来自 科技 2020-10-09 17:30 的文章

沪上券商接通知 App收集个人信息严防五类情形

财联社(记者 万佳丽 黄一灵)讯,近日,有沪上券商收到上海市网安部门通知,加大对App运营企业的信息安全管理力度。

根据财联社记者独家获取的文件显示,根据中央网信办、工业和信息化部、公安部、市场监管总局四部委联合下发的《关于开展App违法违规收集使用个人信息专项治理的公告》(以下简称“《公告》)要求,App运营企业等网络服务提供者不得出现五大类违法采集公民个人信息的情形,并要求App运营企业严格开展逐项自查,对存在涉嫌违法违规采集的行为或情形立即进行整改。

据了解,目前还有很多券商并未收到此文件,但部分券商负责App运营的部门人员表示,近期内部已经先行做了自查,比如在App相关页面上会提示用户,是否允许采访某些用户信息等。

五大类违法采集公民个人信息情形

根据《公告》要求,App运营企业等网络服务提供者不得出现以下5大类违法采集公民个人信息的情形,现请各App运营企业严格开展逐项自查,对存在涉嫌违法违规采集的行为或情形立即进行整改。

一、 不得存在“未公开收集使用规则”的情形:在App中没有隐私协议,或者隐私协议中没有收集使用个人信息规则的相关内容;在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策;隐私协议难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等。

二、 不得存在“未明示收集使用个人信息的目的、方式和范围”的情形:收集使用个人信息的目的、方式和范围发生变化时,未以适当方式通知用户(更新隐私协议未提醒用户阅读及授权);收集用户身份证号、银行账号、行踪轨迹等个人敏感信息,未同步说明目的;有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解等。

三、 不得存在“未经用户同意收集使用个人信息”的情形:征得用户同意前就开始收集个人信息,或打开可收集个人信息的权限;用户明确表示不同意后仍收集个人信息,或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用;实际收集的个人信息或收集个人信息权限超出用户授权范围;以默认选择同意隐私协议等非明示方式征求用户同意;未经同意更改用户设置的收集个人信息权限(如App更新时自动将用户设置的权限恢复到默认状态);以欺诈、诱骗等不正当方式误导用户同意收集个人信息或收集个人信息权限(如故意欺瞒、掩饰个人信息收集使用的真实目的);未向用户提供撤回同意收集个人信息的途径、方式;违反其所声明的收集使用规则,收集使用个人信息;未通过App隐私协议方式,仅通过手机自带操作系统提示授权访问用户个人信息。

四、 不得存在“违反必要原则,手机与其提供的服务无关的个人信息”的情形:收集的个人信息类型或打开可收集个人信息的权限与现有业务功能无关;因用户不同意收集非必要个人信息,或打开非必要权限,拒绝提供业务功能;App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;收集个人信息的频度等超出业务功能实际需要;以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集其个人信息;要求用户一次性同意开启多个可收集个人信息的权限,用户不同意则无法使用。

五、 不得存在“非法获取公民个人信息”的情形:未经用户同意获取用户行踪轨迹信息、通信内容、征信信息、财产信息;未经用户同意获取用户住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息;其他符合法律法规规定非法获取公民个人信息行为。

多家大数据公司被查

此前,多家涉及爬虫的大数据风控公司因违法收集个人信息被调查。

网络爬虫是指按照一定规则,自动抓取互联网信息的程序。技术本身无罪,但若应用在隐私数据或者在未得到授权下爬取数据,则涉及到侵害公民个人信息犯罪的范围。

2019年9月,杭州多家大数据风控公司被曝出遭警方调查的消息,甚至包括头部大数据风控公司同盾科技。

据悉,同盾科技旗下爬虫业务负责人被要求配合警方调查曾经服务的某第三方单位。资料显示,同盾科技系国内领先的大数据风控机构、金融科技独角兽企业。公司称,旗下从事爬虫业务的子公司自2018年开始逐步调整业务,目前已全部终止相关服务。

近日,风控公司也开始进入监管范围。

11月19日,据央视网报道,近日江苏淮安警方依法打击了7家涉嫌侵犯公民个人信息犯罪的公司,这7家公司涉嫌非法缓存公民个人信息1亿多条,其中,拉卡拉支付旗下的考拉征信因涉嫌非法提供身份证返照查询9800多万次,获利3800万元。警方目前已将考拉征信法定代表人、董事长、销售、技术等20余名涉案人员抓获。

据报道显示,考拉征信从上游公司获取接口后又违规将查询接口出卖,并非法缓存公民个人身份信息,供下游公司查询牟利,从而造成公民身份信息包括身份证照片的大量泄露。

针对大数据行业个人信息被违规采集的问题,据悉,10月,央行已制定《个人金融信息(数据)保护试行办法(初稿)》并已下发到各家银行征求意见。《办法》第十二条和第十八条规定:“(金融机构)不得从非法从事个人征信业务活动的第三方获取个人金融信息。金融机构不得以“概括授权”的方式取得信息主体对收集、处理、使用和对外提供其个人金融信息的同意。”

工信部整治App侵权行为,个人信息成重点

今年5月28日,国家互联网信息办公室就《数据安全管理办法(征求意见稿)》(以下简称《办法》)公开征求意见。对于网络运营者超出运营需要收集个人信息的行为,《办法》作出了限制性规定,对“网络产品核心业务功能运行的个人信息”以外的信息,网络运营者不得因个人信息主体未同意收集而拒绝提供核心业务功能服务。

11月4日,工信部启动App侵害用户权益专项整治工作,将重点对违规收集用户个人信息、违规使用用户个人信息、不合理索取用户权限、为用户账户注销设置障碍四个方面的八类问题进行整治。

工信部介绍,本次整治主要面向App服务提供者和App分发服务提供者(应用商店)。专项整治工作分企业自查自纠阶段(自通知印发之日起至11月10日),监督抽查阶段(2019年11月11日至11月30日)和结果处置阶段(2019年12月1日至12月20日)。工信部对存在问题的App将统一进行通报,依法依规处理。具体措施包括责令整改、向社会公告、组织App下架、停止App接入服务,以及将受到行政处罚的违规主体纳入电信业务经营不良名单或失信名单等。