為什麽要做金融APP備案?
日期:2020年2月24日 上午10:44作者:任萬盛 為保障個人金融信息安全、提升金融APP安全防護能力,央行于2019年9月發布了《移動金融客戶端應用軟件安全管理規範》(JR/T 0092-2019),要求金融機構按照《規範》對APP進行整改,並向中國互聯網金融協會進行備案。
為什麽要申請備案?從企業角度考慮,主要有3個原因:
1. 保障個人信息安全、密碼安全、數據安全、軟件安全等;
2. 規範個人信息收集、使用、存儲、共享等行為;
3. 避免法律風險,《網絡安全法》及工信部發布的相關政策明文規定,非法收集使用個人信息,情節嚴重的將吊銷相關業務許可證或營業執照。
一、非法收集使用個人信息認定標准
全國人大常委發布的《網絡安全法》、人民銀行發布的《中國人民銀行金融消費者權益保護實施辦法》、工信部發布的《工業和信息化部關于開展APP侵害用戶權益專項整治工作的通知》,以及網信辦、工信部、公安部和市場監督總局聯合發布的《APP違法違規收集使用個人信息行為認定方法》均對違法收集使用個人信息進行了明確定義。
表1:個人信息收集使用相關法律法規
資料來源:零壹智庫
在《網絡安全法》第四章網絡信息安全第41條至45條,對個人信息的收集、使用、存儲、修改、分享等行為進行了規定:
第41條,網絡運營者在收集、使用個人信息時,應該公開收集、使用規則,明示收集、使用信息的目的、方式和範圍,並經收集者同意。
第42條,網絡運營者不得泄露、篡改、損毀其收集的個人信息;未經被收集者同意,不得向他人提供個人信息。經過處理無法識別特定個人且不能複原的除外。
第43條,個人發現網絡運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的,有權要求網絡運營者刪除其個人信息;發現網絡運營者收集、存儲的其個人信息有錯誤的,有權要求網絡運營者予以更正。網絡運營者應當采取措施予以刪除或者更正。
第44條,任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息。
第45條,依法負有網絡安全監督管理職責的部門及其工作人員,必須對在履行職責中知悉的個人信息、隱私和商業秘密嚴格保密,不得泄露、出售或者非法向他人提供。
在此基礎上之上,網信辦、工信部、公安部、市場監督管理總局聯合發布的《APP違法違規收集使用個人信息行為認定方法》,針對APP違法收集使用個人信息認定方法,進行了完善和補充。
二、非法收集個人信息,最高將處罰吊銷相關業務許可證或營業執照
除此之外,《網絡安全法》以及其他政策法規,還對違法收集使用個人信息明確了懲罰標准。
在《網絡安全法》第64條,網絡運營者違反第41-43條規定的,
即非法收集、使用、泄露、篡改、損毀、存儲個人信息,或拒絕用戶刪除、更改個人信息的行為,有關部門可以根據情節單處或並處警告、沒收違法所得、處違法所得1倍以上10倍以下處罰;沒有違法所得的,處100萬以下罰款。情節嚴重的,可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或吊銷營業執照。
網信辦、工信部、公安部、市場監督總局發布的《關于開展App違法違規收集使用個人信息專項治理的公告》也提到,針對強制、過度收集個人信息,未經消費者同意、違反法律法規規定和雙方約定收集、使用個人信息,發生或可能發生信息泄露、丟失而未采取補救措施,非法出售、非法向他人提供個人信息等行為,按照《網絡安全法》《消費者權益保護法》等依法予以處罰,包括責令App運營者限期整改;逾期不改的,公開曝光;情節嚴重的,依法暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照。
同時,工信部在《工業和信息化部關于開展APP侵害用戶權益專項整治工作的通知》提到,對于存在問題的APP,還會將受到行政處罰的違規主體納入電信業務經營不良名單或失信名單等。
三、工信部:近1500個APP涉及違法收集使用個人信息
為了強化個人信息保護,規範企業收集使用個人信息行為,網信辦、工信部、公安部和市場監管總局在2019年初聯合成立了App違法違規收集使用個人信息專項治理工作組,決定自2019年1月至12月,在全國範圍内組織開展App違法違規收集使用個人信息專項治理行動。根據工信部和各地通信管理局披露,
超過1500個APP涉及違法收集使用個人信息,其中有179個APP被下架整改。
在這些被披露曝光的APP當中,
金融類APP是主要類型之一。例如,工信部曝光的2批APP名單中,
飛貸存在不給權限不給用的問題,
小米金融存在賬戶注銷難的問題。廣東省通信管理局曝光的20個違規APP中,多數為貸款類。
表2:工信部APP個人信息專利治理情況
資料來源:工信部網站
根據《網絡安全法》以及工信部相關規定,對于違法違規收集使用個人信息的企業,情節嚴重的,將面臨停業整頓、關閉網站、吊銷相關業務許可證和營業執照。在實際執行過程中,工信部以及各地通信管理局,針對違法收集使用個人APP的企業主要以公開曝光、下架APP和限期整改3種處罰方式。
