央行摸排金融科技应用风险 移动金融APP数据安全成重中之重

　　随着移动互联网快速发展，移动金融APP已成为目前国内金融业务最广泛、最直接、最便捷的入口。

　　7月16日晚，央视“3·15”晚会再次提到手机APP违规收集个人信息问题，在其提到的50多个违规收集信息的APP中，金融类就超过40个。

　　对此，工信部官网发布公告称，第一时间组织第三方检测机构对央视曝光的使用上述两家SDK的50余款APP进行技术检测，对存在问题的APP第一时间启动下架程序。工信部称，自去年11月工信部启动APP侵害用户权益专项整治行动以来，共检测超过8万余款APP，推动8000余款APP自查整改，对478家存在问题的企业下发整改函。

　　尽管监管一再强调个人隐私保护，但在现实中依然屡见不鲜。

FIN317。RExueCn。Com

　　在此背景下， 21世纪经济报道记者获悉，央行也在今年上半年启动了全面摸排金融科技应用风险工作，移动金融客户端应用软件成为摸排重点之一，移动金融APP及其背后金融数据安全则是重中之重。

　　如何判定收集信息的合法性？

　　金融APP过度收集读取并使用收集用户信息是否构成侵犯公民个人信息犯罪？分歧是存在的。

　　中国银行(3.430, 0.00, 0.00%)法学研究会理事肖飒7月21日对21世纪经济报道记者表示，一种观点认为不构成侵犯公民个人信息罪。因为APP读取该类信息系经过用户同意的，信息使用在用户承诺范围内，且企业并没有将信息转手给他人，仅是用于金融公司贷款审批、催债使用。

　　但另一种观点认为，该用户同意并非真实用户意思表示，用户若不同意则无法使用金融APP，虽然信息没有外流，但是通过读取的手机通讯录并给亲友打电话催债的行为，给用户造成了较大困扰，已然突破合理合法边界。

　　而在司法实践中，判断的一个关键点在于是否明示信息使用用途。企业在获取用户信息时，是否明示收集的手机通讯录信息将被用于贷款审批及债务催收，如果没有明示，却在收集后用于该用途，会被认定为非法获取。

　　网络安全法第41条规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

　　就收集者同意而言，隐私协议本是为了获得用户信息授权，但金融APP中多是内置协议，提供格式条款一方免除其责任、加重对方责任、排除对方主要权利的，根据我国合同法第四十条，该条款无效。

FIN317。RExueCn。Com

　　“在实际案例中，将由法官结合协议内容、业务逻辑实质等予以判断。一旦法院认定授权无效的，手机APP获取用户信息的行为将彻底丧失合法性依据。”肖飒表示，即使在隐私协议授权条款有效的基础上，信息收集还需遵循必要性原则，也即，金融APP只能处理满足个人信息主体授权同意目的所需的最少个人信息类型和数量。如此，借贷审批是否需要全部获知用户通讯录等，便存在合法性疑问。