近日，工信部官網披露最新一期侵害用戶權益行為的應用軟件（App）通報，其中廣東省通信管理局通報存在問題的應用軟件名單裡，多家銀行App在列。工信部等相關部門督促問題App在規定時間內落實整改。

數位受訪的業內人士表示，從2019年開始，監管部門針對用戶個人信息安全屢出重拳，法規從推出到執行，相關環節在逐步完善中，不僅僅是金融類App，甚至生活服務類、遊戲娛樂類App涉嫌違規採集甚至交易用戶個人信息的風險事件常有發生，這是必經階段。而金融要素信息，往往涉敏且和個人財產安全高度相關，關注度更大，監管部門對個人金融信息安全保護的要求等級也必然更高。

數款App仍未整改？

4月23日，由工信部官網披露《關於侵害用戶權益行為的App通報（2021年第4批總第13批）》中，涵蓋生活社區、遊戲娛樂、金融及科技等多個領域的93款App上了通報榜單。

通告顯示，依據《網絡安全法》《電信條例》《電信和互聯網用戶個人信息保護規定》等法律法規，按照《關於開展縱深推進App侵害用戶權益專項整治行動的通知》（工信部信管函〔2020〕 164號）工作部署，工信部近期組織第三方檢測機構對手機應用軟件進行檢查，重點督促遊戲類、工具類存在問題的企業進行整改。

截至目前，尚有93款App未完成整改。各通信管理局按工信部App整治行動部署，積極開展手機應用軟件監督檢查，廣東省通信管理局檢查發現仍有45款App未完成整改。通告督促，上述App應在4月29日前完成整改落實工作，逾期不整改的，將被處置。

證券時報記者註意到，在廣東省通信管理局通報存在問題的應用軟件名單中，廣州農村商業銀行股份有限公司的珠江直銷銀行App、廣東南粵銀行股份有限公司的廣東南粵銀行App、深圳前海微眾銀行股份有限公司的微眾企業愛普App在列。

這些App所涉問題分別為違規收集個人信息；違規收集個人信息，App強制、頻繁、過度索取權限；違規收集個人信息、超範圍收集個人信息。

從通報情況看，一些手機應用商店等平台方的存量問題整改並不徹底。

工信部披露，在2021年第一季度檢測中，騰訊應用寶、小米應用商店、OPPO軟件商店、華為應用市場和vivo應用商店發現問題數量分別佔比14.22%、13.81%、12.80%、11.37%、11.17 %，存在上架審核不嚴格、存量問題清理不徹底、登記核驗App開發運營者信息不准確、誤導用戶下載等問題。

金融信息何以高關注？

近兩年來，保護用戶個人信息尤其是金融信息安全備受重視，工信部多次披露App違規獲取用戶信息的情況，而金融理財類App屢屢榜上有名。

比如此次被通報的微眾銀行，去年其旗下的小鵝花錢已經因私自收集個人信息、賬號註銷難等問題遭到通報。

彼時，工信部通報2020年第三批侵害用戶權益的App名單中區，共有12款理財、小貸App名列其中，主要涉及的問題包括私自、超範圍收集個人信息，過度索取權限，私自共享給第三方等情況。除了微眾銀行的小鵝花錢之外，還有天弘基金存在超範圍收集個人信息的問題；展恆基金存在過度索取權限、賬號註銷難的問題；匯添富基金旗下的現金寶存在過度索取權限的問題；華夏基金管家存在私自收集個人信息、超範圍收集個人信息、私自共享給第三方的問題；好買基金旗下儲蓄罐App存在賬號註銷難的問題；博時基金存在不給權限不讓用的問題；小花錢包涉及私自收集個人信息、賬號註銷難的問題；還唄存在私自共享給第三方的問題；交行信用卡App“買單吧”存在強制用戶使用定向推送功能、不給權限不讓使用、過度索取權限、賬號註銷難的問題；和訊財經、和訊期貨存在私自共享給第三方的問題。

今年3月12日，在工信部公佈的《關於侵害用戶權益行為的App通報》中，我來數科被通報原因是違規收集個人信息。而我來數科是創辦於香港的金融科技集團WeLab旗下平台，除了在內地、香港、印尼等地為用戶提供消費信貸及經營貸款等金融服務，WeLab還在中國香港擁有線上貸款平台WeLend和虛擬銀行牌照WeLab Bank。

今年2月，廣東省通信管理局通報被責令限期整改的215款App中，金融理財類有12款。而在此次通報中，有7款前期通報整改但未整改或整改不徹底的App，包括小贏科技搖錢花、順豐金融、中郵錢包、萬聯e萬通等4款金融類App。

2020年12月，國家計算機病毒應急處理中心在“淨網2020”專項行動中，通過互聯網監測發現，興業銀行、內蒙古農信、內蒙古銀行、海峽銀行、鄂爾多斯銀行等6家銀行的App因“未向用戶明示申請的全部隱私權限，涉嫌隱私不合規”而被點名。

“不是只有金融領域，不僅僅是金融類App，在整個互聯網行業，都經常有金融類、生活服務類、遊戲娛樂類App涉嫌違規採集甚至交易用戶個人信息的風險事件發生。從2019年開始，監管部門針對用戶個人信息安全屢出重拳，從定規矩、頒法令到落地執行，這也是從法規到執行層面逐步完善過程的必經階段。”一家業內知名反欺詐科技公司的資深安全產品經理告訴證券時報記者。

在他看來，相比其他信息，“用戶的金融要素信息，如身份證號、手機號、賬戶信息、財產信息等，不僅涉敏，而且往往和個人金融安全高度相關，如果被別有用心的不法分子盜用來作為交易資源的話，它的’商業價值’是最高的，也因此會被重點關注。”

涉敏金融信息有哪些？

北京大學數字金融研究中心副主任黃卓告訴證券時報記者，關於數據使用的邊界，不光是中國數字金融發展的問題，也是全世界都非常關注的重要問題。相對來說，在發達國家或者歐美市場，相關立法和政策規定相對完善一點。但是，在大數據的使用中，把數據作為資產進行交易，涉及到的數據所有權、採集合規、利益分配等問題，是全世界正在探索中卻尚無定論的問題。

在業內人士看來，金融行業App關於信息使用的安全規範並非一朝一夕之事，需監管方、各類App應用商店運營者、App運營方及機構多方參與治理。但也要看到，監管層對於個人信息安全的保護力度正在不斷加強，尤其是個人金融信息保護領域，經歷過去兩年的金融科技大數據公司整頓風暴之後，相關信息保護法規正在完善。

此前，央行就對移動金融App安全問題發文，從提升安全防護、加強個人金融信息保護、提高風險監測能力、健全投訴處理機制、強化行業自律等五個方面進行了管理規範，並對備受關注的個人金融信息保護劃定了四大紅線。

央行在發布《商業銀行法（修改建議稿）》並公開徵求意見時，新增了“客戶權益保護”章節，對商業銀行營銷、信息披露、風險分級與適當性管理、個人信息保護、收費管理等客戶保護規範作出了具體規定。比如，“商業銀行不得收集與業務無關的個人信息或者採取不正當方式收集個人信息，不得篡改、倒賣、違法使用個人信息。”同時，“商業銀行應當保障個人信息安全，防止個人信息洩露和濫用。商業銀行將個人信息處理外包給第三方的，應當確保第三方遵守個人信息保護規定，並採取有效措施保障個人信息安全。”

對於個人金融信息的保護，在《個人信息保護法》草案的通用性規定之外，2019年年底施行的《中國人民銀行金融消費者權益保護實施辦法》，以及去年初出台的《個人金融信息保護技術規範》都規定了個人金融信息保護的特殊之處。

“個人金融信息保護技術規範的擴大適用，除了持牌金融機構，對於’涉及個人金融信息處理的相關機構’，比如金融機構委託處理個人信息的科技公司也需要受到規制。”中國銀行法學研究會理事肖颯介紹，C3類別+C2類別信息均為敏感信息。

這之中，C3類別信息主要為用戶鑑別信息，包括銀行卡芯片有效信息、卡片有效期、銀行卡密碼、網銀交易密碼、查詢密碼、交易密碼、登錄密碼、個人生物識別信息；所謂C2類別信息則主要為可識別特定個人金融信息主體身份與金融狀況的個人金融信息，以及用於金融產品與服務的關鍵信息，包括支付賬號、手機號、證件類識別信息、登錄用戶名、動態口令、短信驗證碼、密碼提示問題、個人財產信息、借貸信息、交易信息、KYC過程中留存的照片、音頻視頻、家庭住址等。

肖颯介紹，根據個人信息保護法要求，“敏感信息處理更嚴格，要求取得個人單獨授權或書面同意，還應當告知信息被採集人敏感信息對個人的影響”。