記賬理財APP的個人信息合規挑戰

競天公誠律師事務所 馮堅堅 胡科 蔣昕妍

在移動互聯網時代，網購和手機支付的蓬勃發展也在潛移默化地影響著中國人的財富管理途徑。記賬理財APP在這樣的環境下應運而生，已經吸引了數千萬的用戶。市面上的記賬理財APP在功能上既可以幫助用戶記錄收支賬目，還可以進行投資理財，而用戶使用記賬理財APP服務的對價是提供自己的個人信息。與其他APP不同的是，記賬理財APP收集、使用的個人信息具有敏感性，由此產生的信息安全風險已經引起廣泛關注，記賬理財APP也面臨更為嚴峻的合規挑戰，本文將就此展開討論。

一、記賬理財APP為什麼面臨更嚴峻的合規挑戰

相較於其他APP，記賬理財APP面臨嚴峻合規挑戰主要是因為其收集、使用的數據大多屬於個人敏感信息。許多記賬理財APP除了支持傳統的用戶輸入收支、消費記錄的手動記賬功能外，還支持自動記賬，前提是用戶提供銀行卡卡號、網銀密碼等。有些APP還可以導入用戶的信用卡賬單，這需要用戶提供接收信用卡賬單的電子郵箱及其密碼，平台在獲得用戶的銀行賬號、電子郵箱及相應的密碼之後，將「模擬」或「模仿」用戶行為，登錄用戶的網銀及電子郵箱，抓取用戶的網銀信息與郵件內容，從而將用戶銀行卡內的資金變動情況和信用卡賬單導入到APP中。

將於2018年5月1日生效的（GB/T35273—2017）《信息安全技術 個人信息安全規範》（簡稱《個人信息安全規範》）定義個人敏感信息（personal sensitive information）為「一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等個人信息。」[1]銀行賬號、鑒別信息（口令）、存款信息（包括資金數量、支付收款記錄等）、交易和消費記錄、流水記錄等個人財產信息，系統賬號、郵箱地址及前述有關的密碼、口令等網路身份標識信息，個人電話號碼、通信記錄和內容等其他信息，均屬於《個人信息安全規範》明文列舉的個人敏感信息。[2]

這些數據資源價值頗高，其安全性可能受到多重威脅。從外部來講，龐大的地下數據產業（黑產）對個人信息垂涎欲滴，用戶信息資料庫極可能遭受黑客攻擊與入侵。從內部來講，「內鬼」難防，內部員工監守自盜的案例近年已有數起。一旦信息泄露，不法分子可能通過「撞庫」（黑客通過收集互聯網已泄露的用戶和密碼信息，生成對應的字典表，嘗試批量登陸其他網站後，得到一系列可以登錄的賬戶信息）等方式獲取用戶銀行卡支付密碼等金融信息和其他隱私信息，引發資金盜刷和電信詐騙風險，危害用戶財產安全，在極端情況下甚至危及用戶的人身安全。

因此，在《網路安全法》（簡稱《網安法》）、《消費者權益保護法》（簡稱《消法》）等對個人信息保護的規定基礎之上，《個人信息安全規範》特別針對個人敏感信息的保護提出嚴格要求，涉及個人信息的收集、使用、分享、風險防範與處理等諸多方面。記賬理財APP如果依照目前的運營模式，以收集用戶的個人信息為對價向用戶提供相應服務，就需要以審慎態度對待用戶的個人信息，符合高標準的合規要求，對於部分存在嚴重風險的業務應當停止運營。否則，有可能違反《網路安全法》、《消費者權益保護法》、《刑法》、《國家安全法》等法律法規的相關規定，引發與用戶、第三方之間的爭議，被監管機關處罰，甚至產生嚴重的刑事責任風險，承擔高昂的法律代價。

二、記賬理財APP面臨哪些合規挑戰

第一，在用戶同意方面，《網安法》要求收集個人信息時要經被收集者同意。[3]《個人信息安全規範》還要求收集個人敏感信息時應取得個人信息主體的「明示同意」，即數據主體需要通過書面聲明或者主動做出肯定性的行為以示同意；還應確保個人信息主體的明示同意是其在完全知情地基礎上自願給出的、具體的、清晰明確的願望表示。[4]現實中，記賬理財APP採用概括授權、默認勾選授權，以及徵求同意時未對個人信息的使用方式、用途進行充分說明和未對風險做必要提示的情況普遍存在，存在極大合規隱患。

第二，在信息使用方面，《網安法》和《消法》要求使用個人信息應遵循合法、正當、必要的原則，向被收集者明示使用信息的目的、方式和範圍，且使用信息不得違反法律法規的規定和雙方的約定。[5]《個人信息安全規範》則規定使用個人信息時不得超出與收集個人信息時所聲稱的目的具有直接或合理關係的範圍。[6] 現實中，記賬理財APP是否嚴格按照上述要求行事存在很大疑問，也沒有透明的機制供用戶了解和監督。

第三，在信息分享方面，《網路安全法》規定未經被收集者同意不得向他人提供個人信息。[7]《消費者權益保護法》規定不得泄露、出售或者非法向他人提供個人信息。[8]《個人信息安全規範》指出個人信息原則上不得共享、轉讓，如果確需共享、轉讓個人信息則需要符合一定條件。[9]記賬理財APP要滿足上述要求，必須對所有外部合作業務（包括同一集團體系下的不同獨立法人之間）進行仔細檢查，同時還要注意由於併購引發的信息分享問題。

第四，在信息安全方面，《網安法》、《消法》、《個人信息安全規範》均規定應當採取技術措施和其他必要措施確保信息安全，防止信息泄露、丟失，並且在安全事件發生或可能發生時立即採取補救措施，及時告知用戶並上報有關主管部門。[10]《個人信息安全規範》特別就個人敏感信息的傳輸和存儲提出應當採用加密等安全措施的要求。[11]由於記賬理財APP掌握的用戶個人敏感信息極為重要，包括大量的用戶財務信息、郵箱用戶名及密碼，所以也是黑產、黑客重點攻擊的對象。因此記賬理財APP不僅面臨極高的信息安全技術能力挑戰，在事前預防評估和制度建設、事中告知彙報和突發應對、事後整改和責任承擔機制上，還面臨巨大的合規挑戰。

第五，在用戶個人權益方面，《網路安全法》指出在一定條件下，用戶有權要求刪除其個人信息。[12]《個人信息安全規範》還要求平台應當保證撤回同意、註銷賬戶的權益並按規定處理用戶的個人信息。[13]目前部分記賬理財APP的格式條款含有用戶「不可撤銷地同意」APP採集、使用其個人信息等字眼，這很可能已經違反了上述合規要求。

最後，該領域現階段依然存在法律空白，許多問題仍在爭議中。其中最核心的問題是，平台是否可以在不告知銀行或者電郵服務提供商其已得到用戶授權的情況下，通過「模擬」或「模仿」用戶行為登錄用戶的網銀或者郵箱，直接抓取用戶的收支、轉賬記錄、銀行卡賬單等信息。在現實交易中，銀行為了防範金融詐騙、保護用戶財產安全往往要求用戶本人到櫃辦理業務，還要驗證用戶本人的身份證、採集人像、簽名等，如授權第三人代為辦理業務還需要提供合法有效的授權委託書、代理人身份證等，電子郵箱也會要求用戶通過手機、其他備用郵箱等方式進行身份驗證；然而在網路端，如果第三方擁有相應的密碼，銀行和電郵服務提供商甚至很難發覺登錄網路端的並非用戶本人。銀行和電郵服務提供商控制的、負擔保護責任的用戶信息被其他第三方大量掌握，而他們可能根本無從知曉這些外來風險的存在。然而，在法無明文規定的當下，銀行和電郵服務提供商對這類信息是否享有一定的權益、是否有義務或許可權限制用戶以外的第三方獲得這類信息、第三方是否可以在不告知銀行和電郵服務提供商、也不獲得他們同意的情況下直接獲取信息、這類行為該如何監管等問題，都尚未有定論。由於存在不確定性，記賬理財APP該如何處理這類合規問題，也十分棘手。

三、記賬理財APP該如何應對合規挑戰

1. 取得用戶明示、真實同意

以用戶一攬子簽署的隱私權條款或服務協議作為用戶明示同意的依據，或者預先替用戶勾選「同意」，而用戶並沒有主動勾選「同意」都很可能帶來合規風險。建議平台在服務協議之外，與用戶簽署內容清晰、具體的隱私權條款，涉及用戶個人敏感信息時再單獨向用戶徵得同意，且要求用戶主動做出肯定性動作。關於「用戶同意」的分析，可以參見本團隊之前發布的文章《個人信息安全之「用戶同意」淺析》 [14]。

2. 收集、使用信息遵守目的明確原則和最少夠用原則

事先明確告知用戶使用目的，嚴格控制處理範圍，不得以違背用戶原有意願的方式直接使用或與其他信息進行關聯分析。此外，應當只處理滿足用戶授權同意的目的所需的最少個人信息類型和數量。[15]

3. 控制共享、轉讓用戶個人信息

如果確需共享、轉讓個人信息，平台需要事先開展個人信息安全影響評估，並根據評估結果採取有效的保護措施，還應當向用戶告知共享、轉讓個人信息的目的、數據接收方的類型，並事先徵得同意。[16]僅在一攬子簽署的服務協議或隱私權條款中說明平台可能將收集的個人信息共享、轉讓給關聯公司和其他第三方，存在合規風險；建議在共享、轉讓時單獨向用戶說明並徵得授權同意。

4. 提高數據安全能力，做好安全事件處置

記賬理財APP應當根據有關國家標準的要求建立適當的數據安全能力，落實必要的管理措施和技術手段，防止個人信息的泄露、毀損、丟失。[17]除採取加密等安全措施，還要有個人信息訪問控制措施：對被授權訪問個人信息的內部數據操作人員，應按照最小授權的原則，使其只能訪問職責所需的最少夠用的個人信息，且僅具備完成職責所需的最少的數據操作許可權；對個人信息的批量修改、拷貝、下載等重要操作設置內部審批流程。[18]

針對信息安全事件，應當事先制定應急預案，定期組織相關人員進行應急響應培訓和應急演練。事件發生後按照指定的預案進行處置，包括記錄事件內容，評估事件可能造成的影響，並採取必要措施控制事態，消除隱患。還應當按照有關規定及時上報有關部門。[19]及時將安全事件情況以郵件、信函、電話、推送通知等方式告知受影響的用戶；難以逐一告知時，應採取合理、有效的方式發布警示信息。[20]

5. 保障用戶刪除信息、撤回同意、註銷賬戶等權利

向用戶提供刪除信息、撤回同意、註銷賬戶的方法，例如用戶可以在APP上直接操作或明確告知用戶聯絡客服處理的途徑。如用戶要求刪除信息，平台應當立即停止使用、收集、共享、轉讓、披露其個人信息，並及時刪除。用戶撤回同意後，平台後續不得再處理相應的個人信息。[21]在用戶賬戶註銷後刪除其個人信息或做匿名化處理。[22]

6. 保持合規謹慎態度，並推動行業監管法規發展

針對法律空白領域的合規問題，記賬理財APP一方面應當保持謹慎的態度，建議在取得第三方的明確授權或建立合作關係之後再向其索取用戶的個人信息。另一方面要推動行業監管法規的發展，提高確定性，使合規操作有法可依。

四、總結

上海銀監局、消費者權益保護委員會曾發出警示，多家銀行也向其客戶發出風險提示，提醒關註記賬理財APP可能存在的個人信息安全問題和相關風險。還有許多業內人士、專家發表觀點，認為用戶應當謹慎向這類APP提供個人信息。由此可見，未來市場很有可能會對使用記賬理財APP持更為小心的態度，監管力度也將加大。

面對這樣的挑戰，記賬理財APP平台和運營商更應當做好合規，贏得市場信任，為用戶提供方便又安全的優質服務。

[1] 《個人信息安全規範》第3.2條。

[2] 《個人信息安全規範》第3.2條注1、資料性附錄B。

[3] 《網路安全法》第41條第1 款。

[4] 《個人信息安全規範》第5.5條。

[5] 《網路安全法》第41條，《消費者權益保護法》第29條第1款。

[6] 《個人信息安全規範》第7.3條。

[7] 《網路安全法》第42條第1款。

[8] 《消費者權益保護法》第29條第2款

[9] 《個人信息安全規範》第8.2條。

[10] 《網路安全法》第42條第2款、第55條，《消費者權益保護法》第29條第2款，《個人信息安全規範》第9條。

[11] 《個人信息安全規範》第6.3（a）條。

[12] 《網路安全法》第43條。

[13] 《個人信息安全規範》第7.7、7.8條。

[14] https://zhuanlan.zhihu.com/p/34460031

[15] 《個人信息安全規範》第4（b）、（d）條。

[16] 《個人信息安全規範》第8.2條。

[17] 《個人信息安全規範》第4（f）、10.3條。

[18] 《個人信息安全規範》第7.1條。

[19] 《個人信息安全規範》第9.1條。

[20] 《個人信息安全規範》第9.2條。

[21] 《個人信息安全規範》第7.7條。

[22] 《個人信息安全規範》第7.8條。