央视315晚会关注：移动金融中个人信息安全危机及其治理

2019年3月15日，央视315晚会揭露了一种高科技灰色产业链。一款由声牙科技有限公司研发的“探针盒子”，当用户手机无线局域网处于打开状态时，会向周围发出寻找无线网络的信号，探针盒子发现这个信号后，就能迅速识别出用户手机的MAC地址，转换成IMEI号，再转换成手机号码。一些公司将这种小盒子放在商场、超市、便利店、写字楼等地，在用户毫不知情的情况下，搜集个人信息，甚至包括婚姻、教育程度、收入等大数据个人信息。其中，央视还特别点名了萨**金服借此方式进行获客，涉嫌收集用户个人信息。同时，央视还曝光了一款名为“社保**通”的APP，涉嫌搜取用户隐私信息，通过不平等、不合理条款强制索取用户隐私。

实际上，央视315晚会揭露了长期存在的移动金融中个人信息安全问题。在移动互联场景下，移动金融应运而生。实践中，借助移动通信技术为社会大众提供相关金融服务的，都可称之为移动金融，包括那些通过无线网络传输技术并使用移动智能终端，如智能手机、平板电脑、无线POS机等设备来开展支付、转账、信贷、融资等金融活动。移动互联技术在金融领域的广泛应用，虽然带来了易用性和便捷性，但同时也引发了安全性的忧虑。毫无疑问，个人信息安全是移动金融安全的重中之重。近年来，移动互联网应用程序（APP）越界获取用户隐私权限、超范围收集个人信息的现象频发。移动金融应用中隐私窃取类恶意应用占比最高，用户个人信息受到极大威胁。

一、移动金融中个人信息安全的危机

移动互联网应用程序（APP）是移动金融得以开展的重要支撑。无论移动金融的场景和技术路线如何，都离不开APP。例如，仅在移动支付领域，各银行或非银金融机构为抢占金融消费者的移动入口，推出手机支付、微信支付、财富通、支付宝、翼支付等支付方式，这些移动支付的运用需要用户下载相关应用程序。而如果APP要运行，也需要获取用户的一些基本数据才可，这是正常使用产品所必需的。因此，APP收集个人信息情况极为普遍。

然而，移动金融中个人信息安全问题突出，在当前情形下，甚至可以用“危机”来形容。造成个人信息安全危机的原因主要是：

第一，APP违法违规收集个人信息的现象比较普遍。据腾讯社会研究中心与互联网数据中心在2018年联合发布报告称，通过对1129款APP获取用户隐私权限情况进行的隐私安全测试结果显示，852个安桌手机APP中有98.5%都要获取用户隐私权限，其中通信社区、影音娱乐类APP更是100%需获取手机隐私权限。另据中国消费者协会在2018年11月发布的《100款APP个人信息收集与隐私政策测评报告》显示，91款APP过度收集用户个人信息，近半数APP的隐私条款内容不达标。这些APP违反了《网络安全法》关于“不得收集与其提供的服务无关的个人信息”的规定，超出服务目的和业务必需的范围，获取不必要的隐私权限，过度收集用户个人信息。APP违法违规收集个人信息主要通过以下方式：

一是将用户同意收集使用的授权与使用APP进行捆绑，变相强制用户同意；二是将概括性授权或告知条款隐含在冗长的用户协议中，而用户一般不会完整阅读相关协议，导致用户签署用户协议就意味着同意APP收集使用个人信息；三是不经用户同意而直接采取默认开启权限方式，自动获取用户个人信息。APP通过这些违法违规收集使用行为，把触角伸向了用户个人隐私，超范围访问手机识别码、手机联系人、获取手机号、读取短信记录等，同时，对移动金融消费者在网上消费或为消费而发生的行为（如金融搜索、浏览相关网页、社区讨论、社区发言、竞价参与等行为）所产生的大量衍生数据进行收集汇总处理，形成金融消费者的住址、个人喜好、收入状况、消费水平、消费场所等个人交易信息，并将其商业利用。

第二，APP本身存在技术漏洞，导致用户个人信息被盗取、非法篡改。APP运用的多样化，以及不同的场景和技术路线面临的安全问题各不相同，导致移动金融的安全体系构建较为复杂。移动金融场景下的交易往往涉及客户、商户、电商平台、第三方支付、银行等多个参与方，必须有效解决交易各方的身份和设备安全认证问题，才能保障安全。然而，移动金融敏感信息在公网上传输过程中受到各种漏洞、病毒和木马的攻击，如果APP本身存在技术漏洞，其用户信息安全性就得不到保障。据调查，我国市场主流品牌手机普遍存在着安全漏洞，而且，大部分漏洞由厂商定制开发产生，一般难以修复。例如，一些APP存在手机签名漏洞，这种漏洞可使恶意程序在不改变手机应用签名的情况下修改应用，对手机支付工具或银行客户端等应用进行篡改以窃取用户信息。

第三，其他主体非法从APP上获取、使用个人信息的行为较为猖獗。当前，利用网络非法采集、窃取、贩卖和利用用户信息已形成黑色产业链。非法行为人采取“拖库”“洗库”“撞库”等方式盗取、使用、交换、买卖个人信息。所谓“拖库”，即通过木马病毒、恶意程序等“黑”APP，获取用户数据，并将姓名、密码、邮箱、QQ、身份证、电话、家庭地址等数据下载。所谓“洗库”，即登录账户将有价值的内容清洗一遍甚至几遍，比如登录游戏账户，将虚拟币转走，获取利益；或者通过技术手段选取其他有利用价值的用户数据。所谓“撞库”，即利用已有的用户身份信息，批量尝试登录其他的网站或平台，实现登录后再次进行洗库和撞库的循环。

二、移动金融中个人信息安全问题的治理

为保障个人信息安全，2019年1月25日，中央网信办、工业和信息化部、公安部、国家市场监管总局联合发布了《关于开展APP违法违规收集使用个人信息专项治理的公告》，将在全国范围内组织开展APP违法违规收集使用个人信息专项治理行动，为期一年。这表明，国家已对移动金融中个人信息安全危机高度重视，并决心开展专项治理，重点打击APP手机客户端违法违规收集个人信息的行为。

第一，明确APP信息收集的边界。APP运营者要严格履行《网络安全法》规定的义务，对获取的个人信息安全负责，采取有效措施加强个人信息保护。要遵循合法、正当、必要的原则，不收集与所提供服务无关的个人信息；收集个人信息时要以通俗易懂、简单明了的方式展示个人信息收集使用规则，并经个人信息主体自主选择同意；不以默认、捆绑、停止安装使用等手段变相强迫用户授权，不得违反法律法规和与用户的约定收集使用个人信息。同时，倡导APP运营者在定向推送新闻、广告时，为用户提供拒绝接收定向推送的选项。

第二，制定治理的标准和规则。全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会，将依据法律法规和国家相关标准，编制大众化应用基本业务功能及必要信息规范、APP违法违规收集使用个人信息治理评估要点，组织相关专业机构，对用户数量大、与民众生活密切相关的APP隐私政策和个人信息收集使用情况进行评估。同时，将委托专业的测试评估机构，依据规范对APP进行评估，重点对APP超范围收集个人信息、过度索权、强制捆绑授权和违法违规使用个人信息等进行评估，对评估结果确认存在重大问题的，将报送相关部门，为相关部门依据《网络安全法》、《消费者权益保护法》等法律法规开展监管执法等提供参考。

第三，加强打击力度。对于违法违规的APP运营者，相关主管部门要加大打击力度。对强制、过度收集个人信息，未经用户同意、违反法律法规规定和双方约定收集、使用个人信息，发生或可能发生信息泄露、丢失而未采取补救措施，非法出售、非法向他人提供个人信息等行为，按照《网络安全法》《消费者权益保护法》等依法予以处罚，包括责令APP运营者限期整改；逾期不改的，公开曝光；情节严重的，依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。

除此之外，还有必要采取以下治理措施：

一是加强立法建设。目前，个人信息保护立法呈现出分散立法的现状。我国有近40部法律、30余部法规，以及近200部规章，例如，《民法总则》《网络安全法》《消费者权益保护法》《刑法》《电子商务法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》等，涉及个人信息保护，使得相关保护条款内容不集中、阐述不清晰、适用不明确、范围受局限、处罚不具体，因而可操作性差。制定《个人信息保护法》，通过对个人信息保护的共性问题形成统一的顶层设计，对个人信息保护的全局性、基础性问题作出规定，将更有利于统筹监管和协作监管。

二是APP运营者还需加强自身的技术提升和内部的合规建设。APP运营者应当着力开发技术，堵住漏洞，防止外部侵入，导致用户个人数据被盗。这就要求APP运营者对自身情况进行核查，将明显有悖于规定的地方进行整顿。从行业内部开始整改，通过研究行业内的技术标准和技术趋势进行差距分析和自我评估。并在产品及服务设计中预先进行风险预测，将必要的隐私设计纳入产品及服务的最初设计中。而且，通过隐私政策说明个人信息在企业关联方和合作机构之间的流转、通知和拒绝方式。

三是进一步加强监管和打击力度。主要包括：设立黑名单制度，将违规企业、个人纳入黑名单，越界侵权App在应用市场下架，同时追根溯源找到发布者，从重处罚；建立网络个人信息分类标准，企业要建立健全内部管理制度，推动数据防窃密、防篡改、防泄露等安全技术的研发和部署，对数据库、服务器、服务器网络、客户端网络、客户端等关键节点做好防护工作，降低“内鬼”和不法分子窃密风险；根据《刑法修正案（七）》，由公安机关开展打击整治网络侵犯公民个人信息违法犯罪专项工作，对非法窃取、出售、泄露个人信息的违法犯罪行为依法严厉打击；加强行业协会，尤其是消费者协会或金融协会的积极作用，建立用户诉讼支持制度以及协会提起公益诉讼制度。

来源：广州互联网金融协会法律服务中心