近期，金融监管总局发布《关于加强银行业保险业移动互联网应用程序管理的通知》，从多方面加强消费者个人信息保护。明确指出，金融机构委托外包服务提供商建设维护移动应用的，应当严格落实信息科技外包风险监管要求，开展移动应用外包准入、监控评价和风险管理，按照“必需知道”和“最小授权”原则严格控制外包服务提供商数据访问权限，督促其加强数据安全管理，防范数据泄露。

个人隐私保护不容忽视。当下，金融服务类APP的隐私保护情况如何？侵犯隐私有什么具体表现？保护有什么难点？从法律层面看，对用户权益造成了什么损害？《中国银行保险报》记者对此进行了调查。

隐私协议中藏了什么？

2021年3月，国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、国家市场监督管理总局办公厅联合发布《常见类型移动互联网应用程序必要个人信息范围规定》（以下简称《规定》）划分投资理财、手机银行、网络借贷、网络支付四大服务APP类型，并明确指明了金融服务类APP中必要的用户个人信息。

记者通过下载并使用手机应用商城中下载量超5000万的30款金融服务类APP，梳理用户隐私协议，发现有以下三类特点及各自潜在的问题。

第一类为APP实际索取的个人信息远多于《规定》中要求的必要信息。

在隐私协议内，平台需要的信息远超于《规定》中要求的身份证号、姓名等信息。如网络借贷类APP中，除了证件信息外，用户需要同意向平台及第三方服务提供方提供人脸识别信息、月收入信息、居住城市和详细地址、紧急联系人信息、常用联系人信息等。

但记者随后使用发现，上述信息无论必需与非必需，都会在使用过程中被频繁提示需授予读取权限。人脸、指纹等个人生物信息在APP使用过程中，同样也被提示授予权限。

此外，位置权限、麦克风权限、相册权限以及通讯录权限均需提供给APP。

第二类为隐私协议内容模糊。在隐私协议中，存在使用目的模糊、表述笼统的情况。

一些APP在搜集信息时使用兜底条款，存在“包括但不限于”“例如”“为×××需要获得用户的其他信息”等扩大表述或笼统表述。这些表述不仅没有明确表示收集用户个人信息的目的、用途，也没有表明信息收集方的身份，更对收集个人信息的范围表述笼统。如归属于网络借贷类APP的隐私协议显示，该APP隐私协议适用于已经开发及将来不时开发的提供部分或全部服务功能的移动终端软件、小程序或H5页面等。

同时，多个金融服务类APP并未明确显示个人信息共享清单。此外，当隐私协议的内容发生变更时，部分APP没有标注协议更新的通知方式，用户无法及时得知内容是否有所更新。

第三类为APP进行信息共享的第三方公司数量、类型未完整列出。

与隐私协议如影随形的还有“同意第三方授权”。记者梳理发现，几乎所抽查的每款APP中需要共享信息的第三方数量在10余家左右。其中，大部分APP在隐私协议中点明了SDK和需授权的第三方的具体名单，但仍有部分APP对第三方名单不作公开，只说明第三方应用的类型。

综上所述，记者通过调查发现，出于自身业务的需要，金融服务类APP需要的用户隐私数量多、类型多且非常敏感，但在实际的信息保护中，结合监管通报，金融服务类APP个人信息保护仍有疏漏，亟须进一步重视用户个人信息保护问题。

妥善保护个人信息

清华大学五道口金融学院金融安全研究中心主任周道许指出，金融服务类APP个人信息保护的重要性体现在很多方面。一是保障用户权益，保护用户的隐私和个人信息安全，使用户能够放心地使用金融服务，避免个人信息泄露导致的骚扰、诈骗或其他不良后果。二是防止金融欺诈，减少因个人信息被盗用或滥用而导致的金融欺诈风险。保护好用户信息可以降低不法分子利用这些信息进行欺诈活动的可能性。三是保护数据价值，金融数据具有重要价值，妥善保护这些信息可以确保其准确性和完整性，以便金融机构能够有效地利用数据进行风险评估、产品创新等。

国浩律师事务所合伙人冯翠玺对记者表示，金融服务类APP一旦发生个人信息泄露，对于用户个人来说，轻则侵犯个人隐私，重则发生诈骗等给用户带来严重的经济损失，以及身份盗用后可能发生冒名办理贷款等经济损失和信用损失；对于金融机构来说，发生个人信息泄露会导致纠纷以及索赔，严重的会面临监管处罚，同时对金融机构的声誉造成严重危害，影响业务发展。

个人信息保护面临新挑战

事实上，随着近年来科技水平的不断提高，个人信息保护还面临着新的挑战。

周道许指出，一方面是隐私侵蚀。人工智能大模型技术能从数据中学习并识别个人行为模式，在没有妥善监管的情况下，这会带来侵犯个人隐私的潜在风险。另一方面是数据本源的偏见问题，如果训练数据本身存在偏见，人工智能系统可能会复制甚至放大这些偏见，从而对某些群体产生不公平的影响。

冯翠玺表示，云计算和大数据技术使得处理和分析大规模数据集变得更加容易和成本效益更高。这导致了更多的个人信息被收集和分析，增加了数据泄露和滥用的风险。同时，随着面部识别、声纹识别等生物识别技术的普及，更多的敏感个人信息被收集，可能引发安全问题和相关风险。

特别值得注意的是，2024年，“数据资产入表”正式施行，数据资源相关交易和事项可以进行会计确认、计量。这意味着数据产生价值已成为现实。但当数据可以资产化，可以被计量并产生实际价值时，个人信息保护出现了更多的挑战。

周道许认为，金融机构拥有庞大的用户个人信息，“数据资产入表”使得这些信息的商业价值倍增，对金融机构的信息管理提出了更高的合规要求。在数据资产化趋势下，金融机构应当在合规的框架内从“制度、技术和人”三方面加强数据的使用和保护。一是进一步完善相关法律法规；二是进一步加强技术伦理建设：在技术研发和应用过程中，加入伦理考量，确保技术设计和应用过程中能够充分考虑到伦理要素；三是进一步推动跨界合作：技术向善是一个需要多方协作的复杂问题，需要政产学研用多方协同增效，共同推动。

快速发展的技术、可被计量价值的数据、无处不在的生理信息识别等多种情况交织在一起，个人信息保护的前路并不平坦。而在法律层面，个人信息保护的“网”也并非严丝合缝。