今年1月，中央網信辦、工信部等四部門聯合開展了App違法違規收集使用個人信息專項治理行動。自行動開始至今，網信辦、警方陸續點名了168款存在個人信息安全隱患的App。其中包括手機銀行類App、收單機構工具App、證券信托類App和網貸類App，這些金融類App做錯了什么被警方點名？有哪些問題值得注意？

違規收集14類個人信息

在168款被點名的App中有21款屬于金融支付類App，其中19款被廣東公安廳曝光，并通報了違規細節，移動支付網對這19款App的違規細節進行了統計。

在統計中，警方共通報了14類違規收集個人信息的情況，其中“允許錄制音頻”被點名次數最多，高達13次；“讀取通訊錄”緊隨其后，有9次；“讀取短信或彩信”出現了6次。

“允許錄制音頻”和“讀取通訊錄”兩個隱私權限一度在網上引起熱議。有網友懷疑App通過“允許錄制音頻”對用戶進行竊聽從而進行精準營銷。雖然后來被專家力證“沒有必要這樣做”，但網友對于“App竊聽”依舊心存懷疑。

“讀取通訊錄”則是金融支付類App的痛點權限。在風控體系中，通過讀取用戶通訊錄、通話記錄判斷賬戶真實性一度是金融支付機構的常用手段，特別在網貸App中，用戶通訊錄更是成為催收利器，但是也因此被鬧出無數風波，最后成為人人喊打的對象。

值得注意的是，警方公布的違規細節可能不夠完整。例如，“立刷”App和“通付MPOS”App同屬于收單工具App，兩者都收集了“用戶地理位置信息”。但是警方只通報了“通付MPOS”App違規收集“用戶地理位置信息”沒有通報“立刷”App違規收集“用戶地理位置信息”。

很明顯，如果“通付MPOS”App收集“用戶地理位置信息”屬于違規，那么“立刷”App收集“用戶地理位置信息”也必然屬于違規，只不過警方在點名“立刷”App時并沒有通報該細節。

14類違規收集個人信息情況沒有任何一項屬于19款App所共有的，沒有任何一類屬于“出現必抓”。所以這14類情況都屬于警方關注的重點，只要被點名就會被列出相應的違規情況，不一定是因為出現了這14類情況中的哪一類被點名。金融支付機構萬不可心存僥幸。

隱私政策是重點《網安法》第四十一條要細讀

如果14類違規收集個人信息情況不是“出現必抓”，那么什么是導致這19款App被警方點名的主要因素？事實上，廣東警方共分4批通報了132款App存在嚴重信息安全隱患，除了第一批的10款App外，其他的122款App都具有同一個特點：隱私政策存在問題。

隱私政策才是這些App被警方點名的真正原因。122款被點名的App中，74款App沒有隱私政策，超過總數一半；接近三分之一App未說明業務邏輯和權限關系；超過四分之一App未說明權限用途。

令人驚訝的是，隱私政策不易閱讀也會被警方點名。例如在廣東警方7月的曝光名單中酷狗音樂App有服務協議有隱私協議，隱私政策易于訪問，但因隱私政策不易閱讀、讀取用戶通訊錄、讀取日歷數據被點名。

被警方點名的19款金融支付類App中有16款被標注了有隱私政策問題，其中8款App存在未說明業務邏輯和權限關系問題，6款App只有用戶協議沒有隱私政策，4款App既沒有用戶協議也沒有隱私政策。

當然，如果沒有隱私政策自然也不可能“說明業務邏輯和權限關系”。從這一點考慮，“未說明業務邏輯和權限關系”這一問題幾乎是所有金融支付類App都存在的問題?！毒W絡安全法》第四十一條明確規定：“網絡運營者收集、使用個人信息應明示收集、使用信息的目的、方式和范圍，并經被收集者同意?！?/p>

另外在網信辦點名的30款App中，10款App無隱私政策，20款App強迫用戶同意一次性開啟多種隱私權限。在網信辦的通報中，這30款App全部違反了《網絡安全法》第四十一條。由此可見《網絡安全法》第四十一條的重要性。

合規要點：一個完整的隱私政策

7月1日，工信部下發《電信和互聯網行業提升網絡數據安全保護能力專項行動方案》，要求今年10月底前完成200款主流App數據安全檢查，深化App違法違規專項治理，持續推進App違法違規收集使用個人信息專項治理行動。

由文件可知，App治理工作會繼續進行，而且即將進行一次“大考”，金融支付行業作為基礎行業必然會參加“大考”。那么這次“大考”的考試要點是什么呢？一個完整的隱私政策是必不可少的。

由上文的“隱私政策問題種類”結合《個人信息安全規范》（下文簡稱“《規范》”），我們可以得到一些“知識點”。

1、 用戶協議和隱私政策需要單獨成文。74款沒有隱私政策被點名的App中有37款屬于“有用戶協議但是沒有隱私政策”，其中有不少App用戶協議中有隱私條款但是因為沒有單獨成文所以被點名。除了這74款App還有3款App因為有隱私政策無用戶協議被點名。

2、 業務邏輯和權限關系必須說明。在統計中，“未說明業務邏輯和權限關系”是所有問題中出現次數最多的，同時“未完整說明業務和權限關系”的App也被警方點名?！兑幏丁芬螅骸半[私協議應包括收集、使用個人信息的目的，以及目的所涵蓋的各個業務功能”。

3、 用戶協議和隱私政策需要易于訪問、閱讀?！兑幏丁访鞔_規定：隱私政策應公開發布且易于訪問。前文已有舉例App因隱私政策不易閱讀被點名，除此之外還有App因為隱私政策打不開、登錄后才可查看用戶協議和隱私政策被點名。因此，App最好在注冊頁面顯示用戶協議和隱私政策，且應“清晰易懂，符合通用的語言習慣”。

4、 合法且遵守原則。個人信息安全有7項基本原則：權責一致、目的明確、選擇同意、最少夠用、公開透明、確保安全、主體參與。隱私政策的編寫需要遵守這7項原則，并在條文中有所體現，這七項原則在《網路安全法》中有所呈現，并在《規范》中再次出現。遵守這7項原則是合法合規最簡單的辦法。

一個完整的隱私政策被制定出來之后更重要的是遵守，也就是按照隱私政策和用戶協議所公布的條款采集、使用個人信息。違規收集用戶個人信息中的“規”可以理解為《網絡安全法》、《規范》，也可以理解為App公布的用戶協議和隱私政策。

一款App收集多少用戶個人信息固然非常重要，但更重要的是收集這些個人信息是否在用戶協議和隱私政策中寫明，是否向用戶明示且征得用戶同意。這是判定是否“違規收集用戶個人信息”的重要內容。

安全是重中之重

用戶協議和隱私政策嚴格意義上并不是《規范》的核心內容，“個人信息安全需要全生命周期保護”才是真正的重點，用戶協議和隱私政策只是“全生命周期保護”的外在表現。如果寫了一份非常漂亮的用戶協議和隱私政策卻做不到“全生命周期保護”，發生了丟失、濫用個人信息的情況，再漂亮的用戶協議和隱私政策也不過是一張廢紙。

在監管趨嚴的勢態下，金融支付機構需要做的是直面應當承擔的責任和義務。金融信息安全的重要性隨著大數據時代的到來達到了前所未有的地步，如何保護好金融信息安全已經成為了企業的生命線。

責任編輯：王超