为什么要做金融APP备案?
apple-system, BlinkMacSystemFont, "font-size:17px;background-color:#FFFFFF;text-align:center;">
出品 | 零壹财经
作者 | 任万盛
为保障个人金融信息安全、提升金融APP安全防护能力,央行于2019年9月发布了《移动金融客户端应用软件安全管理规范》(JR/T 0092-2019),要求金融机构按照《规范》对APP进行整改,并向中国互联网金融协会进行备案。
为什么要申请备案?从企业角度考虑,主要有3个原因:
1. 保障个人信息安全、密码安全、数据安全、软件安全等;
2. 规范个人信息收集、使用、存储、共享等行为;
3. 避免法律风险,《网络安全法》及工信部发布的相关政策明文规定,非法收集使用个人信息,情节严重的将吊销相关业务许可证或营业执照。
1
非法收集使用个人信息认定标准
全国人大常委发布的《网络安全法》、人民银行发布的《中国人民银行金融消费者权益保护实施办法》、工信部发布的《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》,以及网信办、工信部、公安部和市场监督总局联合发布的《APP违法违规收集使用个人信息行为认定方法》均对违法收集使用个人信息进行了明确定义。
表1:个人信息收集使用相关法律法规
资料来源:零壹智库
在《网络安全法》第四章网络信息安全第41条至45条,对个人信息的收集、使用、存储、修改、分享等行为进行了规定:
第41条,网络运营者在收集、使用个人信息时,应该公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经收集者同意。
第42条,网络运营者不得泄露、篡改、损毁其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。经过处理无法识别特定个人且不能复原的除外。
第43条,个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
第44条,任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
第45条,依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。
在此基础上之上,网信办、工信部、公安部、市场监督管理总局联合发布的《APP违法违规收集使用个人信息行为认定方法》,针对APP违法收集使用个人信息认定方法,进行了完善和补充。
2
非法收集个人信息,最高将处罚吊销相关业务许可证或营业执照
除此之外,《网络安全法》以及其他政策法规,还对违法收集使用个人信息明确了惩罚标准。
在《网络安全法》第64条,网络运营者违反第41-43条规定的,即非法收集、使用、泄露、篡改、损毁、存储个人信息,或拒绝用户删除、更改个人信息的行为,有关部门可以根据情节单处或并处警告、没收违法所得、处违法所得1倍以上10倍以下处罚;没有违法所得的,处100万以下罚款。情节严重的,可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照。
网信办、工信部、公安部、市场监督总局发布的《关于开展App违法违规收集使用个人信息专项治理的公告》也提到,针对强制、过度收集个人信息,未经消费者同意、违反法律法规规定和双方约定收集、使用个人信息,发生或可能发生信息泄露、丢失而未采取补救措施,非法出售、非法向他人提供个人信息等行为,按照《网络安全法》《消费者权益保护法》等依法予以处罚,包括责令App运营者限期整改;逾期不改的,公开曝光;情节严重的,依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。
同时,工信部在《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》提到,对于存在问题的APP,还会将受到行政处罚的违规主体纳入电信业务经营不良名单或失信名单等。
3
工信部:近1500个APP涉及违法收集使用个人信息
为了强化个人信息保护,规范企业收集使用个人信息行为,网信办、工信部、公安部和市场监管总局在2019年初联合成立了App违法违规收集使用个人信息专项治理工作组,决定自2019年1月至12月,在全国范围内组织开展App违法违规收集使用个人信息专项治理行动。根据工信部和各地通信管理局披露,超过1500个APP涉及违法收集使用个人信息,其中有179个APP被下架整改。
在这些被披露曝光的APP当中,金融类APP是主要类型之一。例如,工信部曝光的2批APP名单中,飞贷存在不给权限不给用的问题,小米金融存在账户注销难的问题。广东省通信管理局曝光的20个违规APP中,多数为贷款类。
表2:工信部APP个人信息专利治理情况
资料来源:工信部网站
根据《网络安全法》以及工信部相关规定,对于违法违规收集使用个人信息的企业,情节严重的,将面临停业整顿、关闭网站、吊销相关业务许可证和营业执照。在实际执行过程中,工信部以及各地通信管理局,针对违法收集使用个人APP的企业主要以公开曝光、下架APP和限期整改3种处罚方式。