记账理财APP的个人信息合规挑战
数据隐私和网络安全
专栏
作者:冯坚坚 胡科 蒋昕妍
本文首发于威科先行法律信息库
在移动互联网时代,网购和手机支付的蓬勃发展也在潜移默化地影响着中国人的财富管理途径。记账理财APP在这样的环境下应运而生,已经吸引了数千万的用户。市面上的记账理财APP在功能上既可以帮助用户记录收支账目,还可以进行投资理财,而用户使用记账理财APP服务的对价是提供自己的个人信息。与其他APP不同的是,记账理财APP收集、使用的个人信息具有敏感性,由此产生的信息安全风险已经引起广泛关注,记账理财APP也面临更为严峻的合规挑战,本文将就此展开讨论。
记账理财APP为什么面临更严峻的合规挑战
相较于其他APP,记账理财APP面临严峻合规挑战主要是因为其收集、使用的数据大多属于个人敏感信息。许多记账理财APP除了支持传统的用户输入收支、消费记录的手动记账功能外,还支持自动记账,前提是用户提供银行卡卡号、网银密码等。有些APP还可以导入用户的信用卡账单,这需要用户提供接收信用卡账单的电子邮箱及其密码,平台在获得用户的银行账号、电子邮箱及相应的密码之后,将“模拟”或“模仿”用户行为,登录用户的网银及电子邮箱,抓取用户的网银信息与邮件内容,从而将用户银行卡内的资金变动情况和信用卡账单导入到APP中。
将于2018年5月1日生效的(GB/T35273—2017)《信息安全技术个人信息安全规范》(简称《个人信息安全规范》)定义个人敏感信息(personal sensitive information)为“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等个人信息。”[1]银行账号、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、交易和消费记录、流水记录等个人财产信息,系统账号、邮箱地址及前述有关的密码、口令等网络身份标识信息,个人电话号码、通信记录和内容等其他信息,均属于《个人信息安全规范》明文列举的个人敏感信息。[2]
这些数据资源价值颇高,其安全性可能受到多重威胁。从外部来讲,庞大的地下数据产业(黑产)对个人信息垂涎欲滴,用户信息数据库极可能遭受黑客攻击与入侵。从内部来讲,“内鬼”难防,内部员工监守自盗的案例近年已有数起。一旦信息泄露,不法分子可能通过“撞库”(黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的账户信息)等方式获取用户银行卡支付密码等金融信息和其他隐私信息,引发资金盗刷和电信诈骗风险,危害用户财产安全,在极端情况下甚至危及用户的人身安全。
因此,在《网络安全法》(简称《网安法》)、《消费者权益保护法》(简称《消法》)等对个人信息保护的规定基础之上,《个人信息安全规范》特别针对个人敏感信息的保护提出严格要求,涉及个人信息的收集、使用、分享、风险防范与处理等诸多方面。记账理财APP如果依照目前的运营模式,以收集用户的个人信息为对价向用户提供相应服务,就需要以审慎态度对待用户的个人信息,符合高标准的合规要求,对于部分存在严重风险的业务应当停止运营。否则,有可能违反《网络安全法》《消费者权益保护法》《刑法》《国家安全法》等法律法规的相关规定,引发与用户、第三方之间的争议,被监管机关处罚,甚至产生严重的刑事责任风险,承担高昂的法律代价。
记账理财APP面临哪些合规挑战
第一,在用户同意方面,《网安法》要求收集个人信息时要经被收集者同意。[3]《个人信息安全规范》还要求收集个人敏感信息时应取得个人信息主体的“明示同意”,即数据主体需要通过书面声明或者主动做出肯定性的行为以示同意;还应确保个人信息主体的明示同意是其在完全知情地基础上自愿给出的、具体的、清晰明确的愿望表示。[4]现实中,记账理财APP采用概括授权、默认勾选授权,以及征求同意时未对个人信息的使用方式、用途进行充分说明和未对风险做必要提示的情况普遍存在,存在极大合规隐患。
第二,在信息使用方面,《网安法》和《消法》要求使用个人信息应遵循合法、正当、必要的原则,向被收集者明示使用信息的目的、方式和范围,且使用信息不得违反法律法规的规定和双方的约定。[5]《个人信息安全规范》则规定使用个人信息时不得超出与收集个人信息时所声称的目的具有直接或合理关系的范围。[6] 现实中,记账理财APP是否严格按照上述要求行事存在很大疑问,也没有透明的机制供用户了解和监督。
第三,在信息分享方面,《网络安全法》规定未经被收集者同意不得向他人提供个人信息。[7]《消费者权益保护法》规定不得泄露、出售或者非法向他人提供个人信息。[8]《个人信息安全规范》指出个人信息原则上不得共享、转让,如果确需共享、转让个人信息则需要符合一定条件。[9]记账理财APP要满足上述要求,必须对所有外部合作业务(包括同一集团体系下的不同独立法人之间)进行仔细检查,同时还要注意由于并购引发的信息分享问题。
第四,在信息安全方面,《网安法》《消法》《个人信息安全规范》均规定应当采取技术措施和其他必要措施确保信息安全,防止信息泄露、丢失,并且在安全事件发生或可能发生时立即采取补救措施,及时告知用户并上报有关主管部门。[10]《个人信息安全规范》特别就个人敏感信息的传输和存储提出应当采用加密等安全措施的要求。[11]由于记账理财APP掌握的用户个人敏感信息极为重要,包括大量的用户财务信息、邮箱用户名及密码,所以也是黑产、黑客重点攻击的对象。因此记账理财APP不仅面临极高的信息安全技术能力挑战,在事前预防评估和制度建设、事中告知汇报和突发应对、事后整改和责任承担机制上,还面临巨大的合规挑战。
第五,在用户个人权益方面,《网络安全法》指出在一定条件下,用户有权要求删除其个人信息。[12]《个人信息安全规范》还要求平台应当保证撤回同意、注销账户的权益并按规定处理用户的个人信息。[13]目前部分记账理财APP的格式条款含有用户“不可撤销地同意”APP采集、使用其个人信息等字眼,这很可能已经违反了上述合规要求。
最后,该领域现阶段依然存在法律空白,许多问题仍在争议中。其中最核心的问题是,平台是否可以在不告知银行或者电邮服务提供商其已得到用户授权的情况下,通过“模拟”或“模仿”用户行为登录用户的网银或者邮箱,直接抓取用户的收支、转账记录、银行卡账单等信息。在现实交易中,银行为了防范金融诈骗、保护用户财产安全往往要求用户本人到柜办理业务,还要验证用户本人的身份证、采集人像、签名等,如授权第三人代为办理业务还需要提供合法有效的授权委托书、代理人身份证等,电子邮箱也会要求用户通过手机、其他备用邮箱等方式进行身份验证;然而在网络端,如果第三方拥有相应的密码,银行和电邮服务提供商甚至很难发觉登录网络端的并非用户本人。银行和电邮服务提供商控制的、负担保护责任的用户信息被其他第三方大量掌握,而他们可能根本无从知晓这些外来风险的存在。然而,在法无明文规定的当下,银行和电邮服务提供商对这类信息是否享有一定的权益、是否有义务或权限限制用户以外的第三方获得这类信息、第三方是否可以在不告知银行和电邮服务提供商、也不获得他们同意的情况下直接获取信息、这类行为该如何监管等问题,都尚未有定论。由于存在不确定性,记账理财APP该如何处理这类合规问题,也十分棘手。
记账理财APP该如何应对合规挑战
1. 取得用户明示、真实同意
以用户一揽子签署的隐私权条款或服务协议作为用户明示同意的依据,或者预先替用户勾选“同意”,而用户并没有主动勾选“同意”都很可能带来合规风险。建议平台在服务协议之外,与用户签署内容清晰、具体的隐私权条款,涉及用户个人敏感信息时再单独向用户征得同意,且要求用户主动做出肯定性动作。关于“用户同意”的分析,可以参见本团队之前发布的文章《个人信息安全之“用户同意”浅析》[14] 。
2. 收集、使用信息遵守目的明确原则和最少够用原则
事先明确告知用户使用目的,严格控制处理范围,不得以违背用户原有意愿的方式直接使用或与其他信息进行关联分析。此外,应当只处理满足用户授权同意的目的所需的最少个人信息类型和数量。[15]
3. 控制共享、转让用户个人信息
如果确需共享、转让个人信息,平台需要事先开展个人信息安全影响评估,并根据评估结果采取有效的保护措施,还应当向用户告知共享、转让个人信息的目的、数据接收方的类型,并事先征得同意。[16]仅在一揽子签署的服务协议或隐私权条款中说明平台可能将收集的个人信息共享、转让给关联公司和其他第三方,存在合规风险;建议在共享、转让时单独向用户说明并征得授权同意。
4. 提高数据安全能力,做好安全事件处置
记账理财APP应当根据有关国家标准的要求建立适当的数据安全能力,落实必要的管理措施和技术手段,防止个人信息的泄露、毁损、丢失。[17]除采取加密等安全措施,还要有个人信息访问控制措施:对被授权访问个人信息的内部数据操作人员,应按照最小授权的原则,使其只能访问职责所需的最少够用的个人信息,且仅具备完成职责所需的最少的数据操作权限;对个人信息的批量修改、拷贝、下载等重要操作设置内部审批流程。[18]
针对信息安全事件,应当事先制定应急预案,定期组织相关人员进行应急响应培训和应急演练。事件发生后按照指定的预案进行处置,包括记录事件内容,评估事件可能造成的影响,并采取必要措施控制事态,消除隐患。还应当按照有关规定及时上报有关部门。[19]及时将安全事件情况以邮件、信函、电话、推送通知等方式告知受影响的用户;难以逐一告知时,应采取合理、有效的方式发布警示信息。[20]
5. 保障用户删除信息、撤回同意、注销账户等权利
向用户提供删除信息、撤回同意、注销账户的方法,例如用户可以在APP上直接操作或明确告知用户联络客服处理的途径。如用户要求删除信息,平台应当立即停止使用、收集、共享、转让、披露其个人信息,并及时删除。用户撤回同意后,平台后续不得再处理相应的个人信息。[21]在用户账户注销后删除其个人信息或做匿名化处理。[22]
6. 保持合规谨慎态度,并推动行业监管法规发展
针对法律空白领域的合规问题,记账理财APP一方面应当保持谨慎的态度,建议在取得第三方的明确授权或建立合作关系之后再向其索取用户的个人信息。另一方面要推动行业监管法规的发展,提高确定性,使合规操作有法可依。
肆
总结
上海银监局、消费者权益保护委员会曾发出警示,多家银行也向其客户发出风险提示,提醒关注记账理财APP可能存在的个人信息安全问题和相关风险。还有许多业内人士、专家发表观点,认为用户应当谨慎向这类APP提供个人信息。由此可见,未来市场很有可能会对使用记账理财APP持更为小心的态度,监管力度也将加大。
面对这样的挑战,记账理财APP平台和运营商更应当做好合规,赢得市场信任,为用户提供方便又安全的优质服务。
注释:
[1]《个人信息安全规范》第3.2条。
[2]《个人信息安全规范》第3.2条注1、资料性附录B。
[3]《网络安全法》第41条第1 款。
[4]《个人信息安全规范》第5.5条。
[5]《网络安全法》第41条,《消费者权益保护法》第29条第1款。
[6]《个人信息安全规范》第7.3条。
[7]《网络安全法》第42条第1款。
[8]《消费者权益保护法》第29条第2款 。
[9]《个人信息安全规范》第8.2条。
[10]《网络安全法》第42条第2款、第55条,《消费者权益保护法》第29条第2款,《个人信息安全规范第9条。
[11]《个人信息安全规范》第6.3(a)条。
[12]《网络安全法》第43条。
[13]《个人信息安全规范》第7.7、7.8条。
[14] https://zhuanlan.zhihu.com/p/34460031。
[15]《个人信息安全规范》第4(b)、(d)条。
[16]《个人信息安全规范》第8.2条。
[17]《个人信息安全规范》第4(f)、10.3条。
[18]《个人信息安全规范》第7.1条。
[19]《个人信息安全规范》第9.1条。
[20]《个人信息安全规范》第9.2条。
[21]《个人信息安全规范》第7.7条。
[22]《个人信息安全规范》第7.8条。
本专栏往期文章
合伙人
021-2613 6221
feng.jianjian@jingtian.com
冯坚坚律师于2001年毕业于浙江大学,获得国际经济法专业法学学士学位,2005年获得中华人民共和国律师资格,2017年作为合伙人加入竞天公诚律师事务所,现担任上海市律师协会互联网业务研究委员会委员。
冯坚坚律师在加入竞天公诚律师事务所之前,曾先后工作于国内某知名上市公司和两家领先的中国律师事务所。冯坚坚律师具有十余年法律专业服务经验,目前主要专注于网络安全及数据保护、反垄断、金融科技合规及治理、境内外投资并购等相关领域,近年主要业绩如下:协助多家企业开展网络安全及数据保护合规工作,应对相关约谈及调查;为多家大型企业提供反垄断合规及调查应对相关法律服务;主导某特定行业反垄断地方性指导意见的立法调研及起草工作;为多家金融科技企业提供合规及治理的相关法律服务;为多起境内并购及对外投资提供相关法律服务。
冯坚坚律师的工作语言是中文和英文。
合伙人
010-5809 1182
hu.ke@jingtian.com
胡科律师毕业于北京大学和加州大学伯克利分校,分别获得法学学士和法学硕士学位,具有中华人民共和国和美国纽约州律师资格。
胡科律师是竞天公诚律师事务所争议解决部合伙人。其执业领域为商事争议解决,尤其擅长跨境商事和知识产权争议的诉讼和仲裁。胡律师经常代理客户处理在中国法院的重大涉外诉讼以及在CIETAC、BAC、HKIAC、ICC、SCC、SIAC等中外仲裁机构进行的商事仲裁案件,涉及公司、股权、中外合资、PE/VC投资、金融、贸易、工程、能源、文化娱乐、技术许可以及外国仲裁裁决或法院判决的司法审查和执行。2018年,他被《法律名人录》认可为国际仲裁领域的"未来领袖"之一。
胡律师是国际商事仲裁理事会(ICCA)-清华大学中国仲裁法律与实践联合工作组成员,国际律师协会(IBA)仲裁委员会成员和IBA ARB 40协调委员会的中国国家代表,中国青年仲裁小组组织委员会成员和YSIAC领导委员会成员。
胡律师的工作语言是中文和英文。
律师
021- 2613 6221
jiang.xinyan@jingtian.com
蒋昕妍是竞天公诚律师事务所争议解决部律师,执业领域为商事争议解决、数据隐私与网络安全。
蒋律师2013年毕业于中南财经政法大学,取得法学学士学位;2016年毕业于美国本杰明卡多佐法学院,取得法律博士学位(Juris Doctor)。在加入竞天公诚之前,蒋律师曾在美国纽约州司法部任职。蒋律师已取得美国纽约州律师资格和中国法律职业资格。
蒋律师的工作语言是中文和英文。