2024年4月，國(guó)家金融监督管理(lǐ)总局重庆监管局、重庆市地方金融管理(lǐ)局、重庆市通信管理(lǐ)局三部门联合印发《关于促进金融服務(wù)类App个人信息保护合规经营能(néng)力提升的通知》（以下简称《通知》）。此前工(gōng)信體(tǐ)系从未发布针对金融服務(wù)类App的针对性指引文(wén)件，本次是具(jù)有(yǒu)极强创新(xīn)性的地方实践。《通知》首次明确三部门建立联合监管工(gōng)作(zuò)机制，监管部门针对金融服務(wù)类App的监管力度持续加强。

為(wèi)协助金融类企业加强个人信息合规能(néng)力，小(xiǎo)编特收集金融行业三大类问题，总计12条具(jù)體(tǐ)场景及三大类合规要点供各位参考。

案例来自监管部门近2年公(gōng)开资料，详情如下：

1.银保监会《关于开展银行保险机构侵害个人信息权益乱象专项整治工(gōng)作(zuò)的通知（银保监办(bàn)法〔2022〕80号）》

2.上海网信办(bàn)《网络理(lǐ)财小(xiǎo)贷场景违法违规收集使用(yòng)个人信息案例解析》

3.金管局《中(zhōng)國(guó)人民(mín)银行金融消费者权益保护典型案例》

问题一：超范围、过度及违规收集
案例如下：
1.消费者使用(yòng)某银行贷款微信小(xiǎo)程序，该小(xiǎo)程序以“定位分(fēn)行属地”為(wèi)由申请非必要的精(jīng)准位置信息。

2.消费者使用(yòng)某手机银行App注册登录功能(néng)时，该App以“填写验证码”為(wèi)由申请非必要的短信权限，消费者拒绝后，重新(xīn)使用(yòng)注册登录功能(néng)，仍继续弹窗申请短信权限，严重干扰消费者使用(yòng)。

3.通过格式化合同、业務(wù)申请表向消费者收集非办(bàn)理(lǐ)业務(wù)或提供服務(wù)所必需的个人信息。

4.利用(yòng)有(yǒu)奖问答(dá)、赠送礼物(wù)等方式诱导消费者提供与本人业務(wù)或服務(wù)无关的个人信息。

5.将提供非办(bàn)理(lǐ)业務(wù)必需的个人信息作(zuò)為(wèi)受理(lǐ)业務(wù)前提条件。

6.第三方SDK收集软件安(ān)装(zhuāng)列表、设备MAC地址、GPS定位等信息，未在隐私声明中(zhōng)告知用(yòng)户。

问题二：未经同意收集、未公(gōng)开收集使用(yòng)详情

案例如下：

1.在未取得消费者同意的情况下，利用(yòng)移动互联网应用(yòng)程序（App）获取手机通讯录、监测输入内容、监听语音收集消费者个人信息；未在官网、App主动披露隐私政策；通过非法途径盗取或購(gòu)买消费者个人信息等。

2.消费者使用(yòng)某保险类小(xiǎo)程序时，该小(xiǎo)程序在消费者同意隐私政策之前就向消费者申请授权精(jīng)准位置信息。

3.App首次运行时未主动提示消费者阅读隐私政策；消费者使用(yòng)借款、注册等功能(néng)时，App强制要求消费者同意第三方产(chǎn)品隐私政策或默认同意隐私政策。

问题三：强制、不正当收集、频繁索权

案例如下：

1.消费者使用(yòng)某投资理(lǐ)财类App拍照上传头像功能(néng)，该App申请非必要的存储权限（实际只需拍照权限即可(kě)），否则无法使用(yòng)拍照上传头像功能(néng)。

2.消费者使用(yòng)某消费分(fēn)期类App语音搜索功能(néng)时，该App申请非必要的存储权限（实际只需麦克风权限即可(kě)），否则无法使用(yòng)语音搜索功能(néng)。

3.在格式化的合同、业務(wù)申请表、App隐私政策中(zhōng)加入无法选择的不合理(lǐ)授权条款，强制消费者同意将其信息用(yòng)于与所办(bàn)理(lǐ)业務(wù)无关的用(yòng)途（如同意用(yòng)于营销推介、同意向外部机构或个人提供等），否则无法正常办(bàn)理(lǐ)业務(wù)、使用(yòng)服務(wù)或功能(néng)。

个人信息合规要点

一、关注多(duō)个监管體(tǐ)系要求
仅2024年一季度便已有(yǒu)20余款金融类APP被监管部门通报批评，各企业继续學(xué)习工(gōng)信部、网信办(bàn)、公(gōng)安(ān)部、市监局四大监管部门，目前较常被四大监管部门使用(yòng)的文(wén)件约26份。

金管局、央行、证监会三大金融行业主管部门也不断发文(wén)强调个人信息安(ān)全，企业极难融会贯通多(duō)监管部门及主管部门要求进行合规检测，急需借助专业机构提高个人信息合规能(néng)力。

二、遵守三大原则

1.合法正当原则：处理(lǐ)个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理(lǐ)个人信息。金融机构在开展互联网业務(wù)时，对于向第三方提供、分(fēn)享、委托处理(lǐ)个人信息的，即使已经取得了用(yòng)户的充分(fēn)授权，也应当评估该等向第三方提供的处理(lǐ)方式是否直接与业務(wù)相关，是否具(jù)有(yǒu)必要性，是否采取了对借款人权益影响最小(xiǎo)的方式

2.最小(xiǎo)必要原则：处理(lǐ)个人信息应当②具(jù)有(yǒu)明确、合理(lǐ)的目的，并应当与处理(lǐ)目的直接相关，采取对个人权益影响最小(xiǎo)的方式。收集个人信息，应当限于实现处理(lǐ)目的的最小(xiǎo)范围，不得过度收集个人信息。例如互联网信贷业務(wù)中(zhōng)收集工(gōng)作(zuò)单位领导/同事的联系方式、父母配偶等多(duō)名(míng)亲属联系方式，与借贷无关的金融信息、生物(wù)识别信息、或者其他(tā)与借贷无关的借款人个人私密信息，都不符合最小(xiǎo)必要原则。

3.公(gōng)开透明原则：处理(lǐ)个人信息应当遵循公(gōng)开、透明原则，公(gōng)开个人信息处理(lǐ)规则，明示处理(lǐ)的目的、方式和范围。金融机构应当向用(yòng)户公(gōng)开自身的个人信息处理(lǐ)规则，并说明具(jù)體(tǐ)的处理(lǐ)目的、方式和范围。

三、分(fēn)析应用(yòng)及内嵌第三方SDK行為(wèi)

部分(fēn)开发者个人信息保护意识不足或对第三方SDK不熟悉，如调用(yòng)第三方SDK以实现广告、推送等功能(néng)时，未声明该SDK获取GPS定位、系统软件列表等行為(wèi)，导致应用(yòng)违规。企业需对应用(yòng)行為(wèi)及SDK行為(wèi)进行深度分(fēn)析。爱加密可(kě)通过唯一标识精(jīng)准识别SDK信息、版本，通过行為(wèi)调用(yòng)栈判别、區(qū)分(fēn)行為(wèi)应用(yòng)主體(tǐ)或SDK，识别收集使用(yòng)个人信息行為(wèi)、权限使用(yòng)情况、通信IP次数、收集使用(yòng)个人信息。协助企业分(fēn)析个人信息违规风险。

爱加密可(kě)提供专业的移动应用(yòng)个人信息安(ān)全检测、移动应用(yòng)个人信息安(ān)全合规评估服務(wù)。可(kě)帮助应用(yòng)开发企业在应用(yòng)发布前评估个人信息的安(ān)全性和合规性，从源头上降低被监管机构通报的风险。出具(jù)专业的个人信息测评报告，助力企业提升个人信息安(ān)全合规能(néng)力。

作(zuò)為(wèi)國(guó)内知名(míng)的移动信息安(ān)全综合服務(wù)提供商(shāng)，爱加密时刻关注我國(guó)的个人信息安(ān)全发展状况，致力于通过优质(zhì)的核心技(jì )术，帮助企业、监管机构、测评机构等实现移动应用(yòng)的合法合规，从行业实践角度着手大力推动我國(guó)移动应用(yòng)个人信息安(ān)全保护生态的良好发展。

欢迎给我们留言或评论~

我们将持续发布技(jì )术解读、解决方案、行业报告

点击关注，不错过下次精(jīng)彩内容