來源：零壹財經(jīng)

作者：羅茵茹

后臺回復(fù)“隱私報告”獲取報告全文。

摘要

大數(shù)據(jù)產(chǎn)業(yè)高速發(fā)展，數(shù)字經(jīng)濟(jì)在大幅提升效率的同時，用戶隱私也屢受侵犯。監(jiān)管機(jī)構(gòu)、企業(yè)、個人對隱私保護(hù)的關(guān)注度正逐步抬升，相關(guān)立法也在緊鑼密鼓地推進(jìn)。

2018年5月1日，《信息安全技術(shù)個人信息安全規(guī)范》（以下簡稱《信息安全規(guī)范》）正式實施。作為推薦性國家標(biāo)準(zhǔn)，盡管不具備法律效力和強(qiáng)制約束力，但《信息安全規(guī)范》明確了個人信息的收集、保存、使用、共享的合規(guī)要求，為網(wǎng)絡(luò)運營者制定隱私政策及完善內(nèi)控提供了重要指引。針對個人信息保護(hù)的專門立法也已列入十三屆全國人大常委會立法規(guī)劃，相關(guān)部門正在研究和起草。

隨著移動互聯(lián)網(wǎng)的崛起和智能手機(jī)的普及，國內(nèi)手機(jī)網(wǎng)民規(guī)?？焖倥噬?018年底的8.17億人，占全部網(wǎng)民的比重高達(dá)98.55%，手機(jī)銀行用戶數(shù)也攀升至2018年6月底的3.82億人。作為與上億用戶直接交互的終端工具，手機(jī)銀行接觸到了更多的個人敏感信息，更易成為泄露個人信息、侵犯用戶隱私的“溫床”。

本報告根據(jù)《信息安全規(guī)范》中的相關(guān)規(guī)定，基于10余個維度，對市面上44款手機(jī)銀行在App Store或注冊頁面兩個渠道發(fā)布的隱私政策進(jìn)行測評，包括國有商業(yè)銀行（6家）、股份制商業(yè)銀行（12家）、A股或H股上市城商行、農(nóng)商行（26家）。

測評結(jié)果顯示，國有銀行App制定的隱私政策最為符合相關(guān)規(guī)定，平均得分最高，其次為股份制商業(yè)銀行，城商行、農(nóng)商行則相對得分較低。同時，在用戶注銷賬戶后對個人信息的處理方式、發(fā)生個人信息安全事件后銀行應(yīng)承擔(dān)的法律責(zé)任等方面，44款手機(jī)銀行得分均較低，這也表明當(dāng)前國內(nèi)大中型商業(yè)銀行在個人信息保護(hù)方面依然有較大的改進(jìn)空間。

一、測評背景

（一）手機(jī)銀行發(fā)展現(xiàn)狀

移動互聯(lián)網(wǎng)時代的到來，讓網(wǎng)絡(luò)觸手可及，尤其隨著智能手機(jī)的普及，我國網(wǎng)民規(guī)模、手機(jī)網(wǎng)民規(guī)模迅速攀升。

據(jù)Wind統(tǒng)計，我國網(wǎng)民規(guī)模從2008年底的2.98億元增長至2018年底的8.29億元，10年間網(wǎng)民規(guī)模年均復(fù)合增長率為10.77%。手機(jī)網(wǎng)民規(guī)模也由2008年底的1.18億人，增長至2018年底的8.17億人，10年間年均復(fù)合增長率為21.35%。

另一方面，零售業(yè)務(wù)成為銀行轉(zhuǎn)型重要方向，各大商業(yè)銀行紛紛下重兵布局零售業(yè)務(wù)，手機(jī)銀行成為零售銀行客戶服務(wù)主渠道之一，手機(jī)銀行用戶數(shù)也快速攀升。

根據(jù)Wind統(tǒng)計數(shù)據(jù)，我國手機(jī)銀行用戶數(shù)由2014年6月的1.83億人迅速增加至2018年6月的3.82億人，4年間手機(jī)銀行用戶總?cè)藬?shù)的年均復(fù)合增長率為20.2%。

手機(jī)銀行與上億用戶在終端直接交互，涉及大量個人財產(chǎn)信息、身份信息等敏感信息，它們?nèi)绾潍@取、使用、保存、轉(zhuǎn)讓用戶個人信息受到越來越多的關(guān)注，其制定的隱私政策也成為關(guān)注的焦點。

（二）個人信息保護(hù)相關(guān)法律法規(guī)

近年來，在個人信息保護(hù)方面，國內(nèi)已陸續(xù)出臺相關(guān)法律法規(guī)以及規(guī)范性文件，但總體呈現(xiàn)分散立法狀態(tài)、法律效力也各有不同，包括《刑法》、《民法總則》、《消費者權(quán)益保護(hù)法》、《網(wǎng)絡(luò)安全法》、《電子商務(wù)法》等，以及推薦性國家標(biāo)準(zhǔn)《信息安全技術(shù)個人信息安全規(guī)范》等，司法解釋層面則有最高人民法院與最高人民檢察院聯(lián)合發(fā)布的《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》。針對個人信息保護(hù)的專門立法則已列入十三屆全國人大常委會立法規(guī)劃，相關(guān)部門正在抓緊研究和起草。

以下為我們整理的個人信息保護(hù)相關(guān)政策主要內(nèi)容。

資料來源：公開信息，零壹智庫

從實踐性和可操作性來看，《信息安全規(guī)范》在個人信息的收集、保存、使用、委托處理、共享、轉(zhuǎn)讓、公開披露，以及個人信息安全事件處置、組織管理要求等方面做出了相應(yīng)的規(guī)范和指導(dǎo)，具有較強(qiáng)的指導(dǎo)性。

按照《信息安全規(guī)范》相關(guān)定義，個人信息指的是以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、出生日期、身份證件號碼等。

表1-2：個人信息列舉

資料來源：《信息安全技術(shù)個人信息安全規(guī)范》，零壹智庫

而個人敏感信息指的是一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全，極易導(dǎo)致個人名譽(yù)、身心健康受到損害或歧視性待遇等的個人信息，包括身份證件號碼、個人生物識別信息、銀行賬號等。

《信息安全規(guī)范》指出，個人信息控制者應(yīng)制定隱私政策，內(nèi)容應(yīng)包括但不限于個人信息收集方式、目的，對外共享、轉(zhuǎn)讓、公開披露個人信息的目的、涉及的個人信息類型，個人信息主體注銷賬戶的方法、撤回同意的方法等。

《信息安全規(guī)范》還給出了隱私政策模板和相關(guān)編寫要求。

二、測評標(biāo)準(zhǔn)與樣本選擇

本測評報告以《信息安全規(guī)范》相關(guān)規(guī)定為基準(zhǔn)，報告選取了11個維度，對市面上44款手機(jī)銀行在App Store或注冊頁面兩個渠道發(fā)布的隱私政策進(jìn)行測評，包括國有商業(yè)銀行（6家）、股份制商業(yè)銀行（12家）、A股或H股上市城商行、農(nóng)商行（26家）。

該評測標(biāo)準(zhǔn)僅代表第三方機(jī)構(gòu)提出的合規(guī)化建議

三、測評結(jié)果

（一）總體情況

從上述兩個渠道來看，國有銀行更為重視隱私政策的設(shè)立，有5家均設(shè)立了獨立的隱私政策，占比高達(dá)83%；有13家城商行、農(nóng)商行也設(shè)立了獨立隱私政策，占比為50%；股份制銀行則比重相對較低，僅有4家設(shè)立了獨立隱私政策，占比僅為33%。

具體來看，盡管蘋果公司要求去年10月3日起所有新應(yīng)用和應(yīng)用更新版本時都需提供隱私政策，但測評結(jié)果發(fā)現(xiàn)，僅有50%在APP Store中提供可訪問的隱私政策，或者手機(jī)銀行中設(shè)有獨立的隱私政策。而32%的隱私政策鏈接為電子銀行客戶服務(wù)協(xié)議等，服務(wù)協(xié)議雖也涉及部分個人信息內(nèi)容，但仍不符合《信息安全規(guī)范》中的模板要求。此外，9%的隱私政策鏈接為銀行官網(wǎng)，如吳州銀行、錦州銀行等；9%的鏈接無法打開，如廣發(fā)銀行、渤海銀行等，所謂的隱私政策形同虛設(shè)。

基于上述11個維度的測評標(biāo)準(zhǔn)，若符合標(biāo)準(zhǔn)則得1分，不符合則不得分，11分為滿分，結(jié)果顯示，國有銀行App發(fā)布的隱私政策得分最高，平均得分為6.49分；其次為股份制銀行，平均得分為5.39分；城商行、農(nóng)商行平均得分最低，僅為2.53分。

（二）隱私條款細(xì)節(jié)分析

1. 告知和明示同意

關(guān)于基本業(yè)務(wù)功能的告知和明示同意的實現(xiàn)方法，《信息安全規(guī)范》規(guī)定：在基本業(yè)務(wù)功能開啟前（如個人信息主體初始安裝、首次使用、注冊賬號等），應(yīng)通過交互界面或設(shè)計（如彈窗、文字說明、填寫框、提示條、提示音等形式），向個人信息主體告知基本業(yè)務(wù)功能所必要收集的個人信息類型，以及個人信息主體拒絕提供或拒絕同意收集將帶來的影響，并通過個人信息主體對信息收集主動做出肯定性動作（如勾選、點擊“同意”或“下一步”等）征得其明示同意。

不過，從圖7可以看出，雖然《信息規(guī)范》對于隱私政策的明示告知形式有明確的建議，但測評樣本中僅有27%使用了彈窗或在注冊頁面明確告知用戶，73%的隱私政策在手機(jī)銀行的“設(shè)置”、“關(guān)于我們”等較為隱蔽的位置，甚至無法找到。

2. 個人信息收集與使用目的

關(guān)于用戶個人信息的收集與使用，《信息安全規(guī)范》規(guī)定：詳細(xì)列舉收集和使用個人信息的目的，不得使用概括性語言。

從圖9可以看出，59%的銀行隱私政策在用戶個人信息收集與使用方面符合《信息安全規(guī)范》的要求，但仍有41%由于發(fā)布時間較早等原因，關(guān)于個人信息的收集與使用目的均用了概括性語言。從圖10可看出，隱私政策使用概括性語言的手機(jī)銀行主要集中于城商行、農(nóng)商行。

3.用戶權(quán)利說明

關(guān)于用戶對其個人信息可行使的權(quán)利，《信息安全規(guī)范》如下：隱私政策要說明用戶對其個人信息擁有何種權(quán)利，內(nèi)容包括但不限于：信息收集、使用和公開披露時允許用戶選擇的個人信息范圍，用戶所具備的訪問、更正、刪除、獲取等控制權(quán)限，用戶隱私偏好設(shè)置，用戶可以選擇的通信和廣告偏好，用戶不再使用服務(wù)后撤回同意和注銷賬號的渠道、用戶進(jìn)行維權(quán)的有效渠道等。

從圖11和圖12可以看出，近六成手機(jī)銀行的隱私政策在“用戶訪問與更正個人信息說明”方面不符合《信息安全規(guī)范》要求，主要集中于城商行、農(nóng)商行，其中77%的城商行、農(nóng)商行所發(fā)布的隱私政策并未提及“用戶訪問與更正個人信息說明”。

在“用戶申請刪除個人信息說明”這一項上，明確提及的手機(jī)銀行僅占了27%，73%的銀行在隱私政策中并未提及。其中，75%的股份制銀行，85%的城商行、農(nóng)商行并未提及用戶在什么情況下可以申請刪除個人信息。

此外，當(dāng)用戶注銷賬戶后，《信息安全規(guī)范》規(guī)定個人信息控制者（銀行）應(yīng)提供用戶簡便易操作的注銷賬戶方法，并及時刪除用戶個人信息或做匿名化處理。但測評結(jié)果發(fā)現(xiàn)，不足10%的銀行在隱私政策中明確提及將對用戶的個人信息進(jìn)行刪除或匿名處理；82%的銀行在隱私政策中并未提及用戶注銷后個人信息的處理辦法；9%的銀行提及用戶注銷賬戶后將對用戶信息進(jìn)行其他處理，如中信銀行表示，用戶注銷賬戶時，視為用戶撤回同意，但并不影響銀行基于用戶撤回同意前的個人信息處理。相比其他銀行，用戶注銷賬戶即可刪除個人信息，但中信銀行則指出用戶若想刪除個人信息需注銷賬號后申請刪除才可實現(xiàn)。

4. 用戶信息安全保護(hù)

當(dāng)發(fā)生個人信息安全事件后，《信息安全規(guī)范》規(guī)定，應(yīng)表明在發(fā)生個人信息安全事件后，個人信息控制者將承擔(dān)法律責(zé)任。應(yīng)表明在發(fā)生個人信息安全事件后，將及時告知個人信息主體。

但測評結(jié)果發(fā)現(xiàn)，44款手機(jī)銀行的隱私政策中，僅有工商銀行和中信銀行明確提及發(fā)生信息安全事故后承擔(dān)法律責(zé)任。

此外，《信息安全規(guī)范》指出，應(yīng)標(biāo)明在發(fā)生個人信息安全事件后，將及時告知個人信息主體。但我們的測評結(jié)果顯示，僅有41%的手機(jī)銀行明確提及將“及時通知”，59%未提及。

5. 用戶投訴或反饋

關(guān)于用戶的投訴或反饋，《信息安全規(guī)范》規(guī)定：個人信息控制者需要明確給出處理個人信息安全問題相關(guān)反饋、投訴的渠道，如個人信息安全責(zé)任部門的聯(lián)系方式、地址、電子郵箱、用戶反饋問題的表單等，并明確用戶可以收到回應(yīng)的時間。

統(tǒng)計發(fā)現(xiàn)，44款手機(jī)銀行并未提及為用戶提供反饋問題表單，一般只會提供聯(lián)系方式（如客服電話、郵箱等），僅有工商銀行隱私政策中明確提及用戶可以收到回應(yīng)的時間。

四、測評小結(jié)

作為一種基本人格權(quán)利，隱私權(quán)是指公民享有的私人生活安寧與私人信息依法受到保護(hù)，不被他人非法侵?jǐn)_、知悉、搜集、利用和公開等的一種人格權(quán)。從全球范圍看，隱私權(quán)的保護(hù)歷史只有100多年，而中國歷史上缺乏保護(hù)隱私的傳統(tǒng)，直到上世紀(jì)80年代，隱私才被最高人民法院的司法解釋所保護(hù)。隨著近年來大數(shù)據(jù)產(chǎn)業(yè)迅猛發(fā)展，企業(yè)大量收集和使用個人信息，對用戶隱私的保護(hù)才受到大眾越來越多的關(guān)注。

本報告測評樣本覆蓋了目前市場上多數(shù)大中型商業(yè)銀行，我們也欣喜地看到，商業(yè)銀行在制定隱私政策方面有了長足進(jìn)步，多數(shù)銀行均制定了獨立的隱私政策，對用戶個人信息的保護(hù)意識逐步提升，尤其是體量巨大的國有商業(yè)銀行，在本次測評中平均得分最高，全國性股份制商業(yè)銀行則位列其次。

不過，我們也看到，大多數(shù)手機(jī)銀行在某些細(xì)節(jié)條款中依然存在不符合相關(guān)規(guī)范的現(xiàn)象，甚至有些手機(jī)銀行的隱私政策鏈接顯示為銀行官網(wǎng)或者無法打開，所謂的隱私政策形同虛設(shè)，這也表明當(dāng)前國內(nèi)商業(yè)銀行在個人信息保護(hù)方面依然有較大的提升空間。我們相信，隨著監(jiān)管機(jī)構(gòu)、企業(yè)、個人對隱私保護(hù)的重視程度逐漸增強(qiáng)，一個個人信息與用戶隱私全面受保護(hù)的時代即將來臨，當(dāng)然，這也必然是任重而道遠(yuǎn)的，讓我們一起努力。

-/ END /--

零壹財經(jīng)精彩活動

了解最新資訊請點擊文末“閱讀原文”

推薦閱讀：天秀時尚網(wǎng)