“经我行第一时间沟通排查,确认是我行手机银行(5.12版)存在部分隐私条款有待补充完善之处”,针对被国家计算机病毒应急处理中心通报“涉嫌隐私不合规”一事,民生银行1月15日作出紧急声明。
南都记者注意到,因未向用户明示申请的全部隐私权限,民生银行、兴业银行、内蒙古银行、内蒙古农信、海峡银行、鄂尔多斯银行等6家银行被国家计算机病毒应急处理中心点名通报。
南都记者测试发现,在被通报后,上述6家银行均对用户隐私保护条款的版本进行了更新。兴业银行表示,第一时间与国家计算机病毒应急处理中心联系,在其指导下现已修订完善了用户隐私条款并更新,并对手机银行客户端APP程序进行了优化。
A
整改
两家银行已更新涉事应用版本
近期,国家计算机病毒应急处理中心在“净网2020”专项行动中通过互联网监测发现,多款违法、违规有害移动应用存在隐私不合规行为,违反《网络安全法》相关规定,涉嫌超范围采集个人隐私信息。
6家被点名的手机银行APP,分别是民生银行(版本5.12)、兴业银行(版本5.0.4)、内蒙古农信(版本2.4.6)、内蒙古银行(版本2.0.4)、海峡银行(版本2.4.8)、鄂尔多斯银行(版本3.1.0)。
南都记者此前在安卓手机的应用商店中搜索发现,民生银行的应用版本已更新至5.2;而兴业银行、内蒙古农信、内蒙古银行、海峡银行、鄂尔多斯银行5家银行的应用版本目前与上述国家计算机病毒应急处理中心所指版本一致,还未发生变化。但截至发稿时,兴业银行已更新至5.05版本,但其他4家银行仍未更新安卓手机的应用版本。
民生银行在声明中表示,为严格落实监管机构关于客户隐私保护的要求,该行手机银行最新版本(5.2版)更新了《中国民生银行隐私政策》,进一步完善了摄像头、位置等客户信息相关内容,明确了设备权限使用场景以及获取客户信息范围和使用目的,以上优化举措旨在提升客户体验。
对于涉嫌隐私违规的问题,民生银行相关负责人向南都记者回应称,高度重视客户隐私信息保护,采取了合理的安全措施。“中国民生银行将根据有关方面最新要求不断完善客户隐私政策,持续强化客户隐私保护措施。”
兴业银行回应称,经紧急核查,确认相关问题为该行手机银行安卓客户端(5.0.4版本)为强化互动功能,便于客户通过客户端一键拨打业务咨询电话与客户经理交流沟通,在系统安装时向手机操作系统申请了与“拨打电话”相关的权限。客户在向客户经理拨打电话前,手机银行客户端还会再次向客户询问是否允许“拨打电话”。该行并未通过该功能额外获取任何用户隐私信息。
南都记者测试发现,兴业银行在1月13日对《兴业银行用户隐私保护条款》进行了更新。在最新更新的版本中,兴业银行用黑体字重点突出了将要获取用户的相关信息。
此外,在其他4家规模较小的区域银行的APP中,除了海峡银行外,其他3家银行在打开APP的首页时就对隐私政策进行了弹窗提醒,并且用户要阅读并同意后才能继续使用手机银行服务。
B
测试
仍有银行APP隐私政策不完善不详尽
值得注意的是,本次国家计算机病毒应急处理中心共指出了24款移动应用存在隐私不合规行为,原因包括“未经用户同意收集个人隐私信息”、“未向用户明示申请的全部隐私权限”两类。而上述6家银行APP涉嫌不合规的原因主要是因为后者。
事实上,在2019年12月30日,国家网信办秘书局、工信部办公厅、公安部办公厅、市场监管总局办公厅四部门联合印发了《APP违法违规收集使用个人信息行为认定方法》(以下简称《方法》)。
从《方法》给出的界定标准来看,“未向用户明示申请的全部隐私权限”是指,未逐一列出APP收集使用个人信息的目的、方式、范围等;在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解等等。
据南都记者测试发现,上述规模较小的4家区域银行APP在申请用户权限、隐私政策声明方面,仍存在不完善、不详尽的问题。比如,在内蒙古农信APP的隐私条款中,也没有明确列出收集用户个人信息的范围,以及用户如何注销账号、注销账号后的留存信息如何处理等事项。此外,在选择不同意个人隐私保护政策后,APP直接闪退无法使用。
值得注意的是,虽然海峡银行已经更新了隐私条款版本,但南都记者在首次下载海峡银行手机APP后,在APP首次运行时仍未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则。
事实上,金融行业APP一直是不规范使用用户隐私信息的“重灾区”。除了本次被通报的APP,近期还有多家银行APP被指存在涉嫌隐私不合规行为。2019年12月,国家网络与信息安全信息通报中心通报显示,包括光大银行、天津农商银行、天津银行等在内100款违法违规APP及其运营的互联网企业被点名,存在涉嫌隐私不合规行为。
采写:南都记者 田姣