12月1日,國家網際網路信息辦公室(以下簡稱「國家網信辦」)發布通知,《常見類型移動網際網路應用程式(App)必要個人信息範圍》公開徵求意見。
通知指出,近年來,移動網際網路應用程式(App)得到廣泛應用,在促進經濟社會發展、服務民生等方面發揮了重要作用。同時,App超範圍收集、強制收集用戶個人信息普遍存在,用戶拒絕同意就無法安裝使用。
為落實《中華人民共和國網絡安全法》關於個人信息收集合法、正當、必要的原則,規範App個人信息收集行為,保障公民個人信息安全,國家網際網路信息辦公室研究起草了《常見類型移動網際網路應用程式(App)必要個人信息範圍(徵求意見稿)》,現向社會公開徵求意見。
在徵求意見稿當中,支付信息和銀行卡號等個人金融信息成為了不少App開展業務的必要信息。
特點:簡單而有力
在徵求意見稿中,國家網信辦,給出了38類常用服務類型App每類的基本功能服務和與服務相對性的必要個人信息。以網絡購物類舉例,該類App基本功能服務為:購買商品;必要個人信息包括三種:1註冊用戶行動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一);2收貨人姓名、地址、聯繫電話;3支付信息。
《常見類型移動網際網路應用程式(App)必要個人信息範圍》截圖
與之相對比,2019年8月,全國信息安全標準化技術委員會(以下簡稱「信安標委」)發布的《信息安全技術移動網際網路應用(App)收集個人信息基本規範(草案)》中給出的常用服務類型的最小必要信息要更為細緻。
同樣以網絡購物類服務舉例,草案給出的功能描述為:為用戶提供網上購買商品或服務的服務類型,包括商品展示、搜索、下單、交付、客服售後等功能。在相應的最小必要信息說明上不僅僅給出個人信息的類型,還給出了使用要求。
《(App)收集個人信息基本規範(草案)》截圖
兩者之間的最大的不同在於,在兩者正式出臺之後,信安標委發布的《信息安全技術移動網際網路應用(App)收集個人信息基本規範》為國家推薦標準,而國家網信辦出臺的則是部門規章,其效力遠遠大於前者。
行業的需求與監管的要求
工信部信息通信管理局副局長魯春叢表示,目前我國網際網路App產業普遍採用前端免費、後端獲利的模式,免費的商業模式加劇了用戶權益侵害風險。隨著技術發展,盈利模式也從在線廣告向基於大數據的定向推送、精準營銷轉變,用戶個人信息正成為企業攫利的核心價值源。
簡而言之,誰能獲取更多的用戶個人信息,誰就可以獲得更多的利潤,甚至可以更方便的變現。定向推送、精準營銷已經成為常用手段,在購物類App搜索某商品後再打開短視頻App幾乎100%可以刷到相應的商品廣告。
甚至於不斷有網友反映,手機會竊聽自己的說話,說到什麼就會推送什麼。這種精準推送能力最大的需求就在於儘可能收集用戶個人信息。
而監管所要求的用戶個人信息採集要遵循最小必要原則,在某種程度上和行業目前的發展趨勢是相背離的。依舊以網絡購物為例,按照最小必要原則,用戶的商品搜索信息與商品瀏覽信息屬於不必要信息,不應該被收集,更不要說用來做精準推送。
另一方面,在App收集用戶個人信息方面,各個行業的需求不同,在監管上往往也會存在衝突。在《App收集個人信息基本規範(草案)》和《常見類型移動網際網路應用程式(App)必要個人信息範圍(徵求意見稿)》中,都沒有將地理位置信息、用戶通訊錄和設備唯一標識碼作為業務必要信息。
也就是說按照上述兩份規範,網絡支付App不應該收集用戶地理位置信息和設備唯一標識碼。
但是根據央行發布的85號文,收單機構應對「條碼支付受理移動終端」的位置進行實時監測而且要可以上報,這裡的「移動終端」理論上包括裝有特定App的手機。
在金融支付反欺詐反洗錢的過程中,有一個非常重要的步驟就是對惡意帳號的識別,如何完成對惡意帳號的識別呢?用戶通訊錄和設備唯一標識碼就是識別過程中最常用到的信息。
金融支付機構通過大數據和人工智慧技術對收集到的用戶通訊錄、設備唯一標識碼、用戶行為信息進行識別,再配合黑名單、交易信息、網絡日誌的同步識別篩選來判斷一個帳號是不是惡意帳號,這對於反欺詐風控是非常重要的一步。
現在用戶通訊錄和設備唯一標識碼成為了收集用戶個人信息的準禁區,無疑給網絡支付業務的風控提出了新的要求。
點擊下載《常見類型移動網際網路應用程式(App)必要個人信息範圍》
本文為作者授權發布,不代表行動支付網立場,轉載請註明作者及來源,未按照規範轉載者,行動支付網保留追究相應責任的權利。