周觀察｜金融類APP侵害使用者權益何時休

來源 | 周觀新金融 作者 | 周公子 

提高個人資訊保護覺悟靠大家。

資料安全問題，自去年到現在都是大家熱議的焦點。７月24日，工信部再次通報了一批侵害使用者權益的APP名單，這已經是自5月來通報的第三批了，其中不乏天弘基金、小鵝花錢（微眾銀行小程式）、華夏基金管家、博時基金、買單吧（交通銀行信用卡APP）等知名金融企業的APP。根據工信部要求，這些APP必須在7月30日之前完成整改，否則將開展相關處置工作。

值得一提的是，稍微留意這些APP所涉及的問題，我們會發現這幾乎是各類APP應用的“通病”：超範圍收集個人資訊、私自手機個人資訊、賬號登出難、私自共享資訊給第三方、不給許可權不讓用、強制使用者使用定向推送功能、過度索取許可權……

是不是似曾相識？是不是也曾深受其擾？

相信工信部通報的這批名單，只是第三批，而不是最後一批。有此類問題的APP實在是太多了。

很多APP是在你安裝的時候，就給你選項授權採集包括地理位置、安裝列表，金融類則通常還涉及通訊錄、通話記錄等敏感資訊。此前，關於資料採集邊界的問題，我們也曾在歷史文章中探討過，多數業內人士都認為，現有的APP資料採集其實並非全出於本身服務需要，這些APP背後的企業之所以想方設法採集有關無關的資料，主要目的是為了業務延伸。

借用一位資料安全行業資深從業者的話：有的APP，不僅超範圍採集資料，還需要強制授權抓取相關資料，使用者不同意就無法使用，這其實比PC時代的強制彈窗還流氓。

這種行業亂象何時休？所幸，從去年始於魔蠍科技等企業的大資料行業風波，到今年315被央視點名的SDK問題，再到近期工信部分批點名通報，資料安全亂象終於被推至臺前，真正引起大家重視。

01

積極訊號與監督難點

7月24日，與第三批侵害使用者權益APP通報同日下發的，還有《工業和信用化部關於開展縱深推進APP侵害使用者權益專項整治行動的通知》（下簡稱《通知》），列出了明確的整治目標：加強監督檢查，督促相關企業強化APP個人資訊保護，及時整改消除違規收集、使用使用者個人資訊和騷擾使用者、欺騙誤導使用者、應用分發平臺管理責任落實不到位等突出問題，淨化APP應用空間。2020年8月底前，上線執行全國APP技術檢測平臺管理系統，12月10日前完成覆蓋40萬款主流APP檢測工作。

《通知》明確的整治人物也非常全面，包括APP、SDK違規處理使用者個人資訊方面；設定障礙、頻繁騷擾使用者方面；欺騙誤導使用者方面；應用分發平臺責任落實不到位方面。

雖然《通知》給了消費者一劑強心針，但從實際操作層面來看，資料安全管理涉及的“邊界”問題，往往難以精準把握，這也是為何近年來安全計算迅速在業內走紅的原因。

舉個人話版例子:

根據《資訊保安技術 移動網際網路應用（APP）手機個人資訊基本規範》（草案），企業收集個人資訊應遵循“最少資訊”原則，但具體到操作層面，什麼才是“最少”？

以金融借貸類的最少資訊收集範圍為例，很多企業的收集範圍顯然是超出上述範圍的。經過工信部這一輪專項整治後，不少企業應該會有所收斂，但不少企業條款依然有“概括性”表述，消費者對這類偏向概括授權的條款防不勝防，陷入被動。如某些APP“可獲得您聯絡人的相關資訊”的表述，即屬於概括性表述。具體是指多少相關聯絡人？是包含整個通訊錄的聯絡人，還是僅僅是兩個緊急聯絡人？這裡的差距就很大了。

‍再舉個更行業的例子：

SDK廠商放在過去，是一個很吃香的所謂“大資料廠商”，這些服務大體上包括：通知類SDK、埋點日誌類SDK、遊戲語音類SDK、驅動類SDK、智慧識別類SDK、裝置指紋SDK、支付SDK等。

APP應用的迅速鋪開，SDK有不小貢獻。但是，SDK廠商如果只靠賣SDK，盈利能力是有限的，所以很多SDK廠商都會有關聯的大資料公司，做資料類的增值業務。

這就涉及中間截留資料的問題，而SDK廠商能不能中間截留資料？這在業內看來，一直沒有太明確的界限。SDK本身並不是一個完整的軟體服務，使用者更多的情況下其實對此是未知和陌生的。

舉例來說，使用者下載了應用市場上的某個APP，提示授權抓取地理位置等資料，對使用者來說，只會意識到自己的手機資料被這個APP抓取。但是實際情況則是，這個APP採集資料用的很可能是第三方的SDK，比如埋點用A的、PUSH用B的、裝置指紋用C的……

那麼，問題就來了，ABC三者是否有許可權來快取這個過程中抓取的使用者資料呢？如果快取了，是否在授權協議裡面有明示？如果授權明示快取了，是否可以用於該APP服務範圍的其他用途，這個過程又該如何規範管理？

02

你我都該提高警惕

羅馬總不是一天建成的，行業的規範發展也一樣，都是邊發展邊規範。

從《網路安全法》到去年的《資訊保安技術 移動網際網路應用（APP）手機個人資訊基本規範》（草案）公開徵求意見，再到各部位聯合下發的《APP違法違規收集使用個人資訊行為認定方法》、《移動網際網路應用程式（APP）收集使用個人資訊評估指南》等檔案來看，足見監管規範行業發展的決心。

工信部在近日掛出的整治通知，還有個細節不容忽視：提醒消費者關於個人資訊保護的投訴，也有明確投訴路徑：中國網際網路協會應透過網際網路資訊服務投訴平臺（）或12321舉報中心接受群眾投訴，及時彙總處理使用者反映的相關問題。

正所謂，資訊化時代是我家，環境靠大家。