周觀察｜金融類APP侵害用户權益何時休_風聞

來源 | 周觀新金融 作者 | 周公子 

提高個人信息保護覺悟靠大家。

數據安全問題，自去年到現在都是大家熱議的焦點。７月24日，工信部再次通報了一批侵害用户權益的APP名單，這已經是自5月來通報的第三批了，其中不乏天弘基金、小鵝花錢（微眾銀行小程序）、華夏基金管家、博時基金、買單吧（交通銀行信用卡APP）等知名金融企業的APP。根據工信部要求，這些APP必須在7月30日之前完成整改，否則將開展相關處置工作。

值得一提的是，稍微留意這些APP所涉及的問題，我們會發現這幾乎是各類APP應用的“通病”：超範圍收集個人信息、私自手機個人信息、賬號註銷難、私自共享信息給第三方、不給權限不讓用、強制用户使用定向推送功能、過度索取權限……

是不是似曾相識？是不是也曾深受其擾？

相信工信部通報的這批名單，只是第三批，而不是最後一批。有此類問題的APP實在是太多了。

很多APP是在你安裝的時候，就給你選項授權採集包括地理位置、安裝列表，金融類則通常還涉及通訊錄、通話記錄等敏感信息。此前，關於數據採集邊界的問題，我們也曾在歷史文章中探討過，多數業內人士都認為，現有的APP數據採集其實並非全出於本身服務需要，這些APP背後的企業之所以想方設法採集有關無關的數據，主要目的是為了業務延伸。

借用一位數據安全行業資深從業者的話：有的APP，不僅超範圍採集數據，還需要強制授權抓取相關數據，用户不同意就無法使用，這其實比PC時代的強制彈窗還流氓。

這種行業亂象何時休？所幸，從去年始於魔蠍科技等企業的大數據行業風波，到今年315被央視點名的SDK問題，再到近期工信部分批點名通報，數據安全亂象終於被推至台前，真正引起大家重視。

01

積極信號與監督難點

7月24日，與第三批侵害用户權益APP通報同日下發的，還有《工業和信用化部關於開展縱深推進APP侵害用户權益專項整治行動的通知》（下簡稱《通知》），列出了明確的整治目標：加強監督檢查，督促相關企業強化APP個人信息保護，及時整改消除違規收集、使用用户個人信息和騷擾用户、欺騙誤導用户、應用分發平台管理責任落實不到位等突出問題，淨化APP應用空間。2020年8月底前，上線運行全國APP技術檢測平台管理系統，12月10日前完成覆蓋40萬款主流APP檢測工作。

《通知》明確的整治人物也非常全面，包括APP、SDK違規處理用户個人信息方面；設置障礙、頻繁騷擾用户方面；欺騙誤導用户方面；應用分發平台責任落實不到位方面。

雖然《通知》給了消費者一劑強心針，但從實際操作層面來看，數據安全管理涉及的“邊界”問題，往往難以精準把握，這也是為何近年來安全計算迅速在業內走紅的原因。

舉個人話版例子:

根據《信息安全技術 移動互聯網應用（APP）手機個人信息基本規範》（草案），企業收集個人信息應遵循“最少信息”原則，但具體到操作層面，什麼才是“最少”？

以金融借貸類的最少信息收集範圍為例，很多企業的收集範圍顯然是超出上述範圍的。經過工信部這一輪專項整治後，不少企業應該會有所收斂，但不少企業條款依然有“概括性”表述，消費者對這類偏向概括授權的條款防不勝防，陷入被動。如某些APP“可獲得您聯繫人的相關信息”的表述，即屬於概括性表述。具體是指多少相關聯繫人？是包含整個通訊錄的聯繫人，還是僅僅是兩個緊急聯繫人？這裏的差距就很大了。

‍再舉個更行業的例子：

SDK廠商放在過去，是一個很吃香的所謂“大數據廠商”，這些服務大體上包括：通知類SDK、埋點日誌類SDK、遊戲語音類SDK、驅動類SDK、智能識別類SDK、設備指紋SDK、支付SDK等。

APP應用的迅速鋪開，SDK有不小貢獻。但是，SDK廠商如果只靠賣SDK，盈利能力是有限的，所以很多SDK廠商都會有關聯的大數據公司，做數據類的增值業務。

這就涉及中間截留數據的問題，而SDK廠商能不能中間截留數據？這在業內看來，一直沒有太明確的界限。SDK本身並不是一個完整的軟件服務，用户更多的情況下其實對此是未知和陌生的。

舉例來説，用户下載了應用市場上的某個APP，提示授權抓取地理位置等數據，對用户來説，只會意識到自己的手機數據被這個APP抓取。但是實際情況則是，這個APP採集數據用的很可能是第三方的SDK，比如埋點用A的、PUSH用B的、設備指紋用C的……

那麼，問題就來了，ABC三者是否有權限來緩存這個過程中抓取的用户數據呢？如果緩存了，是否在授權協議裏面有明示？如果授權明示緩存了，是否可以用於該APP服務範圍的其他用途，這個過程又該如何規範管理？

02

你我都該提高警惕

羅馬總不是一天建成的，行業的規範發展也一樣，都是邊發展邊規範。

從《網絡安全法》到去年的《信息安全技術 移動互聯網應用（APP）手機個人信息基本規範》（草案）公開徵求意見，再到各部位聯合下發的《APP違法違規收集使用個人信息行為認定方法》、《移動互聯網應用程序（APP）收集使用個人信息評估指南》等文件來看，足見監管規範行業發展的決心。

工信部在近日掛出的整治通知，還有個細節不容忽視：提醒消費者關於個人信息保護的投訴，也有明確投訴路徑：中國互聯網協會應通過互聯網信息服務投訴平台（https://ts.isc.org.cn/）或12321舉報中心接受羣眾投訴，及時彙總處理用户反映的相關問題。

正所謂，信息化時代是我家，環境靠大家。