亚新体育官网手机银行App个人信息合规行业测评报告(下):用户授权过程的合理性测评
发布时间:2024-08-27 13:04:01点击:
,民众网络安全感满意度有所提升。移动应用App作为服务提供的主阵地,更是个人信息保护的前沿战场与核心区域。
手机银行App,凭借其卓越的即时响应速度、极致便捷的操作体验以及一站式综合服务能力,已深深融入公众的日常生活,成为不可或缺的金融工具。它们不仅极大地拓宽了金融服务的边界,提升了服务获取的便捷性与效率,还深刻重塑了金融服务的质量标准。鉴于手机银行App深度依赖于大数据驱动,其在保障用户个人信息合规的角色上更显关键。
中国电子银行网联合中金金融认证中心有限公司(CFCA)信息安全服务部移动安全团队,对48款手机银行App,包括六大国有行,12家股份制银行,部分城商行、农商行、农信社以及民营银行的个人信息合规进行了测评。测试共分为隐私政策透明度与合理性、用户权利保障、用户授权过程的合理性等三部分。本文为“手机银行App用户授权过程的合理性测评”亚新体育官网。
个人信息保护法中要求处理个人信息时需取得用户同意,但是对合理的授权过程却没有细节方面的要求,企业在通过App取得用户授权的过程中,应该充分尊重客户,告知客户风险,通过合理的方式取得用户的授权。故本次测评中第三部分就是针对手机银行App在使用中用户授权过程合理性的测评。本次测评选取了11个相关的测评项进行测评,具体内容如下:
备注:以上排名不分先后,按首字拼音顺序排序,首字拼音相同按次字拼音顺序排序,以此类推,第十名分值相同情况共同列入本名单。
1、检查隐私政策中是否说明在更新后再次征得用户同意、个人信息保护政策的更新内容。
2.2 收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新个人信息保护政策等收集使用规则并提醒用户阅读等。
第十七条 个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:
本检测项主要包括两个检测点,一个是隐私政策中收集使用个人信息的目的、方式、范围发生变化时需要以适当方式通知用户,普遍实现方式是在隐私政策更新后,用户下次启动客户端时再次弹窗征求用户授权;第二个检测点是隐私政策中如个人信息相关内容更新后应在显著位置描述本次更新的内容。以上案例均很好的实现了两个检测点的要求。
在隐私政策更新时,通过明显的方式主动通知用户,例如通过App内通知、电子邮件或短信。
清晰地描述隐私政策的更新内容,包括变化的原因、影响的范围以及用户的新权利和义务。
要求用户在更新后再次明确同意新的隐私政策,以确保他们对新条款有充分的了解和接受。
定期审查和更新隐私政策,确保其内容与最新的法律法规和用户需求保持一致。
条件允许情况下可以保留所有隐私政策历史版本,并方便用户查看。
2、App在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,是否同步告知用户其目的,且目的明确、易于理解。
2.3 在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解。
在该案例中不管是申请敏感权限还是收集敏感信息以实现相关业务功能时均通过弹窗告知用户收集该信息的目的,并且所有目的描述均较为详细。
该客户端在申请可收集用户敏感信息的权限时,采用系统弹窗和自定义描述同步告知的方式提示用户收集信息的目的,实现方式便捷,逻辑清晰;在收集其他敏感信息时采用弹窗提示用户收集该信息的目的。
该客户端在申请可收集用户敏感信息的权限时,先弹出自定义弹窗同步告知用户收集信息的目的,再通过系统弹窗具体授权,是较为普遍的实现方式;在收集其他敏感信息时采用页面下方提示的方式告知用户收集该信息的目的。
在申请收集敏感信息的权限时,通过弹窗或其他明显的方式同步告知用户具体目的。
提供易于理解的说明文本,帮助用户了解其个人信息如何被使用,以及为何需要这些信息。
4.1 收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关。
5.2-a) 收集的个人信息的类型应与实现产品或服务的业务功能有直接关联,直接关联是指没有上述个人信息的参与,产品或服务的功能无法实现。
7.1.1-b) 收集个人金融信息应遵循最小化要求,收集个人金融信息的目的应与实现和优化金融产品或服务、防范金融产品或服务的风险有直接关联。直接关联是指无该个人金融信息参与无法实现前述目的。
以上案例中,案例1-1与案例1-2皆为申请相机权限的同时申请了存储权限,案例1-3为登录时申请了存储权限,其中案例1-1与案例1-2是最常见的问题情况,原因可能是部分App从低版本Android开始即存在对应功能,未在后续针对性优化,导致出现需要将图片缓存到外部存储后再上传。
完善自身权限管理制度和流程,在权限引入时明确权限使用的必要性及其与特定功能的关联关系,无关或者无必要性的权限不再申请;
涉及第三方SDK引入的权限也同样进行管理,防止第三方SDK引入预期外的权限从而导致无关权限申请。
4.2因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;
5.3-d)个人信息主体不授权同意使用、关闭或退出特定业务功能的,不应频繁征求个人信息主体的授权同意。
GBT 41391-2022《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》:
6.5.1-f) 如用户拒绝或撤回同意系统权限授权,宜为用户提供无需系统权限亦可实现业务功能的替代解决方案
5-b) 应仅在人脸识别方式比非人脸识别方式更具安全性或便捷性时,采用人脸识别方式进行身份识别;应同时提供人脸识别方式和非人脸识别方式,并由自然人选择使用。
以上案例中,案例2-1为用户拒绝权限授权后无法正常进入App,全部功能无法使用;案例2-2和案例2-3为用户拒绝位置权限授权后,无法使用网点功能,属于典型的用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能的情况。
完善自身权限管理制度和流程,在权限引入时明确权限使用的必要性及其与特定功能的关联关系,非必要权限在用户拒绝授权后不要影响业务功能使用;
在用户不授权的情况下为用户提供替代方案,当用户拒绝位置权限,仍可以通过自主输入地址的方式使用相关服务;
涉及第三方SDK引入的权限也同样进行管理,防止第三方SDK引入预期外的权限从而导致上述问题。
本次行业测评根据现有监管要求亚新体育官网,提取了部分当前较为受关注的检测点,深入分析了手机银行在个人信息保护方面的问题与挑战,旨在为手机银行App提供一个合规体检,最终推动整个行业的健康发展。
通过本次对手机银行App个人信息合规性进行细致的检测与分析,我们发现许多应用已经在保护用户隐私方面做出了积极努力,总体情况良好。同时,报告也提出了一系列改进建议,包括但不限于优化用户隐私政策、提高透明度和增强用户控制权。我们期望这些建议能够被行业采纳,并转化为实际行动,以提升整个行业的个人信息保护水平。
数字化时代,企业数据合规和个人信息保护的重要性日益凸显,信息资源已成为重要的生产要素和社会财富。...
人类之所以想要一个家,想要一个温暖的地方,首先是为了获得身体的温暖,其次是情感的温暖著名作家...
8月22日,九号公司在2024新品发布会上以定义旗舰,顶峰相见为主题,发布了一系列年度重磅旗舰新品,其中...
8月22日,由创业邦主办的2024 AGI商业趋势大会在深圳隆重举行。同期,创业邦重磅发布2024年AIGC创新企...
伴随着以数据资产与数据安全为核心的政策频出,数据治理市场迎来高速发展。与此同时,《数据安全法》《个...
在数字化转型的当下,企业发展离不开持续学习与人才培养。时代光华极光数智化学习平台,以其全面而精细...
今年暑期,由中央民族乐团和深圳广电集团举办的《古韵今声》--中国历代名琴展落地天空美术馆,美克美家...
在数字浪潮的推动下,中小企业作为国家经济发展的重要力量,正以前所未有的速度融入互联网+的时代洪流。然...
8月22日,中国移动智慧家庭运营中心携手中国人工智能产业发展联盟、浙江省人工智能学会,在浙江省杭州市...
在数字化转型的浪潮中,绝味鸭脖作为卤味行业的领军品牌,积极响应智能化升级的号召。8月21日,绝味集团...
2024年8月21日上午,第八届全国大学生集成电路创新创业大赛全国总决赛颁奖典礼在烟台举行。本届大赛总决...
数字化时代,企业数据合规和个人信息保护的重要性日益凸显,信息资源已成为重要的生产要素和社会财富。...亚新体育官网亚新体育官网