近日，国家计算机病毒应急处理中心在“净网2020”专项行动中通过互联网监测发现，24款违法、违规有害移动应用存在隐私不合规行为，违反《网络安全法》相关规定，涉嫌超范围采集个人隐私信息。

通报显示，民生银行5.12、兴业银行5.0.4、内蒙古农信2.4.6、内蒙古银行2.0.4、海峡银行2.4.8、鄂尔多斯银行3.1.0等6家银行App存在隐私不合规行为。

1.未明示全部申请权限是什么问题

通报显示，被点名的6款银行App“未向用户明示申请的全部隐私权限，涉嫌隐私不合规。”有媒体报道，这些App存在未公开所有申请的权限或者存在表述不明确的条款。

记者下载了兴业银行5.0.4版本App。在兴业银行App的隐私政策中，很明确的根据业务给出了要收集的个人信息类型和可选是否授权的隐私权限。个人信息包括：证件类型、证件号码、银行卡号、手机号、设备唯一标识码、IP地址、位置信息、手机使用频率等等。

可选是否授权的隐私权限有8项，比较敏感的包括麦克风权限、摄像头权限、图库权限、地理位置权限和通讯录权限，与从手机设置中找到的兴业银行App权限信息基本相符。

唯一的区别在于用户隐私保护条款中没有提到通话记录权限，但是在手机设置中显示兴业银行App申请该权限，用户可选择是否授权使用。

相关专业人士表示，兴业银行App确实存在一定的合规问题，例如隐私政策中没有对第三方SDK进行描述、注册登录界面没有隐私政策链接、先申请电话、储存权限后弹窗隐私政策等等。

另外在“未向用户明示申请的全部隐私权限”这个说法中，“隐私权限”的表述并不符合国家标准规范，应表述为“敏感权限”，而且“全部”一词很难界定，有些权限是根据业务功能逐项开启授权。

据了解，兴业银行已于1月13日更新了隐私条款，可选择是否授权收集、使用的个人信息增加到了11个，增加了网络通讯、通知功能和NFC权限收集使用目的的说明，但是在注册登录界面依旧没有隐私政策链接。

2.金融App监管趋严银行备受瞩目

2019年，我国各部委相继开展治理App违法违规收集用户隐私权限的工作，不断有违法违规App被监管点名，其中银行系App多有出现。除了本次被点名的6家银行之外，光大银行、天津农商银行、天津银行、浦发银行、招商银行等银行也被不同的监管部门点名。

银行App一般承担手机银行功能，可以进行转账、支付、还款、金融理财等等业务，收集的个人信息非常重要，可以说每一项都属于敏感信息，一旦泄露可能会对用户财产安全造成巨大威胁，甚至危害国家金融系统安全。

针对银行等金融类APP成为违法违规“重灾区”的情况，互联网金融协会在2019年12月开启金融App备案试点工作，首批23家备案试点机构有16家属于银行类金融机构，包括5家国有银行、5家股份银行、3家城商银行、2家农商银行、1家农信联社。

2019年12月份，国家网信办、工信部、公安部、国家市场监管总局联合发布《APP违法违规收集使用个人信息行为认定方法》（以下简称《认定方法》），明确了六大违规行为。据媒体报道，在《认定方法》发布之后被点名的银行快速更新了隐私条款。

例如，在《认定方法》发布的第二天，被点名的某银行APP发布的最新手机银行用户隐私政策已经非常详实，对银行将如何收集个人信息，收集信息的范围有哪些，将如何使用用户个人信息，如何使用Cookie和同类技术，如何共享、转让、公开披露个人信息，如何保护、存储个人信息等与银行收集与使用个人信息的方方面面进行了非常细致的描述。并对在办理业务时，每一类业务将要涉及到收集的信息内容以加粗字体的形式着重显示。与此前的隐私政策相比，在手机用户信息的收集范围上明显缩减。

另一个被点名的某地方性银行，近期进行了多次“更新”。在苹果APP Store中，该行曾在1个月前被点名时发布新版本，更新客户隐私协议内容；在3周前，新增APP隐私政策授权提示；今年1月2日，也就是《认定方法》发布的3天后，更新版本新增用户服务协议提示。此外，该行的APP用户隐私政策也对如何收集及使用，转让和公开披露，存储和保护、管理个人信息以及保护未成年人信息等进行了详细描述。