本報記者 李冰

    日前，工業和信息化部發布了《關于侵害用戶權益行為的APP（SDK）通報》，其中就包括金融類APP。

    不過，此前2月8日發布的2023年第1批通報中，并未見金融類APP遭點名。

    “從近幾年通報的情況來看，涉及持牌金融機構旗下APP并不多，但金融類APP是用戶金融基礎服務和信息收集入口，此次通報應引起相關涉事機構的重視。”博通咨詢資深金融分析師王蓬博對《證券日報》記者表示。

    需按規定進行整改

    根據通報，近期，工業和信息化部組織第三方檢測機構對群眾關注的生活服務、休閑娛樂、實用工具等移動互聯網應用程序（APP）及第三方軟件開發工具包（SDK）進行檢查，發現55款APP（SDK）存在侵害用戶權益行為。綜合來看，被通報的APP主要存在“APP強制、頻繁、過度索取權限”及“超范圍收集個人信息”等問題。

    按照工信部要求，被通報APP應按有關規定進行整改，整改落實不到位的，將依法依規組織開展相關處置工作。

    從名單來看，其中某銀行機構APP應用被通報所涉及問題為“APP強制、頻繁、過度索取權限”。無獨有偶，此次遭點名的還包括非銀機構APP，所涉問題同樣是“APP存在強制、頻繁、過度索取權限”。

    根據此前工信部披露具體處置措施，包括責令整改、向社會公告、組織APP下架、停止APP接入服務，以及將受到行政處罰的違規主體納入電信業務經營不良名單或失信名單等手段，對于問題突出、嚴重違法違規、拒不整改的APP主體，將從嚴處置。

    易觀分析金融行業高級咨詢顧問蘇筱芮在接受《證券日報》記者采訪時表示，上述通報能側面反映出目前金融類APP仍存在一定問題，一方面，部分機構對個人信息保護、數據安全相關專業技術團隊建設存在不足；另一方面，部分機構在個人信息保護方面，或存在對內容理解不透徹也將影響后續工作。

    應遵循最小化和非必要不收集原則

    整體來看，今年以來，工信部正持續加大對APP侵害用戶權益的監管力度。例如，2月28日，工業和信息化部發布關于進一步提升移動互聯網應用服務能力的通知；針對“3·15”晚會報道的部分破解版APP違法違規收集用戶個人信息問題，工信部3月16日發文表示，立即組織核查，并依據《個人信息保護法》《電信和互聯網用戶個人信息保護規定》等有關法律法規要求進行嚴厲查處。

    結合2022年來看，工信部不僅通報侵害用戶權益行為的APP，也多次發布《關于APP侵害用戶權益整治“回頭看”發現問題的通報》。

    “可以說，監管目前對APP侵害用戶權益的整治工作非常‘細膩’并體現了APP監管監測合規工作的連續性及‘零容忍’的態度。”蘇筱芮稱，此次金融類APP在違規通報中占比并不是很大，但近些年金融類APP違規收集個人信息等問題依然存在。

    中國銀行法學研究會理事肖颯告訴《證券日報》記者，“在《中華人民共和國個人信息保護法》實施后，APP運營者需要仔細評估每一項信息與權限獲取的必要性，如果沒有必要則不用獲取，應遵循最小化和非必要不收集的原則。尤其需要關注一些敏感個人信息的處理，比如面部信息、身份證號、金融賬戶等，這些信息的收集需要獲取用戶的單獨同意。”

    蘇筱芮表示，個人信息保護的工作完善流程并非一蹴而就，各金融機構及其合作伙伴應該從數據的采集、存儲、加工、傳輸、披露等環節規范用戶個人信息管理，通過制度及流程的梳理加強內部管控，遵循“用戶授權、最小夠用、專事專用、全程防護”原則，對于其中的不規范信息管理行為及時糾偏。

（編輯 孫倩）