21世紀經濟報道記者了解到，此次摸排中，移動金融APP和背后的金融數據安全是重中之重。

隨著移動互聯網快速發展，移動金融APP已成為目前國內金融業務最廣泛、最直接、最便捷的入口。

7月16日晚，央視“3·15”晚會再次提到手機APP違規收集個人信息問題，在其提到的50多個違規收集信息的APP中，金融類就超過40個。

這些APP在后臺讀取電話號碼、通訊錄、短信記錄、應用列表等信息的同時，上傳聯系人、交易驗證碼等數據到第三方服務器。并且，第三方SDK除了收集用戶手機號碼、設備信息之外，還會收集用戶手機通訊錄、短信信息、傳感器信息等用戶隱私信息，在采集之后還會發送至指定服務器進行存儲。

對此，工信部官網發布公告稱，第一時間組織第三方檢測機構對央視曝光的使用上述兩家SDK的50余款APP進行技術檢測，對存在問題的APP第一時間啟動下架程序。工信部稱，自去年11月工信部啟動APP侵害用戶權益專項整治行動以來，共檢測超過8萬余款APP，推動8000余款APP自查整改，對478家存在問題的企業下發整改函。

盡管監管一再強調個人隱私保護，但在現實中依然屢見不鮮。

在此背景下，21世紀經濟報道記者獲悉，央行也在今年上半年啟動了全面摸排金融科技應用風險工作，移動金融客戶端應用軟件成為摸排重點之一，移動金融APP及其背后金融數據安全則是重中之重。

如何判定收集信息的合法性？

金融APP過度收集讀取并使用收集用戶信息是否構成侵犯公民個人信息犯罪?分歧是存在的。

中國銀行法學研究會理事肖颯7月21日對21世紀經濟報道記者表示，一種觀點認為不構成侵犯公民個人信息罪。因為APP讀取該類信息系經過用戶同意的，信息使用在用戶承諾范圍內，且企業并沒有將信息轉手給他人，僅是用于金融公司貸款審批、催債使用。

但另一種觀點認為，該用戶同意并非真實用戶意思表示，用戶若不同意則無法使用金融APP，雖然信息沒有外流，但是通過讀取的手機通訊錄并給親友打電話催債的行為，給用戶造成了較大困擾，已然突破合理合法邊界。

而在司法實踐中，判斷的一個關鍵點在于是否明示信息使用用途。企業在獲取用戶信息時，是否明示收集的手機通訊錄信息將被用于貸款審批及債務催收，如果沒有明示，卻在收集后用于該用途，會被認定為非法獲取。

網絡安全法第41條規定，網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意。

就收集者同意而言，隱私協議本是為了獲得用戶信息授權，但金融APP中多是內置協議，提供格式條款一方免除其責任、加重對方責任、排除對方主要權利的，根據我國合同法第四十條，該條款無效。

“在實際案例中，將由法官結合協議內容、業務邏輯實質等予以判斷。一旦法院認定授權無效的，手機APP獲取用戶信息的行為將徹底喪失合法性依據。”肖颯表示，即使在隱私協議授權條款有效的基礎上，信息收集還需遵循必要性原則，也即，金融APP只能處理滿足個人信息主體授權同意目的所需的最少個人信息類型和數量。如此，借貸審批是否需要全部獲知用戶通訊錄等，便存在合法性疑問。

與此同時，在7月17日發布的《商業銀行互聯網貸款管理暫行辦法》中也提到，商業銀行如果需要從合作機構獲取借款人風險數據，應通過適當方式確認合作機構的數據來源合法合規、真實有效，對外提供數據不違反法律法規要求，并已獲得信息主體本人的明確授權。商業銀行不得與違規收集和使用個人信息的第三方開展數據合作。

央行摸排移動金融APP的核心是金融數據安全

央行今年上半年發布了《關于開展金融科技應用風險專項摸排工作的通知》(以下簡稱“45號文”)。

“45號文”出臺的背景是加強金融科技應用風險防控，切實保障用戶的信息和資金安全，人民銀行要求各分支機構于2020年10月31日前報送摸排的書面報告。

自2019年9月《中國人民銀行關于發布金融行業標準加強移動金融客戶端應用軟件安全管理的通知》(銀發〔2019〕237號)發布以來，移動金融客戶端應用軟件備案工作正在進行中。

21世紀經濟報道記者了解到，此次摸排中，移動金融APP和背后的金融數據安全是重中之重。本次摸排工作對APP的安全要求繼承了銀發〔2019〕237號文的要求，并結合當前APP偽冒等問題對監控要求進行了細化，幫助央行更好地推進統一風險監控平臺的建設。

對于摸排的主要內容，覆蓋了人工智能、大數據、區塊鏈、物聯網等新技術在金融領域的應用，表現出對技術風險的前瞻性。

另外，摸排還特別關注了金融業務交易安全和金融核心的處理要素——金融數據，貫穿金融交易的數據流和個人金融信息保護的生命周期。

根據45號文中的工作安排，相關金融機構在2020年5月至7月要完成自評工作，依據《金融科技應用風險專項摸排列表》逐項進行自評，及時提交報告。對發現的問題，建立清單管控和動態跟蹤機制，視情況采取必要的風險補救或補償措施。

摸排列表包括個人金融信息保護、交易安全、仿冒漏洞、技術使用安全以及內控管理五大方面，涵蓋40個具體摸排項，123個摸排要點，覆蓋APP、系統以及API等。

移動金融客戶端應用軟件、應用程序編程接口、信息系統等都是重點摸排對象，從技術層面來講主要涉及人工智能、大數據、區塊鏈、物聯網等新技術金融應用風險，包括個人金融信息保護、交易安全、仿冒漏洞、技術使用安全、內控管理等5個方面的風險情況。

21世紀經濟報道記者了解到，45號文一方面對前期各金融機構在金融科技應用方面所做的風險合規工作進行階段性驗收，或將幫助人民銀行了解目前金融科技發展現狀，進行查漏補缺，避免再次出現表外業務泛濫、同業業務異化等行業亂象，進行有效監管。另一方面也是為后續的金融科技監管方向提供實際的數據支撐，摸排情況可能會決定新的監管政策動態。

關鍵詞： 央行 APP 違規 收集 個人信息