□本报记者 杜肖锦
《个人信息保护法》施行以来,目前落地情况和效力如何?与金融行业的个人信息保护是否适配?对此,《中国银行保险报》记者采访了法律界人士。
仍有空白地带
国浩律师事务所合伙人冯翠玺表示,《个人信息保护法》实施以来,金融机构普遍加强了个人信息保护意识,也采取了相应的安全措施,在很大程度上提高了个人信息保护的水平。然而,法规对个人信息保护的要求不够细致和明确,同时技术的发展也对安全保护不断提出新的挑战。随着大数据、人工智能等技术的广泛应用,个人信息的收集、使用和处理变得更加复杂和隐蔽,这使得传统的保护手段难以迅速适应新的技术环境。此外,金融行业的个人信息保护是跨行业、跨领域的课题,需要金融机构与电信、互联网等多个行业协作进行,但是目前尚未形成有效的合作机制,这使得个人信息保护片面化。
“目前在金融行业内的信息保护还存在空白地带,这需要金融行业以及监管机构共同努力。”冯翠玺建议,在金融机构层面,一是加强内部控制,个人信息从收集、使用、处理、存储和传输等全部流程都要纳入安全保护范围并采取对应技术措施。二是加强跨行业、跨领域的合作,提高技术上以及标准上的一致性及系统性,提高面对新技术发展的应对措施和安全保护水平。在监管机构层面,一方面需要出台更为细致的指导规范,使得个人信息保护标准化;另一方面要加强监管,确保金融机构遵守相关法律法规和规章制度,及时发现和纠正违法行为。
不提供额外的个人信息
在工业和信息化部、国家网信办通报金融类APP侵犯个人隐私的公告中,“强制收集非必要个人信息,隐私政策内容不完整,强制、频繁、过度索取权限”等表述常常出现。如何理解“非必要个人信息”?隐私政策内容不完整表现在哪些方面?过度索取权限指的是哪些方面?
冯翠玺表示,过度索取权限指的是APP在运行时,要求用户授予超过其实际功能需求的权限。这种行为不仅侵犯用户隐私,还可能引发安全风险。
“目前,法律层面尚未对‘非必要个人信息’的范畴作出明确规定。”冯翠玺表示,一般而言,“非必要个人信息”是指在用户使用某款APP的核心功能和服务时,不需要提供或收集的信息。换言之,用户可以正常使用APP的核心功能,而不需要提供这些额外的个人信息。
隐私政策方面,冯翠玺表示,主要有五类隐私政策不完整的表现,包括未明确说明收集哪些个人信息:隐私政策没有列出具体收集的个人信息类型;未解释收集信息的目的:没有明确说明收集每类信息的具体用途;未说明信息的存储期限:没有告知用户其个人信息会被保存多长时间;未说明信息的分享范围:没有告知用户其信息会被分享给哪些第三方机构,以及分享的目的是什么;未提供用户的权利和选择:没有告知用户他们有权访问、更正或删除其个人信息,以及如何行使这些权利。
保障用户选择权
值得注意的是,金融服务类APP需要与第三方合作,将部分信息与第三方共享。记者在前期调查中发现,现在的金融类APP通常不勾选“同意第三方授权”就无法使用APP,这在法律视角下,是否已经对用户构成侵害?为什么金融机构一定需要用户同意“第三方授权”?用户能在不同意第三方授权的情况下正常使用APP吗?如何确保用户使用的选择权?
冯翠玺告诉记者,根据《网络安全法》和《个人信息保护法》,APP在收集、使用用户个人信息时,必须遵循合法、正当、必要的原则,且应明确告知用户信息收集的目的、方式、范围及使用第三方的情况。强制用户同意第三方授权才可使用APP,未能给用户选择权,这种做法违反了用户的知情权和选择权。
据悉,在《个人信息保护法》基础上,细化了处理个人信息时,向个人告知处理规则、取得个人同意的实施方法和步骤。其中指出,金融机构在向第三方提供个人信息或者委托第三方处理个人信息,应该遵循告知和同意原则,即需要以明确方式进行告知并获得用户同意。
那么该如何确保用户使用APP的选择权?冯翠玺表示,可以通过七方面措施进行保障:第一,明确告知:金融机构应在APP中明确告知用户需要同意哪些第三方授权,以及这些授权的具体内容和目的;第二,提供选择:金融机构应为用户提供选择权,允许他们选择是否同意特定的第三方授权;第三,核心功能可用:即使用户不同意第三方授权,也应保证用户能够使用APP的核心功能;第四,定期审查:定期审查隐私政策和授权流程,确保其合法合规并保护用户权益;第五,用户反馈机制:建立用户反馈机制,及时回应和处理用户对隐私政策和授权流程的疑虑和投诉;第六,隐私政策:金融机构应制定清晰易懂的隐私政策,明确说明个人信息的收集、使用、共享和存储方式;第七,加强监管:相关监管机构应加大对金融机构的监管力度,确保他们遵守相关法律法规和规定,保护用户的合法权益。
