中国经济网北京12月29日讯据广东省公安厅官方微博12月27日消息,近期,广东省公安机关持续开展超范围收集用户信息App清理整治专项行动,共监测发现38款App存在超范围收集用户信息违规行为。 这些App违规行为主要为:App隐私政策中未逐一列出第三方SDK收集个人信息的目的、方式、范围;未经用户同意就私自获取存储、电话状态信息、通讯录、短信、通话记录并获取推送通知、用户相机、麦克风设备及访问位置权限;应用内未发现注销账号功能。 其中,万联证券股份有限公司的“万联e万通”V8.04.10版本App存在以下三种超范围收集用户信息情况:隐私政策中未逐一列出第三方SDK收集个人信息的目的、方式、范围;应用申请使用相机和定位权限,超出用户授权范围;应用内未发现注销账号功能。 万联证券股份有限公司的“万联证券股票开户”3.3.8版本App存在以下三种超范围收集用户信息情况:隐私政策中没有列举说明获取相机和录音权限的目的、方式、范围,且未逐一列出第三方SDK收集个人信息的目的、方式、范围;应用申请获取相机和录音权限,超出用户授权范围;未经用户阅读隐私政策,应用就申请获取相机、录音、存储和位置信息权限。 大家保险集团有限责任公司的“大家保险”2.0.2版本App存在以下两种超范围收集用户信息情况:隐私政策中未逐一列出第三方SDK收集个人信息的目的、方式、范围;未经用户阅读隐私政策,应用就申请读取手机状态和存储权限。 深圳市富途网络科技有限公司的“富途牛牛”10.17.1252版本App存在以下两种超范围收集用户信息情况:隐私政策中未逐一列出第三方SDK收集个人信息的目的、方式、范围;未经用户阅读隐私政策,应用就申请获取存储权限。 目前,广东省公安机关已将有关监测情况上报公安部通报属地公安机关开展清理整治。 资料显示,万联证券股份有限公司于2001年8月23日经中国证监会批准设立,现有注册资本59.54亿元,公司总部设在广州市。万联证券的第一大股东为广州金融控股集团有限公司,持股比例为49.10%。 大家保险集团有限责任公司成立于2019年6月25日,由中国保险保障基金有限责任公司、中国石油化工集团有限公司、上海汽车工业(集团)总公司共同出资设立。 深圳市富途网络科技有限公司成立于2007年,是腾讯战略投资,纳斯达克上市公司富途控股(NASDAQ:FUTU)旗下子公司,主要从事互联网科技类产品的研发。
手办、鞋、游戏是95后的爱好中最烧钱的三个。 看似毫无关联的三种商品,吸金的逻辑却并不相互独立。 手办和鞋,都有“设计、潮流”这两个元素;手办和游戏,都有“故事和IP”这两个元素;而手办、鞋和游戏的背后都有“亚文化圈层”这一个共同的属性。 也就是说,不管商品是什么,设计、IP、圈子,在这届年轻人的购买决策中,举足轻重。 在这样的背景下,一个“换汤不换药”的产品 - 盲盒,把设计、IP、圈子融为一体,然后加上了一点名为“不确定性”的魔法,悄然成为了无数年轻人的心之所向,钱之所往。 六耳猕“盒” 大家总是倾向于把盲盒往智商税的行列里塞,主要是因为盲盒中确实是有一种“韭菜盒子” - 幸运盒子。 不过这种幸运盒,还真的是盲盒界的“嫡出”。 这种销售形式,最早可以追溯到日本的百货公司在年终大促销的时候推出的一个产品,叫做“福袋”。也就是把不同价格的各类产品,都放进不透明的袋子里,再统一标价。 你可能花50块买到价值10块的袜子、价值40的护手霜、价值100的手提包。 这样的形式后来也被一些淘宝网店普遍运用了起来。 但这两种形式的本质,都是处理廉价的、滞销的商品,但同时又不能让消费者对商场或品牌留下不好的印象,因此这一类的“盲盒”,让消费者觉得物有所值的几率还是比较大的。 不过,当“福袋”变成“幸运盒子”,就变质了。 首先,幸运盒子宣称的内容物与盒子的售价差距极大,比如售价30块钱的盒子,里面可能有个大牌口红、拍立得、甚至苹果手机。 而除此之外需要被处理的“滞销”产品却可能是一支圆珠笔、一个钥匙扣、或者一个“三无”的护肤品。 其次,幸运盒子在短视频平台大肆营销,用各种一买买一车的开箱视频让你看到,里面真的“充满惊喜”。 而绝大部分消费者,在花30块钱买到价值5块钱,且平时自己根本不会花5块钱去买的东西时,也只会觉得运气不好,甚至觉得“下次会更好”。 但这样的“韭菜盒子”除了短视频制作者、主播,回头客是非常少的。绝大多数消费者都是被商场里五光十色的机器和产品展示吸引,抱着30块钱也不贵的想法冲动消费。 虽然过路韭菜的量很大,但没有回头客的模式收割力度还是有限的。 而我们今天讨论的这种盲盒,以及同被冤枉成“韭菜盒子”的潮鞋,之所以能成为更锋利的镰刀,主要是盯准了某些消费者的“强迫症”,不买到某一个款式不罢休的心理,而把原价60的盲盒以成百上千的价格卖给他们。 盲盒和潮鞋的市场,就这样被翻腾着的投机者搅成了浑水。目前盲盒的消费者中,有20%左右是职业“炒盒人”。 同时,营销号最喜欢写的,通过“炒盒”实现经济独立的故事,也吸引了一些并非职业“炒盒”,却认为潮玩可以保值,甚至当做投资的消费者,那就是很遗憾的,“令人智熄”了。 收藏是病,但不用治 除了里面什么都可能出现的“幸运盒子”,福袋也发展出了另一个支线产品 - 扭蛋。而扭蛋可以看做是“现代盲盒”的起源了。 扭蛋,就是把各种小玩具放到不透明的塑料蛋里倒进机器,投币后扭一次旋钮就会出来一颗。大概就是装着小玩具的双色球机器。 以便宜的价格配合动漫联名,虽然东西很小但是容易收藏,扭蛋就这样成为了日本街头的风景线。 买个马桶盖和买个扭蛋成为了两代国人去日本旅行的必做事项。 而使扭蛋,乃至现在的盲盒,平步青云的,还是手办文化。 手办是日本动漫的周边产品,原本指的是需要自己动手拼装、上色的动漫人物模型,所以名字里有个“手”字。不过引入中文里已经泛指所有摆着看的人偶模型了。 同时,随着国际化的浪潮,日本“宅文化”也和欧美“宅文化”交汇。手办文化也在“地表最强IP”-漫威宇宙中,达到了空前的盛世。 而扭蛋与手办文化的结合,就是在传统福袋模式之上,加入了“黑魔法” - 收藏性。 收集东西,可以让人产生成就感。 这也是很多人不理解潮鞋收藏,认为鞋买了却不穿的意义何在。其实鞋也是一种“手办”,只是恰巧这个“手办”能穿而已,大部分的时间,还是提供摆着看的幸福感。 选择收集什么也不过是根据经济实力的量力而行。有人收集星巴克的杯子,有人收集任天堂的游戏卡,有人收集劳力士,有人收集兰博基尼。 由于缺乏调查样本,无法得知收集兰博基尼的感官体验,但幸福感应该和收集手办差的不多。 而说回手办文化,为什么放着钢铁侠的手办不买而要去买其他自创IP形象的盲盒? 便宜当然是一部分的原因。当你质疑一个盲盒里的小人偶要卖60块钱的时候,要知道正版日本动漫手办的价格都是“百”起步,“去黄牛价格”-也就是原价,上千的也非常普遍。 而不选择动漫或者电影周边手办的另一个原因,恰恰是因为自创的IP形象没有故事。 市场营销学教授罗素·W·贝尔克(Russell W. Belk)在论文中表述过:收集东西为个体的自我定义提供了一个方法。 不管是收集手办模型、球鞋、名画、爱马仕包、紫砂壶,所带来的成就感中,一定有一部分来自于分享,来自于与其他同好者建立联系。 也可以说成,是一个进入某个圈子“门票”。 可是你需要看几百本漫画或者5、6部电影才能了解漫威宇宙,需要“深耕”日本二次元多年才能认出不同的动漫形象都是来自什么作品。 而自创的IP只需要从形象上吸引到消费者,再由消费者通过交流、分享、展示、互换打造一个社交闭环。 盲盒提供了一个可以用碎片化的时间快速“入圈”的途径。 不想搏一搏的你,还不如老鼠 要说为什么盲盒是一种“换汤不换药”的产品,是因为这种产品即便在国内也并不是诞生于近几年。 95后买盒,85后吃面。 小浣熊干脆面里随机赠送的水浒卡,让集卡的意义远超过了吃面,是一个显然更成功的盲盒经济范例。 而从买一箱面为了集齐随机赠送的卡片,到买一箱盲盒为了收集到所谓的“隐藏款”玩偶,想为小概率事件花钱的原理并不仅适用于人类。 把满足感甚至只是饱腹感,掩藏在高度的不确定性和不可预测性之中,是会让智慧生物成瘾的,包括老鼠和鸽子。 斯金纳的老鼠实验中,按一次杠杆出一次食物的老鼠,只在饿了的时候按杠杆。而按一次杠杆,可能出食物也可能什么都不出的老鼠,则无时不刻的疯狂按压杠杆。 你不确定这个实验结果适不适用于商业,其实可以往盲盒以外的产品上看一看。 这种模式吸不吸引人?看一看抖音。 抖音之所以成为“时间黑洞”,是因为刷到的内容越是无聊,人们就越是愿意用更多的时间去搏那个能给你带来快感刺激的内容。 当这片刻的“幸福”降临时,你前几分钟甚至十几分钟的空虚感一下子得到了慰藉,你又重新获得了继续刷下去的动力。 那这个模式赚不赚钱?看一看《阴阳师》和《原神》。 两款游戏日入百万、月收上亿的秘笈是什么?648。 《阴阳师》和《原神》,不知道是出于什么神秘的原因,都把最高规格的游戏币礼包定价为648元人民币。 而充值不同金额后,你将获得几个到几十个不等的,游戏中的“盲盒” - 也就是盲抽人物卡牌的机会。 而抽游戏人物,单次的成本更高,抽出来的东西甚至是虚拟的,连摆到柜子里展示都做不到。收集的成就感在视觉上仅能体现为看着一个一个的人物形象,从黑色的轮廓,到抽到后被点亮。 而就是这样的形式,给网易和米哈游的营收打了一针肾上腺素。 《原神》中某些人物低到尘埃里的掉落几率,甚至衍生出了一个词,叫“阳寿抽卡”,意思是抽到这样的人物,光有钱是没用的,还需要折损一些阳寿。 这届年轻人为了不确定性的刺激,命都可以不要了(当然,只是口头上的)。 物理上有一种物态变化叫做凝华,即物质直接从气态变为固态的过程。 盲盒和抽卡就是这样一个过程,打开盒子的一瞬间,看不见摸不着的感官刺激 - “爽”,凝华为盒子里的商品。 而盒子没打开的时候,本质上都是一盒一盒,标价不同的“爽”啊。
原标题:金融类App必要个人信息范围将被“圈定” 收集范围未包括通讯录、位置信息、相机等方面 本报记者 李 冰 近日,国家互联网信息办公室(下称“国家网信办”)发布通知,《常见类型移动互联网应用程序(App)必要个人信息范围》(下称“征求意见稿”)公开征求意见。 在征求意见稿中,国家网信办给出38类常见类型App必要个人信息范围,其中包括网络支付、网络借贷、投资理财、手机银行等金融类App。 零壹研究院院长于百程对《证券日报》表示,“随着个人用户对App频繁使用,个人隐私保护问题愈发严重。其中,App超范围收集个人信息比较普遍,违反必要原则、强制收集与业务无关的个人信息事件层出不穷,出台相关监管政策十分有必要。” 近年来,移动互联网应用程序(App)得到广泛应用,在促进经济社会发展、服务民生等方面发挥了重要作用。同时,App超范围收集、强制收集用户个人信息普遍存在,用户拒绝同意就无法安装使用。 征求意见稿指出,必要个人信息是指保障App基本功能正常运行所必须的个人信息,缺少该信息App无法提供基本功能服务。只要用户同意收集必要个人信息,App不得拒绝用户安装使用。 值得关注的是,征求意见稿中,金融类App必要个人信息的收集范围均未包括通讯录、位置信息、相机等方面。此前,网络借贷App用户曾因通讯录等信息暴露,被暴力催收所扰。另外,必要个人信息包括位置信息的,仅有地图导航类、网络约车类App。 具体来看,网络支付类App涉及必要个人信息范围包括:注册用户移动电话号码或其他真实身份信息(App提供者提供多种选项,由用户选择其一);付款人姓名、证件类型和号码、证件有效期限、证件影印件、银行卡号码、银行预留移动电话号码;收款人姓名、银行卡号码。 网络借贷类App涉及必要个人信息包括:注册用户移动电话号码或其他真实身份信息(App提供者提供多种选项,由用户选择其一);借款人姓名、证件类型和号码、证件有效期限、证件影印件、银行卡号码。 对于手机银行类App,征求意见稿提到,此类应用必要个人信息包括:注册用户移动电话号码或其他真实身份信息(App提供者提供多种选项,由用户选择其一);用户姓名、证件类型和号码、证件有效期限、证件影印件、银行卡号码、银行预留移动电话号码;收款人姓名、银行卡号码等。 于百程指出,“在金融类App中,网络支付和网络借贷在业务中所需收集的必要个人信息是不同的,因为二者业务不同。” 麻袋研究院高级研究员苏筱芮对《证券日报》表示,“各类型App收集必要个人信息范围不同,体现出分类监管的原则。” 近些年,App过度收集用户隐私信息,侵害了个人的合法权益,如果违规使用、买卖或信息泄露,个人用户轻则被垃圾信息和电话骚扰,重则被冒名办理业务,甚至被诈骗,引发财产损失和安全性问题。同时,App强制授权、过度索权、超范围收集个人信息的现象大量存在,违法违规使用个人信息的问题十分突出。 对此,于百程分析认为,征求意见稿一旦实施,将让后期监管有章可循。 苏筱芮则指出,种种监管信号表明,未来监管部门将加大对数据方面违法行为的整治及处罚力度,从源头上杜绝潜在风险,保护客户合法权益。 (编辑:文静)
7月24日,工业和信息化部通报了2020年第三批侵害用户权益的App名单。工信部组织第三方检测机构对手机应用软件进行检查,截至目前,尚有58款App未完成整改。 通报中称,上述App应在7月30日前完成整改落实工作,逾期不整改的,将依法依规组织开展相关处置工作。 记者查询发现,在上述58款存在问题的应用软件中不乏巨头身影,包括搜狐旗下的狐友、科大讯飞旗下的讯飞有声、去哪儿网、快狗打车、房多多、更美、赶集网招聘等。 教育、出行、游戏和金融领域成重灾区 今年5月15日和7月3日,工信部曾两次对侵害用户权益行为的App进行通报。 第一批存在问题的应用软件名单中包括了1药网、知乎日报、当当等16款APP。第二批中则有TutorABC、作业盒子旗下的小盒学生等15款App。 算上2019年12月和2020年1月,工信部先后发布的两批“侵害用户权益行为的App”名单,合计56家。迄今为止,工信部累积通报了145家侵害用户权益的App。 在145家被通报的App名单中,涉及较多的行业分布在金融、教育、出行和游戏等。教育类App包括北京创意麦奇教育信息咨询有限公司的“TutorABC”、北京作业盒子科技有限公司的“小盒学生”、上海阅文信息技术有限公司的“QQ阅读”等。 被通报的App所涉问题主要有:账号注销难、私自或超范围搜集个人信息、私自共享给第三方、不给权限不让用等等。 此次被通报的App背后,涉及不少美股、港股、A股上市公司。 例如,“速聘58赶集网招聘”“快狗打车”均为正在准备从美股私有化的58同城旗下产品,其中“速聘58赶集网招聘”存在私自收集个人信息、私自共享给第三方、过度索取权限三大问题;“快狗打车”存在私自收集个人信息、私自共享给第三方、频繁申请权限、过度索取权限四大问题。 “房多多”为美股上市公司房多多旗下产品,存在私自收集个人信息、超范围收集个人信息、私自共享给第三方、强制用户使用定向推送功能、频繁申请权限五大问题。房多多于2019年11月登陆纳斯达克,被称作是国内第一家产业互联网SaaS(软件服务化)模式的房产中介公司。 7月26日,房多多内部人士对记者回复称:“原先App产品上有做对应的弹出提示,但当时规划的不够整体,对用户来说体验不好。这次我们会对权限系统做整体规划,已进入优化流程。房多多高度重视用户隐私信息保护,之后也会内部定期对产品进行全面检查,保障用户信息安全,遵守相关监管要求,提升用户体验。” 记者对于App侵害用户权益一事也采访了搜狐、更美等公司,但截至发稿,并未收到回复。 加大对面部等生物特征信息收集使用的整治 2019年12月30日,国家互联网信息办公室、工信部、公安部和国家市场监督管理总局四部门联合印发了《App违法违规收集使用个人信息行为认定方法》,明确了6大类31种行为属于App违法违规收集使用个人信息。以上《认定方法》对不少App“打擦边球”式的用户信息收集方式作出了详细规定。 比如说“隐私政策等收集使用规则难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等”,会被认定为“未公开收集使用规则”; “有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等”,会被认定为“未明示收集使用个人信息的目的、方式和范围”; “未经用户同意更改其设置的可收集个人信息权限状态,如App更新时自动将用户设置的权限恢复到默认状态”,会被认定为“未经用户同意收集使用个人信息”; 之前曾经困扰很多用户的某些平台账号无法注销的问题,也有了明确规定,如“未提供有效的更正、删除个人信息及注销用户账号功能”“为更正、删除个人信息或注销用户账号设置不必要或不合理条件”等行为也是违规的。 四川致高律师事务所周正义律师表示:“科技的进步尤其是互联网的飞速发展给我们的生活带来极大便利的同时,也加大了我们个人信息泄露的风险。从日常的手机App使用体验来说,我们会发现如今手机App需要获取的权限种类繁多,最突出的是获取位置信息和访问联系人权限”。 “而且,一些App还出现了在自身功能使用非必要的情况下获取用户隐私权限的问题,这极大地增加了个人信息泄露的风险。而且部分商家违法获取用户的个人信息,包括用户的照片、财产信息、生物识别信息、工作信息、交易记录、上网浏览记录、教育信息、车辆信息、短信等,还会利用这些信息进行不法交易,给用户的利益带来严重的损害。因此,严格治理个人信息保护方面存在的乱象势在必行。”周正义律师表示。 7月22日,中央网信办、工业和信息化部、公安部、国家市场监管总局四部门召开会议,2020年将进一步加大整治力度,其中重点之一是针对面部特征等生物特征信息收集使用不规范,App后台自启动、关联启动、私自调用权限上传个人信息,录音、拍照等敏感权限滥用等社会反映强烈的重点问题,开展专题研究和深度检测。
剑指APP违规收集个人信息! 央行排查移动金融APP等 金融科技应用风险 21世纪经济报道记者了解到,此次摸排中,移动金融APP和背后的金融数据安全是重中之重。 随着移动互联网快速发展,移动金融APP已成为目前国内金融业务最广泛、最直接、最便捷的入口。 7月16日晚,央视“3·15”晚会再次提到手机APP违规收集个人信息问题,在其提到的50多个违规收集信息的APP中,金融类就超过40个。 这些APP在后台读取电话号码、通讯录、短信记录、应用列表等信息的同时,上传联系人、交易验证码等数据到第三方服务器。并且,第三方SDK除了收集用户手机号码、设备信息之外,还会收集用户手机通讯录、短信信息、传感器信息等用户隐私信息,在采集之后还会发送至指定服务器进行存储。 对此,工信部官网发布公告称,第一时间组织第三方检测机构对央视曝光的使用上述两家SDK的50余款APP进行技术检测,对存在问题的APP第一时间启动下架程序。工信部称,自去年11月工信部启动APP侵害用户权益专项整治行动以来,共检测超过8万余款APP,推动8000余款APP自查整改,对478家存在问题的企业下发整改函。 尽管监管一再强调个人隐私保护,但在现实中依然屡见不鲜。 在此背景下, 21世纪经济报道记者获悉,央行也在今年上半年启动了全面摸排金融科技应用风险工作,移动金融客户端应用软件成为摸排重点之一,移动金融APP及其背后金融数据安全则是重中之重。 如何判定收集信息的合法性? 金融APP过度收集读取并使用收集用户信息是否构成侵犯公民个人信息犯罪?分歧是存在的。 中国银行法学研究会理事肖飒7月21日对21世纪经济报道记者表示,一种观点认为不构成侵犯公民个人信息罪。因为APP读取该类信息系经过用户同意的,信息使用在用户承诺范围内,且企业并没有将信息转手给他人,仅是用于金融公司贷款审批、催债使用。 但另一种观点认为,该用户同意并非真实用户意思表示,用户若不同意则无法使用金融APP,虽然信息没有外流,但是通过读取的手机通讯录并给亲友打电话催债的行为,给用户造成了较大困扰,已然突破合理合法边界。 而在司法实践中,判断的一个关键点在于是否明示信息使用用途。企业在获取用户信息时,是否明示收集的手机通讯录信息将被用于贷款审批及债务催收,如果没有明示,却在收集后用于该用途,会被认定为非法获取。 网络安全法第41条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。 就收集者同意而言,隐私协议本是为了获得用户信息授权,但金融APP中多是内置协议,提供格式条款一方免除其责任、加重对方责任、排除对方主要权利的,根据我国合同法第四十条,该条款无效。 “在实际案例中,将由法官结合协议内容、业务逻辑实质等予以判断。一旦法院认定授权无效的,手机APP获取用户信息的行为将彻底丧失合法性依据。”肖飒表示,即使在隐私协议授权条款有效的基础上,信息收集还需遵循必要性原则,也即,金融APP只能处理满足个人信息主体授权同意目的所需的最少个人信息类型和数量。如此,借贷审批是否需要全部获知用户通讯录等,便存在合法性疑问。 与此同时,在7月17日发布的《商业银行互联网贷款管理暂行办法》中也提到,商业银行如果需要从合作机构获取借款人风险数据,应通过适当方式确认合作机构的数据来源合法合规、真实有效,对外提供数据不违反法律法规要求,并已获得信息主体本人的明确授权。商业银行不得与违规收集和使用个人信息的第三方开展数据合作。 央行摸排移动金融APP的核心是金融数据安全 央行今年上半年发布了《关于开展金融科技应用风险专项摸排工作的通知》(以下简称“45号文”)。 “45号文”出台的背景是加强金融科技应用风险防控,切实保障用户的信息和资金安全,人民银行要求各分支机构于2020 年10月31日前报送摸排的书面报告。 自2019年9月《中国人民银行关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》(银发〔2019〕237号)发布以来,移动金融客户端应用软件备案工作正在进行中。 21世纪经济报道记者了解到,此次摸排中,移动金融APP和背后的金融数据安全是重中之重。本次摸排工作对APP的安全要求继承了银发〔2019〕237号文的要求,并结合当前APP伪冒等问题对监控要求进行了细化,帮助央行更好地推进统一风险监控平台的建设。 对于摸排的主要内容,覆盖了人工智能、大数据、区块链、物联网等新技术在金融领域的应用,表现出对技术风险的前瞻性。 另外,摸排还特别关注了金融业务交易安全和金融核心的处理要素——金融数据,贯穿金融交易的数据流和个人金融信息保护的生命周期。 根据45号文中的工作安排,相关金融机构在2020年5月至7月要完成自评工作,依据《金融科技应用风险专项摸排列表》逐项进行自评,及时提交报告。对发现的问题,建立清单管控和动态跟踪机制,视情况采取必要的风险补救或补偿措施。 摸排列表包括个人金融信息保护、交易安全、仿冒漏洞、技术使用安全以及内控管理五大方面,涵盖40个具体摸排项,123个摸排要点,覆盖APP、系统以及API等。 移动金融客户端应用软件、应用程序编程接口、信息系统等都是重点摸排对象,从技术层面来讲主要涉及人工智能、大数据、区块链、物联网等新技术金融应用风险,包括个人金融信息保护、交易安全、仿冒漏洞、技术使用安全、内控管理等5个方面的风险情况。 21世纪经济报道记者了解到,45号文一方面对前期各金融机构在金融科技应用方面所做的风险合规工作进行阶段性验收,或将帮助人民银行了解目前金融科技发展现状,进行查漏补缺,避免再次出现表外业务泛滥、同业业务异化等行业乱象,进行有效监管。另一方面也是为后续的金融科技监管方向提供实际的数据支撑,摸排情况可能会决定新的监管政策动态。 (作者:包慧)
举办于7月份的315晚会集中曝光,多家金融APP存在超限违规收集用户个人信息的情况。根据央视报道,不少金融APP内置第三方SDK,除收集用户手机号码、设备信息之外,还会收集用户手机通讯录、短信信息、传感器信息等用户隐私信息。一时间,金融APP成为众矢之的。 就此,获取用户数据的金融APP企业主说:“我们获取用户数据是经过用户授权的,隐私协议写得明明白白,何以就违规违法了呢?我们只是为向客户提供贷款额度审批以及催债使用,没有将获得的用户数据对外提供,侵犯公民个人信息罪的罪名有些大……” 其实,以上内容均可概括为一句话:金融APP过度收集读取并使用收集用户信息是否构成侵犯公民个人信息犯罪? 分歧是有的 我们想与大家分享的是,其实该行为是否构成犯罪,目前确实是存在分歧的。 一种观点认为,该行为构成不侵犯公民个人信息罪。因为APP读取该类信息系经过用户同意的,信息使用在用户承诺范围内,且企业并没有将信息转手给他人,仅是用于金融公司贷款审批、催债使用, 另一种观点认为,该用户同意并非真实用户意思表示,用户若不同意则无法使用金融APP,虽然信息没有外流,但是通过读取的手机通讯录并给亲友打电话催债的行为,给用户造成了较大困扰,已然突破合理合法边界。 上海市静安区人民检察院陈洁婷曾发文提到实践中的倾向性意见如下: 依据《网络安全法》及《移动互联网应用程序信息服务管理规定》,移动互联网应用程序提供者应当建立健全用户信息安全保护机制,收集、使用用户个人信息应当遵循合法、正当、必要的原则,明示收集使用信息的目的、方式和范围,并经用户同意。 以上关键点就在于是否明示了信息的使用用途。企业在获取用户信息时,是否明示收集的手机通讯录信息将被用于贷款审批及债务催收,如果没有明示,却在收集后用于该用途,则涉嫌违反上述以上规定,可以被认定为非法获取。 已有同案怎么说 2017年12月,被告人李某注册成立广州某叶科技网络有限公司,虚构贷款产品“无限贷”,通过网络在各类贷款超市推广,吸引被害人注册登记,以此获得包括被害人姓名、地址、手机号码、紧急联系人、芝麻积分、通讯录等个人信息,储存至金融数据平台的后台数据库中,再将上述信息出售给陈某等人用于实施“套路贷”犯罪活动。后李某被公安机关抓获,并被公诉机关以侵犯公民个人信息罪诉至法院。 在庭审过程中,辩护人打印并提交了某叶科技网络有限公司收集用户信息时的“服务与隐私协议” 1份,以此证明被告人李小伟等人获取公民个人信息数据并对外提供的行为获得了权利人的授权与许可。 法院认为: ① 格式合同责任免除中的明确告知义务未履行:从辩护材料的权利、义务约定上看,该材料为“格式条款”,通篇内容为对权利人权利的限制以及对涉案公司责任的免除,从材料中不能确认涉案公司已依法履行了“格式合同”责任免除的明确告知义务; ②授权不具有法律效力:从涉案公司收集的公民个人信息数据范围来看,“无线贷”平台收集、输出的公民个人信息不仅局限于借款人本人的姓名、身份号码、联系方式等基础信息,还包括借款人的通讯录信息、通话记录信息等,该类信息收集、使用的违法性直接指向了对借款人亲友个人信息权益的侵犯,明显超出了正常借贷行为所需的信息范围,超范围、超必要限度收集、使用公民个人信息数据的行为不具有正当性,侵犯第三人合法权益的授权也不具有法律效力; ③ 涉案的借款人均基于财务状况紧张而向涉案公司提交材料申请借款,涉案公司乘人之危强行获取授权的行为不具有正当性,恶意规避法律适用以达到侵犯他人合法权益之目的的行为不具有法律效力。 概言之,被告人李小伟及其辩护人以“获得授权”为基础提出的意见事实及法律依据不足。 我们想说的话 我国刑法第二百五十三条之一规定了侵犯公民个人信息罪。违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。……窃取或者以其他方法非法获取公民个人信息的,依照以上规定处罚。 这里,对“非法获取”行为手段的认定要准确把握“违反国家有关规定”这一基本前提。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第二条规定,违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为刑法第253条之一规定的“违反国家有关规定”。 现有的《网络安全法》系全国人大常委会发布的法律,其第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意”。 就收集者同意而言,隐私协议本是为了获得用户信息授权,但金融APP中多是内置协议,提供格式条款一方免除其责任、加重对方责任、排除对方主要权利的,根据我国《合同法》第四十条,该条款无效。何为免除其责任、加重对方责任、排除对方主要权利呢?这在实际案例中,将由法官结合协议内容、业务逻辑实质等予以判断。一旦法院如上文案例所述,认定授权无效的,手机APP获取用户信息的行为将彻底丧失合法性依据。 在隐私协议授权条款有效的基础上,信息收集还需遵循必要性原则,也即,金融APP只能处理满足个人信息主体授权同意目的所需的最少个人信息类型和数量。如此,借贷审批是否需要全部获知用户通讯录等,这里便存在疑问。如此,金融APP的信息收集行为的合法性就遭到质疑。 以上就是今天的分享,感恩读者!
近年来,编程似乎成为了一种潮流,越来越多人开始借助程序实现信息收集等原本需要大量人力完成的工作。 商界大佬潘石屹,也身体力行开始推广python语言 作为互联网信息收集的主要手段,网络爬虫自然而然成为许多新入门者最重要的学习内容。然而,人们的热情还未高涨就被打入谷底。从去年开始,不断爆出数据风控公司出事的新闻:魔蝎、新颜科技、51信用卡等一大批数据风控公司因利用爬虫收集信息被刑事调查。由此,也出现了“爬虫爬的好,牢饭吃到饱”的说法。一夜之间,爬虫似乎成为万恶的根源,许多互联网公司也开始避免使用此类技术。其实,爬虫就像是参观风景的游客,进入之前先弄清楚主人的态度。如果被允许,进门后没有干扰他人的正常生活秩序,就是受欢迎的客人。 一、爬虫的法律风险 作为专门收集网络信息的技术,几乎所有与计算机领域相关的犯罪,都可能直接或间接地与爬虫关联。根据相关风险是否与数据相关,可以划分为与数据相关的风险及与一般性的计算机技术相关的风险。 二、与数据相关的风险 作为爬取数据的技术手段,爬虫最本质的特征就在于其对数据的高效收集。其最典型的法律风险,也与数据的采集和使用相关。 通常而言,如果爬虫收集的数据是保密数据或如局域网内等非公开数据,则相关行为既可能构成侵权、行政违法,也可能构成诸如非法侵入计算机信息系统罪、非法控制计算机信息系统罪等刑事犯罪。 需要注意的是,并不是只有爬取加密或不公开信息才有风险,即使爬取的是公开信息、甚至是大型网络平台的信息,也有可能构成犯罪。为了应对爬虫,许多网站通过Robot爬虫协议禁止爬虫收集其数据,也有一些网站采取反爬虫措施,限制爬虫的运行。违反Robot爬虫协议或采取技术手段绕开反爬虫措施,可能构成不正当竞争,也可能涉嫌非法获取计算机系统数据罪。 即使数据来源方没有禁止使用爬虫,也不代表可以不受限制地收集并利用数据。我国法律对特定类型的数据——如个人数据、著作权数据——规定了特殊的保护措施,爬虫收集对该类数据的收集及利用应当遵循相关的法律法规。当收集的是个人数据时,应当注意首先获取权利人的同意。未经允许收集他人的个人数据,即使该数据被合法地公开到了互联网上,也违反网络安全法等法律法规。若非法收集的情形严重或将非法获取的个人信息用于非法用途或出售,或超出授权范围使用个人数据,还有可能构成侵犯公民个人信息罪。去年开始的数据行业风暴,即多源于相关公司对个人数据的非法获取或利用。若未经他人许可而爬取他人著作或视频、音像等,可能违反《著作权法》的相关规定,情节严重的还可能构成侵犯著作权罪。 此外,数据的收集过程合法,并不代表相关数据可以被无限制的使用,还应注意不侵害他人正当的商业利益。例如,采集竞品公司的数据,用于自己的商业目的,可能构成不正当竞争。在大众点评与百度的纠纷中,百度未经大众点评允许收集其平台中的数据,并将其展示在百度地图或百度知道的搜索页面中,实质性地替代了大众点评的网站,直接影响了用户通过进入大众点评网站浏览相关数据的需求,最终被认定为构成不正当竞争。 三、与计算机技术相关的风险 作为计算机技术的应用场景,计算机行业的一般性风险,如破坏计算机信息系统罪、非法控制计算机信息系统罪等典型的计算机犯罪,也可能出现在爬虫应用中。例如,设计爬虫时,不合理地高频收集数据,导致数据来源方系统的正常运行受到影响,除可能承担侵权责任,还可能构成破坏计算机信息系统罪。又如,将开发的爬虫提供给他人用于实施犯罪,可能构成帮助信息网络犯罪活动罪、提供侵入、非法控制计算机信息系统程序、工具罪。此外,若明知他人以计算机技术作为手段实施犯罪,还为他人提供技术帮助,则可能成为他人所实施犯罪的共犯。 四、使用爬虫的原则:善意、注意 单看爬虫可能涉及的法律风险或罪名,难免给人一种印象:无论是收集数据还是技术应用,无论是收集保密数据还是公开数据,都可能构成犯罪,因此使用爬虫技术一定要万分小心,许多人因此将爬虫技术视为禁忌。其实,只要谨守两条原则:善意与注意,便可以在最大程度上避免风险。 所谓善意,与恶意相对,要求在使用爬虫时注意不要故意地侵扰数据来源方、相关第三方或社会公众的利益。在故意侵害他人利益应用爬虫的行为中,恶意表现的较为明显。例如,违反Robot爬虫协议或采取技术手段绕开反爬虫措施,爬虫使用者明确知道数据来源方拒绝其收集信息。同理,通过爬虫收集竞品信息用于自身商业目的的行为中,相关行为人也明确知道其行为可能对竞争对手造成的影响。在使用爬虫作为手段侵入他人系统或恶意改变搜索引擎排名等的情况中,使用者的恶意则更加明显。 当然,在很多情况下,只有善意并不足够,囿于知识、认识水平等原因,我们常常不会意识到自己的行为可能对他人造成影响或可能违反法律。因此,善意之外,还要求我们保持合理的注意。所谓注意,是指在应用技术时,爬虫使用者应对自己的行为可能侵害他人的利益保持高度的警觉。与注意原则相关的风险,通常出现在爬虫使用者不熟悉相关法律法规,或因个人设计失误而造成他人利益受损的情形。例如,开发者在程序设计时为了更高效地收集信息,未合理了解被爬网站的运行能力,设定了高频率批量收集信息的模式,结果对被爬网站造成干扰,影响被爬网站的正常运行。 善意与注意,实际上是同一概念下的两个方面,二者都强调爬虫应用时不应不合理地侵害他人权益,前者禁止的是积极地侵犯他人权益,后者禁止的是因自身的放任或忽视导致他人的权益受损。整体来看,绝大多数与爬虫相关的风险中,爬虫使用者都有较为明显的恶意,例如,无论是在病毒、木马式应用,还是绕过系统防控收集他人数据等行为中,爬虫使用者都能够清晰地认识到自己的行为不当。 因缺乏注意而导致的风险,则往往出现在爬虫使用者没有认识到或容易忽略信息所有者权利的场景中,典型的是对公开的个人数据的收集与利用。虽然近两年有关个人数据的收集规则被大力推广,但普通人对规则的了解还不全面,甚至完全没有个人信息保护的意识。许多爬虫开发者在应用爬虫时可能完全没有意识到自己收集个人数据需要获得用户的授权,所以建立基本的权利保护意识是完全必要的。 五、非商业化使用的例外:个人的非恶意使用通常不会导致刑事风险 如果说善意原则能通过个人的道德感、日常生活的学习感知等进行判断,相对容易遵守,注意原则对于许多个人开发者而言,则存在相当大的难度:与商业组织不同,个人开发者往往没有完整的运营团队,也很少系统地学习了除了专业知识之外的内容,所以,没有能力把控各类问题的法律界限。 同时,对于许多个人开发者而言,无论是日常对相关技术的学习、实验,还是为了家庭或工作方便,都会经常自行开发一些只供自己或少数特定人使用、没有商业目的的小程序,其中,就经常存在利用爬虫技术爬取他人数据的情形。由于只限于小范围内传播,且仅供自身日常使用,所爬取的数据一般都不会对第三方造成影响。 对于这些个人开发者而言,如果这些仅供个人使用或实验的程序,还需要通过严谨的商业开发流程去谈合作、做合规,无疑是不现实的。这些行为如果被认定为违法甚至构成犯罪,无疑将极大地挫败个人开发者的开发热情,也会对其学习应用相关技术造成阻碍。 其实,在与爬虫相关的法律规定中,行为人的商业或不法目的通常都是入罪时的重要考量因素,只有有严重危害后果的,才可能构成刑事犯罪。非商业化的应用,一般并不会导致刑事风险。例如,在与爬虫收集最直接相关的侵犯公民个人信息罪中,信息是否被非法提供、出售或被用于非法用途,以及所谓的“赃款”,都是重要的定罪因素。 从实践中的案例来看,最终被定罪处罚的,都存在诸如将收集的个人信息用于实施诈骗、出卖给第三方用于非法用途或其他的现实危害后果的情形,这在个人因日常需要而使用爬虫的情况中都不会存在。因此,仅仅是爬取网站的信息用于个人使用,通常不会被认定为犯罪。 因此,对于个人开发者而言,个人因日常需要而非商业化的使用爬虫技术,只要保持最基本的注意,不恶意使用相关技术,没有出现因个人程序影响他人网站正常运行的情形,都没有犯罪的风险。
登录
工商服务
危机公关
金融律师
app开发
财税服务
金融牌照
网站建设
知识产权
企业征信
审计评估