金融行业12项个人信息违规场景及合规要点披露

创作时间:

作者:

@小白创作中心

金融行业12项个人信息违规场景及合规要点披露

引用

来源

https://www.4hou.com/posts/BXxY

2024年4月，国家金融监督管理总局重庆监管局、重庆市地方金融管理局、重庆市通信管理局三部门联合印发《关于促进金融服务类App个人信息保护合规经营能力提升的通知》（以下简称《通知》）。此前工信体系从未发布针对金融服务类App的针对性指引文件，本次是具有极强创新性的地方实践。《通知》首次明确三部门建立联合监管工作机制，监管部门针对金融服务类App的监管力度持续加强。

为协助金融类企业加强个人信息合规能力，本文收集金融行业三大类问题，总计12条具体场景及三大类合规要点供各位参考。案例来自监管部门近2年公开资料，详情如下：

问题一：超范围、过度及违规收集

案例如下：

消费者使用某银行贷款微信小程序，该小程序以“定位分行属地”为由申请非必要的精准位置信息。
消费者使用某手机银行App注册登录功能时，该App以“填写验证码”为由申请非必要的短信权限，消费者拒绝后，重新使用注册登录功能，仍继续弹窗申请短信权限，严重干扰消费者使用。
通过格式化合同、业务申请表向消费者收集非办理业务或提供服务所必需的个人信息。
利用有奖问答、赠送礼物等方式诱导消费者提供与本人业务或服务无关的个人信息。
将提供非办理业务必需的个人信息作为受理业务前提条件。
第三方SDK收集软件安装列表、设备MAC地址、GPS定位等信息，未在隐私声明中告知用户。

问题二：未经同意收集、未公开收集使用详情

案例如下：

在未取得消费者同意的情况下，利用移动互联网应用程序（App）获取手机通讯录、监测输入内容、监听语音收集消费者个人信息；未在官网、App主动披露隐私政策；通过非法途径盗取或购买消费者个人信息等。
消费者使用某保险类小程序时，该小程序在消费者同意隐私政策之前就向消费者申请授权精准位置信息。
App首次运行时未主动提示消费者阅读隐私政策；消费者使用借款、注册等功能时，App强制要求消费者同意第三方产品隐私政策或默认同意隐私政策。

问题三：强制、不正当收集、频繁索权

案例如下：

消费者使用某投资理财类App拍照上传头像功能，该App申请非必要的存储权限（实际只需拍照权限即可），否则无法使用拍照上传头像功能。
消费者使用某消费分期类App语音搜索功能时，该App申请非必要的存储权限（实际只需麦克风权限即可），否则无法使用语音搜索功能。
在格式化的合同、业务申请表、App隐私政策中加入无法选择的不合理授权条款，强制消费者同意将其信息用于与所办理业务无关的用途（如同意用于营销推介、同意向外部机构或个人提供等），否则无法正常办理业务、使用服务或功能。

个人信息合规要点

一、关注多个监管体系要求

仅2024年一季度便已有20余款金融类APP被监管部门通报批评，各企业继续学习工信部、网信办、公安部、市监局四大监管部门，目前较常被四大监管部门使用的文件约26份。

金管局、央行、证监会三大金融行业主管部门也不断发文强调个人信息安全，企业极难融会贯通多监管部门及主管部门要求进行合规检测，急需借助专业机构提高个人信息合规能力。

二、遵守三大原则

1. 合法正当原则

处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。金融机构在开展互联网业务时，对于向第三方提供、分享、委托处理个人信息的，即使已经取得了用户的充分授权，也应当评估该等向第三方提供的处理方式是否直接与业务相关，是否具有必要性，是否采取了对借款人权益影响最小的方式

2. 最小必要原则

处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。例如互联网信贷业务中收集工作单位领导/同事的联系方式、父母配偶等多名亲属联系方式，与借贷无关的金融信息、生物识别信息、或者其他与借贷无关的借款人个人私密信息，都不符合最小必要原则。

3. 公开透明原则

处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。金融机构应当向用户公开自身的个人信息处理规则，并说明具体的处理目的、方式和范围。