数字化时代,企业数据合规和个人信息保护的重要性日益凸显,信息资源已成为重要的生产要素和社会财富。近年来,国家网络安全法律体系不断完善,数据保护、个人信息保护等相关法律法规密集出台,民众网络安全感满意度有所提升。移动应用App作为服务提供的主阵地,更是个人信息保护的前沿战场与核心区域。
手机银行App,凭借其卓越的即时响应速度、极 致便捷的操作体验以及一站式综合服务能力,已深深融入公众的日常生活,成为不可或缺的金融工具。它们不仅极大地拓宽了金融服务的边界,提升了服务获取的便捷性与效率,还深刻重塑了金融服务的质量标准。鉴于手机银行App深度依赖于大数据驱动,其在保障用户个人信息合规的角色上更显关键。
中国电子银行网联合中国金融认证中心(CFCA)信息安全服务部移动安全团队,对48款手机银行App,包括六大国有行,12家股份制银行,部分城商行、农商行、农信社以及民营银行的个人信息合规进行了测评。测试共分为隐私政策透明度与合理性、用户权利保障、用户授权过程的合理性等三部分。
本文为“手机银行App用户权利保障测评”,后续将推出“手机银行App用户授权过程的合理性测评”,敬请持续关注。
手机银行App用户权利保障测评
根据个人信息保护法第四章相关要求,企业在提供服务的同时应保障用户的相关权力,包括知情权、决定权、更正权及删除权等,故本次测评中第二大部分内容就是针对手机银行App用户权利保障的测评。本次测评选取了7个相关的测评项进行测评,具体内容如下:
表:用户权利保障检测项
测评得分情况:
图:用户权利保障得分情况(满分为22分)
本分项测评共有19家银行获得满分,分别为:
安徽农金手机银行App
丹东银行手机银行App
光大银行手机银行App
广东南粤银行手机银行App
广发银行手机银行App
广州银行手机银行App
哈尔滨银行手机银行App
恒丰银行手机银行App
廊坊银行手机银行App
民生银行手机银行App
浦发银行手机银行App
上海农商银行手机银行App
苏州银行手机银行App
天津银行手机银行App
厦门国际银行手机银行App
兴业银行手机银行App
营口银行手机银行App
裕民银行手机银行App
张家港农商银行手机银行App
备注:以上排名不分先后,按首字拼音顺序排序,首字拼音相同按次字拼音顺序排序,以此类推。
典型案例
优秀案例
1、个人金融信息主体的权利和实现机制,如访问方法、更正方法、删除方法、注销账户的方法、撤回同意的方法、获取个人金融信息副本的方法、约束信息系统自动决策的方法等。
测评依据
《GB/T35273-2020信息安全技术 个人信息安全规范》:
对个人信息控制者的要求包括:
5)个人信息主体的权利和实现机制,如查询方法、更正方法、删除方法、注 销账户的方法、撤回授权同意的方法、获取个人信息副本的方法、对信息 系统自动决策结果进行投诉的方法等;
案例展示
图:优秀案例1-1
该隐私政策中个人信息主体的权利和实现机制描述完整,包含了访问方法、更正方法、删除方法、注销账户的方法、撤回授权同意的方法,并将访问和更正单独描述,其中每一项权利都详细描述了所有可能的操作步骤;并且增强要求“获取个人信息副本的方法和约束信息系统自动决策”也进行了说明,在“删除您的个人信息”中直接增加了客服热线,针对无法直接在App操作的权利变更,可以通过客服热线解决。
图:优秀案例1-2
该隐私政策中个人信息主体的权利和实现机制描述完整,包含了访问方法、更正方法、删除方法、注销账户的方法、撤回授权同意的方法,方法中均说明了具体的操作步骤,并且增强要求“获取个人信息副本的方法和约束信息系统自动决策”也进行了说明,在“响应您的上述请求”中也明确了客服热线信息,对于一些无法在App上直接操作的用户权利变更可以通过客服热线处理。
图:优秀案例1-3
该隐私政策中个人信息主体的权利和实现机制描述完整,包含了访问方法、更正方法、删除方法、注销账户的方法、撤回授权同意的方法,方法中说明了具体的操作步骤,并且增强要求“获取个人信息副本的方法”也进行了说明,在“删除您的个人信息”中也明确了可以通过“如何联系我们”获取联系方式,对于一些无法在App上直接操作的用户权利变更可以通过客服热线处理。
建议
针对这一项,我们建议开发者:
·明确列出用户在个人金融信息方面的权利,如访问、更正、删除、注销账户、撤回同意、获取信息副本等。
·提供具体、易于操作的实现机制,确保用户能够轻松行使这些权利。
·定期更新隐私政策,确保其内容与最 新的法律法规和用户需求保持一致。
·加强与用户的沟通,解释这些权利的重要性和实现方式,增强用户的安全感和信任感。
2、个人信息保护政策中用户权利实现机制的人工处理的承诺时限。
测评依据
《App违法违规收集使用个人信息行为认定方法》:
6.3虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理
图:优秀案例2-1
图:优秀案例2-2
图:优秀案例2-3
以上案例的隐私政策中在“响应用户请求”描述中均详细描述了响应期限,最长15个工作日,更短的还有15天内即完成核查和处理。
建议
针对这一项,我们建议开发者:
·明确承诺人工处理的时限,并在隐私政策中详细说明。
·确保所有用户请求在承诺时限内得到响应和处理,避免超过15个工作日的限制。
·提供清晰的受理和核查流程,确保用户能够轻松了解和跟踪他们的请求状态。
·加强与用户的沟通,解释这些权利的重要性和实现方式,增强用户的安全感和信任感。
风险案例
1、处理个人金融信息主体询问、投诉的渠道和机制,以及外部纠纷解决机构及联络方式
测评依据
JR/T0171-2020《个人金融信息保护技术规范》:
7.1.1-c)收集个人金融信息前,应向个人金融信息主体明确告知金融产品或服务需收集的个人金融信息类别,以及收集、使用个人金融信息的规则(如:收集和使用个人金融信息的目的、收集方式、自身的数据安全能力、对外共享、转让、公开披露的规则、投诉与申诉的渠道及响应时限等),并获得个人金融信息主体的明示同意;
《GBT35273-2020个人信息安全规范》:
5.5-a)-8)处理个人金融信息主体询问、投诉的渠道和机制,以及外部纠纷解决机构及联络方式。
案例展示
图:风险案例1-1
图:风险案例1-2
图:风险案例1-3
以上三个案例的情况均为未向用户告知外部纠纷解决机构,仅说明了客户可向App运营者提起疑问意见或建议,未说明客户对App运营者处理结果不满时的额外处理方案。
建议
针对这一项,我们建议:
·建立投诉管理机制和投诉跟踪流程,确保所有用户的投诉举报都可以得到处理;
·提供清晰的受理和核查流程,确保用户能够轻松了解和跟踪他们的请求状态;
·加强与用户的沟通,向用户提供多种投诉举报方式,增强用户的安全感和信任感。
2、个人信息保护政策中是否提供投诉、举报方法、途径,是否在15个工作日内受理并处理
测评依据
GBT35273-2020《信息安全技术个人信息安全规范》:
8.8个人信息控制者应建立投诉管理机制和投诉跟踪流程,并在合理的时间内对投诉进行响应。
《App违法违规收集使用个人信息行为认定方法》:
6.5未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理的。
JR/T0171-2020《个人金融信息保护技术规范》:
7.1.1-c)收集个人金融信息前,应向个人金融信息主体明确告知金融产品或服务需收集的个人金融信息类别,以及收集、使用个人金融信息的规则(如:收集和使用个人金融信息的目的、收集方式、自身的数据安全能力、对外共享、转让、公开披露的规则、投诉与申诉的渠道及响应时限等),并获得个人金融信息主体的明示同意。
工信部信管函〔2023〕26号《工业和信息化部关于进一步提升移动互联网应用服务能力的通知》:
12.妥善处理用户投诉。公布有效联系方式,接受用户投诉。按照规范要求答复互联网信息服务投诉平台上的投诉,确保15日内处理完成,提高投诉处理满意率。鼓励在App中设置用户满意度测评链接,引导用户参与测评。
案例展示
图:风险案例2-1
图:风险案例2-2
图:风险案例2-3
以上三个案例的情况皆为仅说明了客户可向App运营者提起疑问意见或建议,并且App运营者会在规定时限内回复用户,但未说明此时限内会进行处理或处理完成。
建议
针对这一项,我们建议:
·明确个人信息控制者应建立投诉管理机制和投诉跟踪流程确保所有用户的投诉举报在承诺时限内得到处理,避免超过15个工作日的限制;
·明确承诺针对用户投诉举报进行人工处理的时限,并在个人信息保护政策中详细说明;
·提供清晰的受理和核查流程,确保用户能够轻松了解和跟踪他们的请求状态。
(推广)