你的信息在银行就安全了?44款手机银行隐私政策测评报告!
来源:零壹财经
作者:罗茵茹
后台回复“隐私报告”获取报告全文。
摘要
大数据产业高速发展,数字经济在大幅提升效率的同时,用户隐私也屡受侵犯。监管机构、企业、个人对隐私保护的关注度正逐步抬升,相关立法也在紧锣密鼓地推进。
2018年5月1日,《信息安全技术个人信息安全规范》(以下简称《信息安全规范》)正式实施。作为推荐性国家标准,尽管不具备法律效力和强制约束力,但《信息安全规范》明确了个人信息的收集、保存、使用、共享的合规要求,为网络运营者制定隐私政策及完善内控提供了重要指引。针对个人信息保护的专门立法也已列入十三届全国人大常委会立法规划,相关部门正在研究和起草。
随着移动互联网的崛起和智能手机的普及,国内手机网民规模快速攀升至2018年底的8.17亿人,占全部网民的比重高达98.55%,手机银行用户数也攀升至2018年6月底的3.82亿人。作为与上亿用户直接交互的终端工具,手机银行接触到了更多的个人敏感信息,更易成为泄露个人信息、侵犯用户隐私的“温床”。
本报告根据《信息安全规范》中的相关规定,基于10余个维度,对市面上44款手机银行在App Store或注册页面两个渠道发布的隐私政策进行测评,包括国有商业银行(6家)、股份制商业银行(12家)、A股或H股上市城商行、农商行(26家)。
测评结果显示,国有银行App制定的隐私政策最为符合相关规定,平均得分最高,其次为股份制商业银行,城商行、农商行则相对得分较低。同时,在用户注销账户后对个人信息的处理方式、发生个人信息安全事件后银行应承担的法律责任等方面,44款手机银行得分均较低,这也表明当前国内大中型商业银行在个人信息保护方面依然有较大的改进空间。
一、测评背景
(一)手机银行发展现状
移动互联网时代的到来,让网络触手可及,尤其随着智能手机的普及,我国网民规模、手机网民规模迅速攀升。
据Wind统计,我国网民规模从2008年底的2.98亿元增长至2018年底的8.29亿元,10年间网民规模年均复合增长率为10.77%。手机网民规模也由2008年底的1.18亿人,增长至2018年底的8.17亿人,10年间年均复合增长率为21.35%。
另一方面,零售业务成为银行转型重要方向,各大商业银行纷纷下重兵布局零售业务,手机银行成为零售银行客户服务主渠道之一,手机银行用户数也快速攀升。
根据Wind统计数据,我国手机银行用户数由2014年6月的1.83亿人迅速增加至2018年6月的3.82亿人,4年间手机银行用户总人数的年均复合增长率为20.2%。
手机银行与上亿用户在终端直接交互,涉及大量个人财产信息、身份信息等敏感信息,它们如何获取、使用、保存、转让用户个人信息受到越来越多的关注,其制定的隐私政策也成为关注的焦点。
(二)个人信息保护相关法律法规
近年来,在个人信息保护方面,国内已陆续出台相关法律法规以及规范性文件,但总体呈现分散立法状态、法律效力也各有不同,包括《刑法》、《民法总则》、《消费者权益保护法》、《网络安全法》、《电子商务法》等,以及推荐性国家标准《信息安全技术个人信息安全规范》等,司法解释层面则有最高人民法院与最高人民检察院联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。针对个人信息保护的专门立法则已列入十三届全国人大常委会立法规划,相关部门正在抓紧研究和起草。
以下为我们整理的个人信息保护相关政策主要内容。
资料来源:公开信息,零壹智库
从实践性和可操作性来看,《信息安全规范》在个人信息的收集、保存、使用、委托处理、共享、转让、公开披露,以及个人信息安全事件处置、组织管理要求等方面做出了相应的规范和指导,具有较强的指导性。
按照《信息安全规范》相关定义,个人信息指的是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、出生日期、身份证件号码等。
表1-2:个人信息列举
资料来源:《信息安全技术个人信息安全规范》,零壹智库
而个人敏感信息指的是一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息,包括身份证件号码、个人生物识别信息、银行账号等。
《信息安全规范》指出,个人信息控制者应制定隐私政策,内容应包括但不限于个人信息收集方式、目的,对外共享、转让、公开披露个人信息的目的、涉及的个人信息类型,个人信息主体注销账户的方法、撤回同意的方法等。
《信息安全规范》还给出了隐私政策模板和相关编写要求。
二、测评标准与样本选择
本测评报告以《信息安全规范》相关规定为基准,报告选取了11个维度,对市面上44款手机银行在App Store或注册页面两个渠道发布的隐私政策进行测评,包括国有商业银行(6家)、股份制商业银行(12家)、A股或H股上市城商行、农商行(26家)。
该评测标准仅代表第三方机构提出的合规化建议
三、测评结果
(一)总体情况
从上述两个渠道来看,国有银行更为重视隐私政策的设立,有5家均设立了独立的隐私政策,占比高达83%;有13家城商行、农商行也设立了独立隐私政策,占比为50%;股份制银行则比重相对较低,仅有4家设立了独立隐私政策,占比仅为33%。
具体来看,尽管苹果公司要求去年10月3日起所有新应用和应用更新版本时都需提供隐私政策,但测评结果发现,仅有50%在APP Store中提供可访问的隐私政策,或者手机银行中设有独立的隐私政策。而32%的隐私政策链接为电子银行客户服务协议等,服务协议虽也涉及部分个人信息内容,但仍不符合《信息安全规范》中的模板要求。此外,9%的隐私政策链接为银行官网,如吴州银行、锦州银行等;9%的链接无法打开,如广发银行、渤海银行等,所谓的隐私政策形同虚设。
基于上述11个维度的测评标准,若符合标准则得1分,不符合则不得分,11分为满分,结果显示,国有银行App发布的隐私政策得分最高,平均得分为6.49分;其次为股份制银行,平均得分为5.39分;城商行、农商行平均得分最低,仅为2.53分。
(二)隐私条款细节分析
1. 告知和明示同意
关于基本业务功能的告知和明示同意的实现方法,《信息安全规范》规定:在基本业务功能开启前(如个人信息主体初始安装、首次使用、注册账号等),应通过交互界面或设计(如弹窗、文字说明、填写框、提示条、提示音等形式),向个人信息主体告知基本业务功能所必要收集的个人信息类型,以及个人信息主体拒绝提供或拒绝同意收集将带来的影响,并通过个人信息主体对信息收集主动做出肯定性动作(如勾选、点击“同意”或“下一步”等)征得其明示同意。
不过,从图7可以看出,虽然《信息规范》对于隐私政策的明示告知形式有明确的建议,但测评样本中仅有27%使用了弹窗或在注册页面明确告知用户,73%的隐私政策在手机银行的“设置”、“关于我们”等较为隐蔽的位置,甚至无法找到。
2. 个人信息收集与使用目的
关于用户个人信息的收集与使用,《信息安全规范》规定:详细列举收集和使用个人信息的目的,不得使用概括性语言。
从图9可以看出,59%的银行隐私政策在用户个人信息收集与使用方面符合《信息安全规范》的要求,但仍有41%由于发布时间较早等原因,关于个人信息的收集与使用目的均用了概括性语言。从图10可看出,隐私政策使用概括性语言的手机银行主要集中于城商行、农商行。
3.用户权利说明
关于用户对其个人信息可行使的权利,《信息安全规范》如下:隐私政策要说明用户对其个人信息拥有何种权利,内容包括但不限于:信息收集、使用和公开披露时允许用户选择的个人信息范围,用户所具备的访问、更正、删除、获取等控制权限,用户隐私偏好设置,用户可以选择的通信和广告偏好,用户不再使用服务后撤回同意和注销账号的渠道、用户进行维权的有效渠道等。
从图11和图12可以看出,近六成手机银行的隐私政策在“用户访问与更正个人信息说明”方面不符合《信息安全规范》要求,主要集中于城商行、农商行,其中77%的城商行、农商行所发布的隐私政策并未提及“用户访问与更正个人信息说明”。
在“用户申请删除个人信息说明”这一项上,明确提及的手机银行仅占了27%,73%的银行在隐私政策中并未提及。其中,75%的股份制银行,85%的城商行、农商行并未提及用户在什么情况下可以申请删除个人信息。
此外,当用户注销账户后,《信息安全规范》规定个人信息控制者(银行)应提供用户简便易操作的注销账户方法,并及时删除用户个人信息或做匿名化处理。但测评结果发现,不足10%的银行在隐私政策中明确提及将对用户的个人信息进行删除或匿名处理;82%的银行在隐私政策中并未提及用户注销后个人信息的处理办法;9%的银行提及用户注销账户后将对用户信息进行其他处理,如中信银行表示,用户注销账户时,视为用户撤回同意,但并不影响银行基于用户撤回同意前的个人信息处理。相比其他银行,用户注销账户即可删除个人信息,但中信银行则指出用户若想删除个人信息需注销账号后申请删除才可实现。
4. 用户信息安全保护
当发生个人信息安全事件后,《信息安全规范》规定,应表明在发生个人信息安全事件后,个人信息控制者将承担法律责任。应表明在发生个人信息安全事件后,将及时告知个人信息主体。
但测评结果发现,44款手机银行的隐私政策中,仅有工商银行和中信银行明确提及发生信息安全事故后承担法律责任。
此外,《信息安全规范》指出,应标明在发生个人信息安全事件后,将及时告知个人信息主体。但我们的测评结果显示,仅有41%的手机银行明确提及将“及时通知”,59%未提及。
5. 用户投诉或反馈
关于用户的投诉或反馈,《信息安全规范》规定:个人信息控制者需要明确给出处理个人信息安全问题相关反馈、投诉的渠道,如个人信息安全责任部门的联系方式、地址、电子邮箱、用户反馈问题的表单等,并明确用户可以收到回应的时间。
统计发现,44款手机银行并未提及为用户提供反馈问题表单,一般只会提供联系方式(如客服电话、邮箱等),仅有工商银行隐私政策中明确提及用户可以收到回应的时间。
四、测评小结
作为一种基本人格权利,隐私权是指公民享有的私人生活安宁与私人信息依法受到保护,不被他人非法侵扰、知悉、搜集、利用和公开等的一种人格权。从全球范围看,隐私权的保护历史只有100多年,而中国历史上缺乏保护隐私的传统,直到上世纪80年代,隐私才被最高人民法院的司法解释所保护。随着近年来大数据产业迅猛发展,企业大量收集和使用个人信息,对用户隐私的保护才受到大众越来越多的关注。
本报告测评样本覆盖了目前市场上多数大中型商业银行,我们也欣喜地看到,商业银行在制定隐私政策方面有了长足进步,多数银行均制定了独立的隐私政策,对用户个人信息的保护意识逐步提升,尤其是体量巨大的国有商业银行,在本次测评中平均得分最高,全国性股份制商业银行则位列其次。
不过,我们也看到,大多数手机银行在某些细节条款中依然存在不符合相关规范的现象,甚至有些手机银行的隐私政策链接显示为银行官网或者无法打开,所谓的隐私政策形同虚设,这也表明当前国内商业银行在个人信息保护方面依然有较大的提升空间。我们相信,随着监管机构、企业、个人对隐私保护的重视程度逐渐增强,一个个人信息与用户隐私全面受保护的时代即将来临,当然,这也必然是任重而道远的,让我们一起努力。
-/ END /--
零壹财经精彩活动
了解最新资讯请点击文末“阅读原文”
推荐阅读:华夏商机网