环球快报:监控心率，兴业银行App被指涉嫌过度索权？此前曾涉隐私不合规

兴业银行App监测用户心率引发市场质疑。近日，上海市消保委在公号发布《这家银行的APP为啥要知道我的心率？》一文，将兴业银行推向风口浪尖。

上海市消保委称，安卓系统vivo应用商店显示，兴业银行App（版本5.0.54）需要获取访问身体传感器（如心率监测器）、访问用户的运行信息等21项权限。“这让我们感到匪夷所思。因为按常理，兴业银行作为一款金融服务类APP，消费者的健康状况与健身活动数据貌似与金融业务没有太大的关系。”上海消保委称，希望兴业银行能够明确、清晰地告诉广大消费者索取消费者健康状况与健身活动数据的目的，不然容易引起质疑。

(资料图片)

上海消保委还指出，各类APP向消费者收集使用个人信息都应当具有明确、合理的目的，并严格遵循最小、必要索权原则，不得超出消费者授权范围收集个人信息，也不得越界索取与业务功能、服务场景无关的个人数据。“如果APP以第三方服务为名，在安装时利用默认或是一揽子的方式索取和APP自身功能实际需要无关的权限，则有过度索权嫌疑。”

这一发文引发轩然大波。

兴业银行回应，为倡导健康低碳的生活方式，该行拟面向客户阶段性开展“健步走”活动，在活动中需通过手机“身体传感器”获取客户步数信息，不涉及心率等信息。参加活动的用户可通过一定步数获得奖励。

8月11日，时代周报记者实测发现，用户首次登录兴业银行App会弹出《兴业银行网络金融用户隐私保护条款》（下称《条款》），向用户索取手机号、姓名、证件号码、个人健康生理信息等27个场景相关的个人隐私信息，用户需点击“同意”选项方可登录。

以该App中的“健步走”功能为例，《条款》表示，需要用户向该行开启相应的系统访问权限，用于收集和使用相关信息，来实现该功能。如用户取消授权，则无法为用户提供相关授权所对应的功能。

不过，用户要想使用“健步走”功能时，该App会再次弹窗提醒，是否允许访问并更新用户的健康数据。用户同意该App读取“步数”权限，才能提供“健步走”服务。

除此之外，《条款》还细化了不同服务场景对应的个人资料。比如，用户要使用生活支付服务，需向银行提供姓名、证件类型、证件号码、手机号码、账户信息、缴费信息、面部图像（视频）、短信验证码、声音信息等，以便银行验证身份及用户使用上述支付服务。如用户拒绝提供对应信息，仅无法使用对应服务，但不影响使用其他功能。

兴业银行回应称，我行在客户安装并使用手机银行App时阅读并同意的《用户隐私保护条款》中已经予以说明，我行开展相关活动会在申请权限或收集相关信息之前向客户单独申明场景、原因等，并经客户本人授权后合法合规使用相关信息。

针对用户下载银行App后，要先同意用户隐私保护条款才可进入App，不过在后续使用部分功能时，会再次向用户申请信息使用权限的操作，易观分析企业数字化中心分析师郭怡清认为，符合《网络安全法》、《移动互联网应用程序信息服务管理规定》等相关法律法规中关于App用户信息采集时的“知情同意”和“最小必要”等规定。

郭怡清强调，上述索权操作方式可方便用户使用App，在收集必要信息后可以使用APP的基础功能，同时，也能够有效保障用户的个人信息安全，确保用户不被非法利用。

此前，兴业银行App曾因合规问题受到监管关注。2020年初，国家计算机病毒应急处理中心在“净网2020”专项行动中通过互联网监测发现，多款违法、违规有害移动应用存在隐私不合规行为，违反《网络安全法》相关规定，涉嫌超范围采集个人隐私信息。该中心指出，兴业银行App未向用户明示申请的全部隐私权限，涉嫌隐私不合规。

当时，兴业银行对外解释称，确认该问题为手机银行安卓客户端(5.0.4版本)为强化互动功能，便于客户通过客户端一键拨打业务咨询电话与客户经理交流沟通，在系统安装时向手机操作系统申请了与“拨打电话”相关的权限。客户在向客户经理拨打电话前，手机银行客户端还会再次向客户询问是否允许“拨打电话”。兴业银行坚称，“我行并未通过该功能额外获取任何用户隐私信息。”

近年，监管一直引导规范金融机构移动端合理手机审查用户个人信息保护工作。2019年9月，央行发布《关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》，要求金融机构采取有效措施加强客户端软件个人金融信息保护，收集、使用个人金融信息时应遵循合法、正当、必要的原则。

2021年11月1日，《个人信息保护法》生效实施，从法律层面定调金融账户的敏感性，要求金融机构在处理生物识别、医疗健康、金融账户、行踪轨迹等敏感个人信息时，都必须取得个人的单独同意。

近日，银保监会办公厅向各银保监局、各大型银行、保险公司下发《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》（下称《通知》）表示，全面摸排本机构自2021年以来与消费者个人信息处理活动相关的经营行为和管理情况，深入查找本机构个人信息保护方面存在的问题，列出问题清单。机构自查过程中要坚持立查立改。对短期内无法整改完成的问题，要建立整改台账，明确整改措施，逐项逐步推进。

《通知》强调，2022年8月至9月，各银保监局将组织辖内银行保险机构开展对照自查，在自查基础上及时完成整改。