超范圍收集個(gè)人信息，移卡旗下“刷寶”被工信部點(diǎn)名！支付企業(yè)信息收集尺度在哪里？如何合規(guī)展業(yè)？專家這樣說……

每經(jīng)記者 廖丹    每經(jīng)實(shí)習(xí)記者 馮典俊    每經(jīng)編輯 廖丹    

《中華人民共和國(guó)個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱《個(gè)人信息保護(hù)法》）自11月1日起正式實(shí)施。而就在近日，工信部公布第三次“回頭看”的檢查結(jié)果，并通報(bào)38款違規(guī)APP。

《每日經(jīng)濟(jì)新聞》記者注意到，其中包括深圳市移卡科技有限公司（以下簡(jiǎn)稱“移卡”）旗下的收付款A(yù)PP“刷寶”，所涉問題是“超范圍收集個(gè)人信息”，“APP強(qiáng)制、頻繁、過度索取權(quán)限”。

那么，對(duì)于支付企業(yè)而言，在個(gè)人信息收集方面，未來應(yīng)如何規(guī)避風(fēng)險(xiǎn)？信息收集的尺度又在哪里？博通分析金融行業(yè)資深分析師王蓬博認(rèn)為有幾條原則是必須遵循的，首先肯定是最小化和非必要不收集的原則，其次涉及到每次單獨(dú)應(yīng)用個(gè)人信息時(shí)需要遵守用戶明確授權(quán)原則。

工信部點(diǎn)名移卡旗下APP超范圍收集個(gè)人信息

近日，工信部微信公眾號(hào)“工信微報(bào)”發(fā)布《關(guān)于APP超范圍索取權(quán)限、過度收集用戶個(gè)人信息等問題“回頭看”的通報(bào)》，公布了工信部第三次“回頭看”的檢查結(jié)果，共發(fā)現(xiàn)38款A(yù)PP存在問題。

通報(bào)要求這38款A(yù)PP應(yīng)在11月9日前完成整改，逾期不整改或整改不到位的，工信部將依法依規(guī)進(jìn)行處置并予以行政處罰。

每經(jīng)記者注意到，此次工信部通報(bào)的違規(guī)APP名單中，移卡旗下“刷寶”APP在列。據(jù)通報(bào)內(nèi)容，在OPPO軟件商店，刷寶APP 3.4.5（001）版本被指超范圍收集個(gè)人信息，強(qiáng)制、頻繁、過度索取權(quán)限。

OPPO軟件商店顯示，刷寶是為中小微商戶設(shè)計(jì)的便攜式移動(dòng)收款A(yù)PP，支持所有銀聯(lián)卡刷卡付款、微信、支付寶掃碼支付，采用T+0、T+1結(jié)算模式，最快2小時(shí)到賬，方便快捷。同時(shí)提供信用卡還款、轉(zhuǎn)賬匯款、手機(jī)充值以及商家營(yíng)銷等多種便民服務(wù)。

11月9日，記者發(fā)現(xiàn)該軟件已經(jīng)更新到了3.4.7版本，首次打開APP，頁(yè)面顯示《服務(wù)協(xié)議和隱私政策》，其中提及“使用過程中，我們將在根據(jù)具體功能需要獲取某項(xiàng)手機(jī)權(quán)限時(shí)，再次請(qǐng)您確認(rèn)同意，并在條款說明的范圍內(nèi)收集、使用、共享并保護(hù)您的個(gè)人信息，如您拒絕開啟權(quán)限，將不影響其他功能的使用。”

對(duì)此，記者采訪了移卡相關(guān)人士，但截至發(fā)稿，未收到對(duì)方回復(fù)。

至于如何定義“超范圍收集個(gè)人信息”以及“強(qiáng)制、頻繁、過度索取權(quán)限”，中國(guó)電子信息產(chǎn)業(yè)發(fā)展研究院網(wǎng)絡(luò)安全研究所所長(zhǎng)劉權(quán)在接受記者采訪時(shí)表示，目前相關(guān)法律及政策文件并未對(duì)上述關(guān)鍵詞的概念做出直接定義，但進(jìn)行了間接解釋。

針對(duì)“超范圍收集個(gè)人信息”，劉權(quán)表示，2019年中央網(wǎng)信辦等四部門聯(lián)合發(fā)布《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》，明確了可被認(rèn)定為“違反必要原則，收集與其提供的服務(wù)無關(guān)的個(gè)人信息”的六大行為，“超范圍收集個(gè)人信息”可解釋為“違反必要原則，收集與其提供的服務(wù)無關(guān)的個(gè)人信息”。

2021年工信部會(huì)同公安部、市場(chǎng)監(jiān)管總局起草了《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序個(gè)人信息保護(hù)管理暫行規(guī)定（征求意見稿）》（以下簡(jiǎn)稱《征求意見稿》），其中第七條提出，從事App個(gè)人信息處理活動(dòng)的，應(yīng)當(dāng)具有明確、合理的目的，并遵循最小必要原則，不得從事超出用戶同意范圍或者與服務(wù)場(chǎng)景無關(guān)的個(gè)人信息處理活動(dòng)。劉權(quán)表示，“超范圍收集個(gè)人信息”可解釋為收集未經(jīng)用戶同意的或與服務(wù)場(chǎng)景無關(guān)的個(gè)人信息。

對(duì)于“APP強(qiáng)制、頻繁、過度索取權(quán)限”，劉權(quán)告訴記者，根據(jù)《征求意見稿》第六條、第七條內(nèi)容，“APP強(qiáng)制索權(quán)”可解釋為未經(jīng)用戶同意或用戶拒絕相關(guān)授權(quán)申請(qǐng)后，APP強(qiáng)制更改用戶設(shè)置的權(quán)限狀態(tài)，或以APP可用性為條件，強(qiáng)制要求用戶同意打開相關(guān)系統(tǒng)權(quán)限；“APP頻繁索權(quán)”可解釋為利用彈窗等技術(shù)手段，反復(fù)申請(qǐng)與當(dāng)前服務(wù)場(chǎng)景無關(guān)的權(quán)限；“APP過度索權(quán)”可解釋為APP申請(qǐng)超出其業(yè)務(wù)功能的權(quán)限。

工信部披露的名單顯示，刷寶的應(yīng)用開發(fā)者是“移卡”。在移卡官網(wǎng)可以看到，移卡的支付服務(wù)由子公司樂刷科技有限公司（以下簡(jiǎn)稱“樂刷”）負(fù)責(zé)，后者于2014年獲得央行頒發(fā)的支付業(yè)務(wù)許可證（又稱“第三方支付牌照”），提供全國(guó)范圍內(nèi)的銀行卡收單及移動(dòng)電話支付業(yè)務(wù)。央行信息顯示，樂刷的第三方支付牌照獲批的具體日期是2014年7月10日，并于2019年7月10日通過續(xù)展，有效期至2024年7月9日。

據(jù)悉，移卡（09923.HK）于去年6月1日在香港上市，今年9月23日，移卡發(fā)布2021年中期報(bào)告稱，由于其一站式支付業(yè)務(wù)從疫情中恢復(fù)以及科技賦能商業(yè)服務(wù)的顯著成長(zhǎng)，移卡今年上半年收入為14.025億元，與去年同期相比，同比增長(zhǎng)30.2%；利潤(rùn)同比增長(zhǎng)30.7%，至2.911億元。

專家：合規(guī)使用數(shù)據(jù)提升服務(wù)能力是關(guān)鍵

作為日常使用最頻繁的軟件之一，收付款A(yù)PP在使用前往往需要實(shí)名認(rèn)證、綁定銀行卡等操作。這會(huì)涉及更敏感的個(gè)人信息，甚至關(guān)系到個(gè)人財(cái)產(chǎn)安全，引起人們對(duì)個(gè)人信息安全的擔(dān)憂。

那么，收付款A(yù)PP可能會(huì)收集哪些個(gè)人信息，哪些是業(yè)務(wù)必須的，而哪些又是非必須的，尺度在哪里？

博通分析金融行業(yè)資深分析師王蓬博在接受記者采訪時(shí)表示，不同的支付平臺(tái)收集的個(gè)人信息因?yàn)橛锰幉煌?，收集的范圍是不同的?ldquo;比如你要通過支付平臺(tái)綁卡，那就肯定需要銀行卡賬戶信息以及個(gè)人身份等信息。如果僅僅是通過支付寶寄快遞，那就只需要個(gè)人電話和地址。”

對(duì)于支付業(yè)務(wù)收集個(gè)人信息的尺度，王蓬博認(rèn)為有幾條原則是必須遵循的，首先肯定是最小化和非必要不收集的原則，其次涉及到每次單獨(dú)應(yīng)用個(gè)人信息時(shí)需要遵守用戶明確授權(quán)原則。

易觀高級(jí)分析師蘇筱芮則向記者表示，今年三月，網(wǎng)信辦、工信部等四部門聯(lián)合發(fā)布了《常見類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》，根據(jù)文件精神，網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，不得收集與其提供的服務(wù)無關(guān)的個(gè)人信息。支付APP相關(guān)的為文件當(dāng)中的“網(wǎng)絡(luò)支付類”，必要個(gè)人信息包括兩類，一是用戶手機(jī)號(hào)；二是用戶姓名、證件類型和號(hào)碼、證件有效期限與銀行卡號(hào)碼。

近年來，數(shù)據(jù)保護(hù)成為監(jiān)管重點(diǎn)，《個(gè)人信息保護(hù)法》的實(shí)施會(huì)給第三方支付機(jī)構(gòu)展業(yè)帶來哪些影響？第三方支付機(jī)構(gòu)應(yīng)該如何規(guī)范地收集和使用數(shù)據(jù)？

蘇筱芮認(rèn)為，《個(gè)人信息保護(hù)法》的出臺(tái)不僅給個(gè)人信息保護(hù)工作的順利開展奠定優(yōu)良根基，而且作為信息保護(hù)領(lǐng)域的上位法，后續(xù)亦將加速推動(dòng)征信業(yè)務(wù)管理、個(gè)人金融信息保護(hù)等支付相關(guān)的法規(guī)條例出臺(tái)，預(yù)計(jì)會(huì)給行業(yè)帶來的變化主要有兩個(gè)方面：一是部分合規(guī)意識(shí)低下、合規(guī)水平不足的機(jī)構(gòu)難以適應(yīng)大環(huán)境，從而逐步退出市場(chǎng)；二是隱私計(jì)算等圍繞個(gè)人信息保護(hù)的技術(shù)產(chǎn)業(yè)將加速崛起，科技的工具屬性將被更多地引導(dǎo)和運(yùn)用于良性方面。

個(gè)人信息保護(hù)的工作完善流程并非一蹴而就，蘇筱芮向記者表示，支付機(jī)構(gòu)及其合作伙伴應(yīng)該從數(shù)據(jù)的采集、存儲(chǔ)、加工、傳輸、披露等環(huán)節(jié)規(guī)范用戶個(gè)人信息管理，例如采集前需征求用戶同意，必要時(shí)應(yīng)采取去標(biāo)識(shí)化原則等，通過制度及流程的梳理來加強(qiáng)內(nèi)部管控，遵循“用戶授權(quán)、最小夠用、專事專用、全程防護(hù)”原則，對(duì)于其中的不規(guī)范信息管理行為及時(shí)糾偏。

“此外，相關(guān)法律法規(guī)的審核修訂是一個(gè)與時(shí)俱進(jìn)的過程，機(jī)構(gòu)需要保持對(duì)監(jiān)管要求的最新關(guān)注與跟進(jìn)，安排專人開展研究并及時(shí)作出業(yè)務(wù)方面的合規(guī)調(diào)整。”她補(bǔ)充說。

王蓬博則認(rèn)為，《個(gè)人信息保護(hù)法》對(duì)支付行業(yè)的影響不會(huì)很大。“To C的支付平臺(tái)幾年前就已經(jīng)開始注意個(gè)人信息的保護(hù)和合法利用，目前只需要重新從產(chǎn)品的角度進(jìn)行合規(guī)細(xì)化，比如是否在每次利用用戶信息數(shù)據(jù)時(shí)都遵循用戶明確授權(quán)原則，以及輸出數(shù)據(jù)時(shí)的封裝問題等。”他向記者表示。

不過，在《個(gè)人信息保護(hù)法》正式施行的背景下，第三方支付機(jī)構(gòu)要承受的壓力將更多來自于如何使用數(shù)據(jù)。王蓬博直言：“實(shí)際上，重點(diǎn)不在于第三方支付機(jī)構(gòu)掌握了多少用戶數(shù)據(jù)，而在于他們有沒有合規(guī)地運(yùn)用和運(yùn)營(yíng)數(shù)據(jù)，以及是否具備使用這些數(shù)據(jù)去為用戶和商戶提供服務(wù)的能力。合規(guī)使用數(shù)據(jù)以提升服務(wù)水平才是第三方支付機(jī)構(gòu)所必須要具備的能力。”

他認(rèn)為，第一，第三方支付機(jī)構(gòu)肯定要按照《個(gè)人信息保護(hù)法》規(guī)定，處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的，并與處理目的直接相關(guān)，采取對(duì)個(gè)人權(quán)益影響最小的方式；收集個(gè)人信息應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍，不得過度收集個(gè)人信息。公開處理規(guī)則、保證信息質(zhì)量、采取安全保護(hù)措施等原則應(yīng)當(dāng)貫穿于個(gè)人信息處理的全過程、各環(huán)節(jié)。

第二，根據(jù)《個(gè)人信息保護(hù)法》第五章的相關(guān)規(guī)定，第三方支付機(jī)構(gòu)要遵守個(gè)人信息處理者的義務(wù)，包括指定個(gè)人信息保護(hù)負(fù)責(zé)人，定期對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)。發(fā)生或者可能發(fā)生個(gè)人信息泄露、篡改、丟失的，個(gè)人信息處理者應(yīng)當(dāng)立即采取補(bǔ)救措施。

（實(shí)習(xí)生宋欽章對(duì)本文亦有貢獻(xiàn)）

封面圖片來源：攝圖網(wǎng)-500670681