數字化時代，企業數據合規和個人信息保護的重要性日益凸顯，信息資源已成為重要的生產要素和社會財富。近年來，國家網絡安全法律體系不斷完善，數據保護、個人信息保護等相關法律法規密集出臺，民眾網絡安全感滿意度有所提升。移動應用App作為服務提供的主陣地，更是個人信息保護的前沿戰場與核心區域。

手機銀行App，憑借其卓越的即時響應速度、極致便捷的操作體驗以及一站式綜合服務能力，已深深融入公眾的日常生活，成為不可或缺的金融工具。它們不僅極大地拓寬了金融服務的邊界，提升了服務獲取的便捷性與效率，還深刻重塑了金融服務的質量標準。鑒于手機銀行App深度依賴于大數據驅動，其在保障用戶個人信息合規的角色上更顯關鍵。

中國電子銀行網聯合中國金融認證中心（CFCA）信息安全服務部移動安全團隊，對48款手機銀行App，包括六大國有行，12家股份制銀行，部分城商行、農商行、農信社以及民營銀行的個人信息合規進行了測評。測試共分為隱私政策透明度與合理性、用戶權利保障、用戶授權過程的合理性等三部分。

本文為“手機銀行App用戶權利保障測評”，后續將推出“手機銀行App用戶授權過程的合理性測評”，敬請持續關注。

手機銀行App用戶權利保障測評

根據個人信息保護法第四章相關要求，企業在提供服務的同時應保障用戶的相關權力，包括知情權、決定權、更正權及刪除權等，故本次測評中第二大部分內容就是針對手機銀行App用戶權利保障的測評。本次測評選取了7個相關的測評項進行測評，具體內容如下：

表：用戶權利保障檢測項

測評得分情況：

圖：用戶權利保障得分情況（滿分為22分）

本分項測評共有19家銀行獲得滿分，分別為：

安徽農金手機銀行App

丹東銀行手機銀行App

光大銀行手機銀行App

廣東南粵銀行手機銀行App

廣發銀行手機銀行App

廣州銀行手機銀行App

哈爾濱銀行手機銀行App

恒豐銀行手機銀行App

廊坊銀行手機銀行App

民生銀行手機銀行App

浦發銀行手機銀行App

上海農商銀行手機銀行App

蘇州銀行手機銀行App

天津銀行手機銀行App

廈門國際銀行手機銀行App

興業銀行手機銀行App

營口銀行手機銀行App

裕民銀行手機銀行App

張家港農商銀行手機銀行App

備注：以上排名不分先后，按首字拼音順序排序，首字拼音相同按次字拼音順序排序，以此類推。

典型案例

優秀案例

1、個人金融信息主體的權利和實現機制，如訪問方法、更正方法、刪除方法、注銷賬戶的方法、撤回同意的方法、獲取個人金融信息副本的方法、約束信息系統自動決策的方法等。

測評依據

《GB/T35273-2020 信息安全技術 個人信息安全規范》：

對個人信息控制者的要求包括:

5)個人信息主體的權利和實現機制，如查詢方法、更正方法、刪除方法、注 銷賬戶的方法、撤回授權同意的方法、獲取個人信息副本的方法、對信息 系統自動決策結果進行投訴的方法等;

案例展示

圖：優秀案例1-1

該隱私政策中個人信息主體的權利和實現機制描述完整，包含了訪問方法、更正方法、刪除方法、注銷賬戶的方法、撤回授權同意的方法，并將訪問和更正單獨描述，其中每一項權利都詳細描述了所有可能的操作步驟；并且增強要求“獲取個人信息副本的方法和約束信息系統自動決策”也進行了說明，在“刪除您的個人信息”中直接增加了客服熱線，針對無法直接在App操作的權利變更，可以通過客服熱線解決。

圖：優秀案例1-2

該隱私政策中個人信息主體的權利和實現機制描述完整，包含了訪問方法、更正方法、刪除方法、注銷賬戶的方法、撤回授權同意的方法，方法中均說明了具體的操作步驟，并且增強要求“獲取個人信息副本的方法和約束信息系統自動決策”也進行了說明，在“響應您的上述請求”中也明確了客服熱線信息，對于一些無法在App上直接操作的用戶權利變更可以通過客服熱線處理。

圖：優秀案例1-3

該隱私政策中個人信息主體的權利和實現機制描述完整，包含了訪問方法、更正方法、刪除方法、注銷賬戶的方法、撤回授權同意的方法，方法中說明了具體的操作步驟，并且增強要求“獲取個人信息副本的方法”也進行了說明，在“刪除您的個人信息”中也明確了可以通過“如何聯系我們”獲取聯系方式，對于一些無法在App上直接操作的用戶權利變更可以通過客服熱線處理。

建議

針對這一項，我們建議開發者：

·明確列出用戶在個人金融信息方面的權利，如訪問、更正、刪除、注銷賬戶、撤回同意、獲取信息副本等。

·提供具體、易于操作的實現機制，確保用戶能夠輕松行使這些權利。

·定期更新隱私政策，確保其內容與最新的法律法規和用戶需求保持一致。

·加強與用戶的溝通，解釋這些權利的重要性和實現方式，增強用戶的安全感和信任感。

2、個人信息保護政策中用戶權利實現機制的人工處理的承諾時限。

測評依據

《App違法違規收集使用個人信息行為認定方法》：

6.3 雖提供了更正、刪除個人信息及注銷用戶賬號功能，但未及時響應用戶相應操作，需人工處理的，未在承諾時限內（承諾時限不得超過15個工作日，無承諾時限的，以15個工作日為限）完成核查和處理

圖：優秀案例2-1

圖：優秀案例2-2

圖：優秀案例2-3

以上案例的隱私政策中在“響應用戶請求”描述中均詳細描述了響應期限，最長15個工作日，更短的還有15天內即完成核查和處理。

建議

針對這一項，我們建議開發者：

·明確承諾人工處理的時限，并在隱私政策中詳細說明。

·確保所有用戶請求在承諾時限內得到響應和處理，避免超過15個工作日的限制。

·提供清晰的受理和核查流程，確保用戶能夠輕松了解和跟蹤他們的請求狀態。

·加強與用戶的溝通，解釋這些權利的重要性和實現方式，增強用戶的安全感和信任感。

風險案例

1、處理個人金融信息主體詢問、投訴的渠道和機制,以及外部糾紛解決機構及聯絡方式

測評依據

JR/T0171-2020《個人金融信息保護技術規范》：

7.1.1-c)收集個人金融信息前，應向個人金融信息主體明確告知金融產品或服務需收集的個人金融信息類別，以及收集、使用個人金融信息的規則(如:收集和使用個人金融信息的目的、收集方式、自身的數據安全能力、對外共享、轉讓、公開披露的規則、投訴與申訴的渠道及響應時限等)，并獲得個人金融信息主體的明示同意；

《GBT35273-2020個人信息安全規范》：

5.5 -a)-8)處理個人金融信息主體詢問、投訴的渠道和機制,以及外部糾紛解決機構及聯絡方式。

案例展示

圖：風險案例1-1

圖：風險案例1-2

圖：風險案例1-3

以上三個案例的情況均為未向用戶告知外部糾紛解決機構，僅說明了客戶可向App運營者提起疑問意見或建議，未說明客戶對App運營者處理結果不滿時的額外處理方案。

建議

針對這一項，我們建議：

·建立投訴管理機制和投訴跟蹤流程，確保所有用戶的投訴舉報都可以得到處理；

·提供清晰的受理和核查流程，確保用戶能夠輕松了解和跟蹤他們的請求狀態；

·加強與用戶的溝通，向用戶提供多種投訴舉報方式，增強用戶的安全感和信任感。

2、個人信息保護政策中是否提供投訴、舉報方法、途徑，是否在15個工作日內受理并處理

測評依據

GBT35273-2020《信息安全技術個人信息安全規范》：

8.8個人信息控制者應建立投訴管理機制和投訴跟蹤流程，并在合理的時間內對投訴進行響應。

《App違法違規收集使用個人信息行為認定方法》：

6.5未建立并公布個人信息安全投訴、舉報渠道，或未在承諾時限內(承諾時限不得超過15個工作日，無承諾時限的，以15個工作日為限)受理并處理的。

JR/T0171-2020《個人金融信息保護技術規范》：

7.1.1-c)收集個人金融信息前，應向個人金融信息主體明確告知金融產品或服務需收集的個人金融信息類別，以及收集、使用個人金融信息的規則(如:收集和使用個人金融信息的目的、收集方式、自身的數據安全能力、對外共享、轉讓、公開披露的規則、投訴與申訴的渠道及響應時限等)，并獲得個人金融信息主體的明示同意。

工信部信管函〔2023〕26號《工業和信息化部關于進一步提升移動互聯網應用服務能力的通知》：

12.妥善處理用戶投訴。公布有效聯系方式，接受用戶投訴。按照規范要求答復互聯網信息服務投訴平臺上的投訴，確保15日內處理完成，提高投訴處理滿意率。鼓勵在App中設置用戶滿意度測評鏈接，引導用戶參與測評。

案例展示

圖：風險案例2-1

圖：風險案例2-2

圖：風險案例2-3

以上三個案例的情況皆為僅說明了客戶可向App運營者提起疑問意見或建議，并且App運營者會在規定時限內回復用戶，但未說明此時限內會進行處理或處理完成。

建議

針對這一項，我們建議：

·明確個人信息控制者應建立投訴管理機制和投訴跟蹤流程確保所有用戶的投訴舉報在承諾時限內得到處理，避免超過15個工作日的限制；

·明確承諾針對用戶投訴舉報進行人工處理的時限，并在個人信息保護政策中詳細說明；

·提供清晰的受理和核查流程，確保用戶能夠輕松了解和跟蹤他們的請求狀態。

回顧>>手機銀行App個人信息合規行業測評報告（上）：隱私政策透明度與合理性

點擊查看>>手機銀行App個人信息合規行業測評報告（附錄）

責任編輯：方杰