排还特别关注了金融业务交易安全和金融核心的处理要素——金融数据 ，贯穿金融交易的数据流和个人金融信息保护的生命周期。 根据４５号文中的工作安排，相关金融机构在２０２０年５月至７月要完成自评 工作，依据《金融科技应用风险专项摸排列表》逐项进行自评，及时提交报告。对发 现的问题，建立清单管控和动态跟踪机制，视情况采取必要的风险补救或补偿措施。 摸排列表包括个人金融信息保护、交易安全、仿冒漏洞、技术使用安全以及内控 管理五大方面，涵盖４０个具体摸排项，１２３个摸排要点，覆盖ＡＰＰ、系统以及 ＡＰＩ等。 移动金融客户端应用软件、应用程序编程接口、信息系统等都是重点摸排对象， 从技术层面来讲主要涉及人工智能、大数据、区块链、物联网等新技术金融应用风险 ，包括个人金融信息保护、交易安全、仿冒漏洞、技术使用安全、内控管理等５个方 面的风险情况。 ２１世纪经济报道记者了解到，４５号文一方面对前期各金融机构在金融科技应 用方面所做的风险合规工作进行阶段性验收，或将帮助人民银行了解目前金融科技发 展现状，进行查漏补缺，避免再次出现表外业务泛滥、同业业务异化等行业乱象，进 行有效监管。另一方面也是为后续的金融科技监管方向提供实际的数据支撑，摸排情 况可能会决定新的监管政策动态。 [32] \t