來(lái)源：零壹財(cái)經(jīng)

作者：羅茵茹

后臺(tái)回復(fù)“隱私報(bào)告”獲取報(bào)告全文。

摘要

大數(shù)據(jù)產(chǎn)業(yè)高速發(fā)展，數(shù)字經(jīng)濟(jì)在大幅提升效率的同時(shí)，用戶隱私也屢受侵犯。監(jiān)管機(jī)構(gòu)、企業(yè)、個(gè)人對(duì)隱私保護(hù)的關(guān)注度正逐步抬升，相關(guān)立法也在緊鑼密鼓地推進(jìn)。

2018年5月1日，《信息安全技術(shù)個(gè)人信息安全規(guī)范》（以下簡(jiǎn)稱《信息安全規(guī)范》）正式實(shí)施。作為推薦性國(guó)家標(biāo)準(zhǔn)，盡管不具備法律效力和強(qiáng)制約束力，但《信息安全規(guī)范》明確了個(gè)人信息的收集、保存、使用、共享的合規(guī)要求，為網(wǎng)絡(luò)運(yùn)營(yíng)者制定隱私政策及完善內(nèi)控提供了重要指引。針對(duì)個(gè)人信息保護(hù)的專門(mén)立法也已列入十三屆全國(guó)人大常委會(huì)立法規(guī)劃，相關(guān)部門(mén)正在研究和起草。

隨著移動(dòng)互聯(lián)網(wǎng)的崛起和智能手機(jī)的普及，國(guó)內(nèi)手機(jī)網(wǎng)民規(guī)?？焖倥噬?018年底的8.17億人，占全部網(wǎng)民的比重高達(dá)98.55%，手機(jī)銀行用戶數(shù)也攀升至2018年6月底的3.82億人。作為與上億用戶直接交互的終端工具，手機(jī)銀行接觸到了更多的個(gè)人敏感信息，更易成為泄露個(gè)人信息、侵犯用戶隱私的“溫床”。

本報(bào)告根據(jù)《信息安全規(guī)范》中的相關(guān)規(guī)定，基于10余個(gè)維度，對(duì)市面上44款手機(jī)銀行在App Store或注冊(cè)頁(yè)面兩個(gè)渠道發(fā)布的隱私政策進(jìn)行測(cè)評(píng)，包括國(guó)有商業(yè)銀行（6家）、股份制商業(yè)銀行（12家）、A股或H股上市城商行、農(nóng)商行（26家）。

測(cè)評(píng)結(jié)果顯示，國(guó)有銀行App制定的隱私政策最為符合相關(guān)規(guī)定，平均得分最高，其次為股份制商業(yè)銀行，城商行、農(nóng)商行則相對(duì)得分較低。同時(shí)，在用戶注銷(xiāo)賬戶后對(duì)個(gè)人信息的處理方式、發(fā)生個(gè)人信息安全事件后銀行應(yīng)承擔(dān)的法律責(zé)任等方面，44款手機(jī)銀行得分均較低，這也表明當(dāng)前國(guó)內(nèi)大中型商業(yè)銀行在個(gè)人信息保護(hù)方面依然有較大的改進(jìn)空間。

一、測(cè)評(píng)背景

（一）手機(jī)銀行發(fā)展現(xiàn)狀

移動(dòng)互聯(lián)網(wǎng)時(shí)代的到來(lái)，讓網(wǎng)絡(luò)觸手可及，尤其隨著智能手機(jī)的普及，我國(guó)網(wǎng)民規(guī)模、手機(jī)網(wǎng)民規(guī)模迅速攀升。

據(jù)Wind統(tǒng)計(jì)，我國(guó)網(wǎng)民規(guī)模從2008年底的2.98億元增長(zhǎng)至2018年底的8.29億元，10年間網(wǎng)民規(guī)模年均復(fù)合增長(zhǎng)率為10.77%。手機(jī)網(wǎng)民規(guī)模也由2008年底的1.18億人，增長(zhǎng)至2018年底的8.17億人，10年間年均復(fù)合增長(zhǎng)率為21.35%。

另一方面，零售業(yè)務(wù)成為銀行轉(zhuǎn)型重要方向，各大商業(yè)銀行紛紛下重兵布局零售業(yè)務(wù)，手機(jī)銀行成為零售銀行客戶服務(wù)主渠道之一，手機(jī)銀行用戶數(shù)也快速攀升。

根據(jù)Wind統(tǒng)計(jì)數(shù)據(jù)，我國(guó)手機(jī)銀行用戶數(shù)由2014年6月的1.83億人迅速增加至2018年6月的3.82億人，4年間手機(jī)銀行用戶總?cè)藬?shù)的年均復(fù)合增長(zhǎng)率為20.2%。

手機(jī)銀行與上億用戶在終端直接交互，涉及大量個(gè)人財(cái)產(chǎn)信息、身份信息等敏感信息，它們?nèi)绾潍@取、使用、保存、轉(zhuǎn)讓用戶個(gè)人信息受到越來(lái)越多的關(guān)注，其制定的隱私政策也成為關(guān)注的焦點(diǎn)。

（二）個(gè)人信息保護(hù)相關(guān)法律法規(guī)

近年來(lái)，在個(gè)人信息保護(hù)方面，國(guó)內(nèi)已陸續(xù)出臺(tái)相關(guān)法律法規(guī)以及規(guī)范性文件，但總體呈現(xiàn)分散立法狀態(tài)、法律效力也各有不同，包括《刑法》、《民法總則》、《消費(fèi)者權(quán)益保護(hù)法》、《網(wǎng)絡(luò)安全法》、《電子商務(wù)法》等，以及推薦性國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)個(gè)人信息安全規(guī)范》等，司法解釋層面則有最高人民法院與最高人民檢察院聯(lián)合發(fā)布的《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》。針對(duì)個(gè)人信息保護(hù)的專門(mén)立法則已列入十三屆全國(guó)人大常委會(huì)立法規(guī)劃，相關(guān)部門(mén)正在抓緊研究和起草。

以下為我們整理的個(gè)人信息保護(hù)相關(guān)政策主要內(nèi)容。

資料來(lái)源：公開(kāi)信息，零壹智庫(kù)

從實(shí)踐性和可操作性來(lái)看，《信息安全規(guī)范》在個(gè)人信息的收集、保存、使用、委托處理、共享、轉(zhuǎn)讓、公開(kāi)披露，以及個(gè)人信息安全事件處置、組織管理要求等方面做出了相應(yīng)的規(guī)范和指導(dǎo)，具有較強(qiáng)的指導(dǎo)性。

按照《信息安全規(guī)范》相關(guān)定義，個(gè)人信息指的是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息，包括姓名、出生日期、身份證件號(hào)碼等。

表1-2：個(gè)人信息列舉

資料來(lái)源：《信息安全技術(shù)個(gè)人信息安全規(guī)范》，零壹智庫(kù)

而個(gè)人敏感信息指的是一旦泄露、非法提供或?yàn)E用可能危害人身和財(cái)產(chǎn)安全，極易導(dǎo)致個(gè)人名譽(yù)、身心健康受到損害或歧視性待遇等的個(gè)人信息，包括身份證件號(hào)碼、個(gè)人生物識(shí)別信息、銀行賬號(hào)等。

《信息安全規(guī)范》指出，個(gè)人信息控制者應(yīng)制定隱私政策，內(nèi)容應(yīng)包括但不限于個(gè)人信息收集方式、目的，對(duì)外共享、轉(zhuǎn)讓、公開(kāi)披露個(gè)人信息的目的、涉及的個(gè)人信息類型，個(gè)人信息主體注銷(xiāo)賬戶的方法、撤回同意的方法等。

《信息安全規(guī)范》還給出了隱私政策模板和相關(guān)編寫(xiě)要求。

二、測(cè)評(píng)標(biāo)準(zhǔn)與樣本選擇

本測(cè)評(píng)報(bào)告以《信息安全規(guī)范》相關(guān)規(guī)定為基準(zhǔn)，報(bào)告選取了11個(gè)維度，對(duì)市面上44款手機(jī)銀行在App Store或注冊(cè)頁(yè)面兩個(gè)渠道發(fā)布的隱私政策進(jìn)行測(cè)評(píng)，包括國(guó)有商業(yè)銀行（6家）、股份制商業(yè)銀行（12家）、A股或H股上市城商行、農(nóng)商行（26家）。

該評(píng)測(cè)標(biāo)準(zhǔn)僅代表第三方機(jī)構(gòu)提出的合規(guī)化建議

三、測(cè)評(píng)結(jié)果

（一）總體情況

從上述兩個(gè)渠道來(lái)看，國(guó)有銀行更為重視隱私政策的設(shè)立，有5家均設(shè)立了獨(dú)立的隱私政策，占比高達(dá)83%；有13家城商行、農(nóng)商行也設(shè)立了獨(dú)立隱私政策，占比為50%；股份制銀行則比重相對(duì)較低，僅有4家設(shè)立了獨(dú)立隱私政策，占比僅為33%。

具體來(lái)看，盡管蘋(píng)果公司要求去年10月3日起所有新應(yīng)用和應(yīng)用更新版本時(shí)都需提供隱私政策，但測(cè)評(píng)結(jié)果發(fā)現(xiàn)，僅有50%在APP Store中提供可訪問(wèn)的隱私政策，或者手機(jī)銀行中設(shè)有獨(dú)立的隱私政策。而32%的隱私政策鏈接為電子銀行客戶服務(wù)協(xié)議等，服務(wù)協(xié)議雖也涉及部分個(gè)人信息內(nèi)容，但仍不符合《信息安全規(guī)范》中的模板要求。此外，9%的隱私政策鏈接為銀行官網(wǎng)，如吳州銀行、錦州銀行等；9%的鏈接無(wú)法打開(kāi)，如廣發(fā)銀行、渤海銀行等，所謂的隱私政策形同虛設(shè)。

基于上述11個(gè)維度的測(cè)評(píng)標(biāo)準(zhǔn)，若符合標(biāo)準(zhǔn)則得1分，不符合則不得分，11分為滿分，結(jié)果顯示，國(guó)有銀行App發(fā)布的隱私政策得分最高，平均得分為6.49分；其次為股份制銀行，平均得分為5.39分；城商行、農(nóng)商行平均得分最低，僅為2.53分。

（二）隱私條款細(xì)節(jié)分析

1. 告知和明示同意

關(guān)于基本業(yè)務(wù)功能的告知和明示同意的實(shí)現(xiàn)方法，《信息安全規(guī)范》規(guī)定：在基本業(yè)務(wù)功能開(kāi)啟前（如個(gè)人信息主體初始安裝、首次使用、注冊(cè)賬號(hào)等），應(yīng)通過(guò)交互界面或設(shè)計(jì)（如彈窗、文字說(shuō)明、填寫(xiě)框、提示條、提示音等形式），向個(gè)人信息主體告知基本業(yè)務(wù)功能所必要收集的個(gè)人信息類型，以及個(gè)人信息主體拒絕提供或拒絕同意收集將帶來(lái)的影響，并通過(guò)個(gè)人信息主體對(duì)信息收集主動(dòng)做出肯定性動(dòng)作（如勾選、點(diǎn)擊“同意”或“下一步”等）征得其明示同意。

不過(guò)，從圖7可以看出，雖然《信息規(guī)范》對(duì)于隱私政策的明示告知形式有明確的建議，但測(cè)評(píng)樣本中僅有27%使用了彈窗或在注冊(cè)頁(yè)面明確告知用戶，73%的隱私政策在手機(jī)銀行的“設(shè)置”、“關(guān)于我們”等較為隱蔽的位置，甚至無(wú)法找到。

2. 個(gè)人信息收集與使用目的

關(guān)于用戶個(gè)人信息的收集與使用，《信息安全規(guī)范》規(guī)定：詳細(xì)列舉收集和使用個(gè)人信息的目的，不得使用概括性語(yǔ)言。

從圖9可以看出，59%的銀行隱私政策在用戶個(gè)人信息收集與使用方面符合《信息安全規(guī)范》的要求，但仍有41%由于發(fā)布時(shí)間較早等原因，關(guān)于個(gè)人信息的收集與使用目的均用了概括性語(yǔ)言。從圖10可看出，隱私政策使用概括性語(yǔ)言的手機(jī)銀行主要集中于城商行、農(nóng)商行。

3.用戶權(quán)利說(shuō)明

關(guān)于用戶對(duì)其個(gè)人信息可行使的權(quán)利，《信息安全規(guī)范》如下：隱私政策要說(shuō)明用戶對(duì)其個(gè)人信息擁有何種權(quán)利，內(nèi)容包括但不限于：信息收集、使用和公開(kāi)披露時(shí)允許用戶選擇的個(gè)人信息范圍，用戶所具備的訪問(wèn)、更正、刪除、獲取等控制權(quán)限，用戶隱私偏好設(shè)置，用戶可以選擇的通信和廣告偏好，用戶不再使用服務(wù)后撤回同意和注銷(xiāo)賬號(hào)的渠道、用戶進(jìn)行維權(quán)的有效渠道等。

從圖11和圖12可以看出，近六成手機(jī)銀行的隱私政策在“用戶訪問(wèn)與更正個(gè)人信息說(shuō)明”方面不符合《信息安全規(guī)范》要求，主要集中于城商行、農(nóng)商行，其中77%的城商行、農(nóng)商行所發(fā)布的隱私政策并未提及“用戶訪問(wèn)與更正個(gè)人信息說(shuō)明”。

在“用戶申請(qǐng)刪除個(gè)人信息說(shuō)明”這一項(xiàng)上，明確提及的手機(jī)銀行僅占了27%，73%的銀行在隱私政策中并未提及。其中，75%的股份制銀行，85%的城商行、農(nóng)商行并未提及用戶在什么情況下可以申請(qǐng)刪除個(gè)人信息。

此外，當(dāng)用戶注銷(xiāo)賬戶后，《信息安全規(guī)范》規(guī)定個(gè)人信息控制者（銀行）應(yīng)提供用戶簡(jiǎn)便易操作的注銷(xiāo)賬戶方法，并及時(shí)刪除用戶個(gè)人信息或做匿名化處理。但測(cè)評(píng)結(jié)果發(fā)現(xiàn)，不足10%的銀行在隱私政策中明確提及將對(duì)用戶的個(gè)人信息進(jìn)行刪除或匿名處理；82%的銀行在隱私政策中并未提及用戶注銷(xiāo)后個(gè)人信息的處理辦法；9%的銀行提及用戶注銷(xiāo)賬戶后將對(duì)用戶信息進(jìn)行其他處理，如中信銀行表示，用戶注銷(xiāo)賬戶時(shí)，視為用戶撤回同意，但并不影響銀行基于用戶撤回同意前的個(gè)人信息處理。相比其他銀行，用戶注銷(xiāo)賬戶即可刪除個(gè)人信息，但中信銀行則指出用戶若想刪除個(gè)人信息需注銷(xiāo)賬號(hào)后申請(qǐng)刪除才可實(shí)現(xiàn)。

4. 用戶信息安全保護(hù)

當(dāng)發(fā)生個(gè)人信息安全事件后，《信息安全規(guī)范》規(guī)定，應(yīng)表明在發(fā)生個(gè)人信息安全事件后，個(gè)人信息控制者將承擔(dān)法律責(zé)任。應(yīng)表明在發(fā)生個(gè)人信息安全事件后，將及時(shí)告知個(gè)人信息主體。

但測(cè)評(píng)結(jié)果發(fā)現(xiàn)，44款手機(jī)銀行的隱私政策中，僅有工商銀行和中信銀行明確提及發(fā)生信息安全事故后承擔(dān)法律責(zé)任。

此外，《信息安全規(guī)范》指出，應(yīng)標(biāo)明在發(fā)生個(gè)人信息安全事件后，將及時(shí)告知個(gè)人信息主體。但我們的測(cè)評(píng)結(jié)果顯示，僅有41%的手機(jī)銀行明確提及將“及時(shí)通知”，59%未提及。

5. 用戶投訴或反饋

關(guān)于用戶的投訴或反饋，《信息安全規(guī)范》規(guī)定：個(gè)人信息控制者需要明確給出處理個(gè)人信息安全問(wèn)題相關(guān)反饋、投訴的渠道，如個(gè)人信息安全責(zé)任部門(mén)的聯(lián)系方式、地址、電子郵箱、用戶反饋問(wèn)題的表單等，并明確用戶可以收到回應(yīng)的時(shí)間。

統(tǒng)計(jì)發(fā)現(xiàn)，44款手機(jī)銀行并未提及為用戶提供反饋問(wèn)題表單，一般只會(huì)提供聯(lián)系方式（如客服電話、郵箱等），僅有工商銀行隱私政策中明確提及用戶可以收到回應(yīng)的時(shí)間。

四、測(cè)評(píng)小結(jié)

作為一種基本人格權(quán)利，隱私權(quán)是指公民享有的私人生活安寧與私人信息依法受到保護(hù)，不被他人非法侵?jǐn)_、知悉、搜集、利用和公開(kāi)等的一種人格權(quán)。從全球范圍看，隱私權(quán)的保護(hù)歷史只有100多年，而中國(guó)歷史上缺乏保護(hù)隱私的傳統(tǒng)，直到上世紀(jì)80年代，隱私才被最高人民法院的司法解釋所保護(hù)。隨著近年來(lái)大數(shù)據(jù)產(chǎn)業(yè)迅猛發(fā)展，企業(yè)大量收集和使用個(gè)人信息，對(duì)用戶隱私的保護(hù)才受到大眾越來(lái)越多的關(guān)注。

本報(bào)告測(cè)評(píng)樣本覆蓋了目前市場(chǎng)上多數(shù)大中型商業(yè)銀行，我們也欣喜地看到，商業(yè)銀行在制定隱私政策方面有了長(zhǎng)足進(jìn)步，多數(shù)銀行均制定了獨(dú)立的隱私政策，對(duì)用戶個(gè)人信息的保護(hù)意識(shí)逐步提升，尤其是體量巨大的國(guó)有商業(yè)銀行，在本次測(cè)評(píng)中平均得分最高，全國(guó)性股份制商業(yè)銀行則位列其次。

不過(guò)，我們也看到，大多數(shù)手機(jī)銀行在某些細(xì)節(jié)條款中依然存在不符合相關(guān)規(guī)范的現(xiàn)象，甚至有些手機(jī)銀行的隱私政策鏈接顯示為銀行官網(wǎng)或者無(wú)法打開(kāi)，所謂的隱私政策形同虛設(shè)，這也表明當(dāng)前國(guó)內(nèi)商業(yè)銀行在個(gè)人信息保護(hù)方面依然有較大的提升空間。我們相信，隨著監(jiān)管機(jī)構(gòu)、企業(yè)、個(gè)人對(duì)隱私保護(hù)的重視程度逐漸增強(qiáng)，一個(gè)個(gè)人信息與用戶隱私全面受保護(hù)的時(shí)代即將來(lái)臨，當(dāng)然，這也必然是任重而道遠(yuǎn)的，讓我們一起努力。

-/ END /--

零壹財(cái)經(jīng)精彩活動(dòng)

了解最新資訊請(qǐng)點(diǎn)擊文末“閱讀原文”

推薦閱讀：天秀時(shí)尚網(wǎng)