案例解析 | 金融行业12项个人信息违规场景及合规要点披露!

news2024/12/23 14:35:17

2024年4月,国家金融监督管理总局重庆监管局、重庆市地方金融管理局、重庆市通信管理局三部门联合印发《关于促进金融服务类App个人信息保护合规经营能力提升的通知》(以下简称《通知》)。此前工信体系从未发布针对金融服务类App的针对性指引文件,本次是具有极强创新性的地方实践《通知》首次明确三部门建立联合监管工作机制监管部门针对金融服务类App的监管力度持续加强。

为协助金融类企业加强个人信息合规能力,小编特收集金融行业三大类问题,总计12条具体场景及三大类合规要点供各位参考。

案例来自监管部门近2年公开资料,详情如下:1.银保监会《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知(银保监办法〔2022〕80号)》2.上海网信办《网络理财小贷场景违法违规收集使用个人信息案例解析》3.金管局《中国人民银行金融消费者权益保护典型案例》

问题一:超范围、过度及违规收集
 

案例如下:
1.消费者使用某银行贷款微信小程序,该小程序以“定位分行属地”为由申请非必要的精准位置信息。2.消费者使用某手机银行App注册登录功能时,该App以“填写验证码”为由申请非必要的短信权限,消费者拒绝后,重新使用注册登录功能,仍继续弹窗申请短信权限,严重干扰消费者使用。3.通过格式化合同、业务申请表向消费者收集非办理业务或提供服务所必需的个人信息。4.利用有奖问答、赠送礼物等方式诱导消费者提供与本人业务或服务无关的个人信息。5.将提供非办理业务必需的个人信息作为受理业务前提条件。6.第三方SDK收集软件安装列表、设备MAC地址、GPS定位等信息,未在隐私声明中告知用户。

问题二:未经同意收集、未公开收集使用详情

案例如下:1.在未取得消费者同意的情况下,利用移动互联网应用程序(App)获取手机通讯录、监测输入内容、监听语音收集消费者个人信息;未在官网、App主动披露隐私政策;通过非法途径盗取或购买消费者个人信息等。2.消费者使用某保险类小程序时,该小程序在消费者同意隐私政策之前就向消费者申请授权精准位置信息。3.App首次运行时未主动提示消费者阅读隐私政策;消费者使用借款、注册等功能时,App强制要求消费者同意第三方产品隐私政策或默认同意隐私政策。

问题三:强制、不正当收集、频繁索权

案例如下:1.消费者使用某投资理财类App拍照上传头像功能,该App申请非必要的存储权限(实际只需拍照权限即可),否则无法使用拍照上传头像功能。2.消费者使用某消费分期类App语音搜索功能时,该App申请非必要的存储权限(实际只需麦克风权限即可),否则无法使用语音搜索功能。3.在格式化的合同、业务申请表、App隐私政策中加入无法选择的不合理授权条款,强制消费者同意将其信息用于与所办理业务无关的用途(如同意用于营销推介、同意向外部机构或个人提供等),否则无法正常办理业务、使用服务或功能。

个人信息合规要点

一、关注多个监管体系要求
仅2024年一季度便已有20余款金融类APP被监管部门通报批评,各企业继续学习工信部、网信办、公安部、市监局四大监管部门,目前较常被四大监管部门使用的文件约26份。

金管局、央行、证监会三大金融行业主管部门也不断发文强调个人信息安全,企业极难融会贯通多监管部门及主管部门要求进行合规检测,急需借助专业机构提高个人信息合规能力。
二、遵守三大原则
1.合法正当原则:处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。金融机构在开展互联网业务时,对于向第三方提供、分享、委托处理个人信息的,即使已经取得了用户的充分授权,也应当评估该等向第三方提供的处理方式是否直接与业务相关,是否具有必要性,是否采取了对借款人权益影响最小的方式2.最小必要原则:处理个人信息应当②具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。例如互联网信贷业务中收集工作单位领导/同事的联系方式、父母配偶等多名亲属联系方式,与借贷无关的金融信息、生物识别信息、或者其他与借贷无关的借款人个人私密信息,都不符合最小必要原则。3.公开透明原则:处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。金融机构应当向用户公开自身的个人信息处理规则,并说明具体的处理目的、方式和范围。
三、分析应用及内嵌第三方SDK行为部分开发者个人信息保护意识不足或对第三方SDK不熟悉,如调用第三方SDK以实现广告、推送等功能时,未声明该SDK获取GPS定位、系统软件列表等行为,导致应用违规。企业需对应用行为及SDK行为进行深度分析。爱加密可通过唯一标识精准识别SDK信息、版本,通过行为调用栈判别、区分行为应用主体或SDK,识别收集使用个人信息行为、权限使用情况、通信IP次数、收集使用个人信息。协助企业分析个人信息违规风险。

爱加密可提供专业的移动应用个人信息安全检测、移动应用个人信息安全合规评估服务。可帮助应用开发企业在应用发布前评估个人信息的安全性和合规性,从源头上降低被监管机构通报的风险。出具专业的个人信息测评报告,助力企业提升个人信息安全合规能力。

作为国内知名的移动信息安全综合服务提供商,爱加密时刻关注我国的个人信息安全发展状况,致力于通过优质的核心技术,帮助企业、监管机构、测评机构等实现移动应用的合法合规,从行业实践角度着手大力推动我国移动应用个人信息安全保护生态的良好发展。

END

欢迎给我们留言或评论~

我们将持续发布技术解读、解决方案、行业报告

点击关注,不错过下次精彩内容

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1652029.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Golang | Leetcode Golang题解之第74题搜索二维矩阵

题目&#xff1a; 题解&#xff1a; func searchMatrix(matrix [][]int, target int) bool {m, n : len(matrix), len(matrix[0])i : sort.Search(m*n, func(i int) bool { return matrix[i/n][i%n] > target })return i < m*n && matrix[i/n][i%n] target }

结构方程模型【SEM】:系统发育数据纳入结构方程模型技术

张老师&#xff08;研究员&#xff09;&#xff0c;长期从事R语言结构方程模型、群落生态学、保护生物学、景观生态学和生态模型方面的研究和教学工作&#xff0c;已发表了多篇论文&#xff0c;拥有丰富的科研及实践经验。 对于包含物种信息的数据而言&#xff0c;物种的亲缘关…

基于web的物流管理系统

文章目录 项目介绍主要功能截图&#xff1a;部分代码展示设计总结项目获取方式 &#x1f345; 作者主页&#xff1a;超级无敌暴龙战士塔塔开 &#x1f345; 简介&#xff1a;Java领域优质创作者&#x1f3c6;、 简历模板、学习资料、面试题库【关注我&#xff0c;都给你】 &…

全面升级!一套基于Spring Boot 3+JDK17的实战项目!

最近把mall项目升级支持了Spring Boot 3JDK17&#xff0c;今天就来介绍下mall项目做了哪些升级&#xff0c;包括依赖的升级、框架的用法升级以及运行部署的改动&#xff0c;目前Spring Boot 3版本代码在mall项目的dev-v3分支下&#xff0c;希望对大家有所帮助&#xff01; mall…

长难句打卡5.8

If it is trying to upset Google, which relies almost wholly on advertising, it has chosen an indirect method: there is no guarantee that DNT by default will become the norm. 如果它想激怒几乎全靠广告业务运营的谷歌公司的话&#xff0c;那么它选择了一个间接的方…

软件合规 安全可控 | 企业软件合规化管理方案

软件合规&#xff0c;安全可控&#xff0c;这是当下企业运营中不可或缺的两个关键词。随着信息技术的迅猛发展&#xff0c;企业对于软件的需求与日俱增&#xff0c;然而&#xff0c;如何确保软件的合规性和安全性&#xff0c;却成为了摆在企业面前的一大难题。Ping32企业软件合…

[嵌入式系统-69]:RT-Thread-组件:网络组件“组”,RT-Thread系统通向外部网络世界的入口

目录 RT-Thread 提供的网络世界入口 - 网络组件 1. 总概 2. AT 3. Lwip&#xff1a; 轻量级IP协议栈 4. W5500 5. Netdev 6. RT-Thread SAL&#xff08;Socket Abstraction Layer&#xff09;套接字和BSD套接字区别 RT-Thread SAL 套接字接口示例 BSD 套接字接口示例 …

通过 Java 操作 redis -- list 列表基本命令

目录 使用命令 lpush&#xff0c;lrange&#xff0c;rpush 使用命令 lpop 和 rpop 使用命令 blpop&#xff0c;brpop 使用命令 llen 关于 redis list 列表类型的相关命令推荐看Redis - list 列表 要想通过 Java 操作 redis&#xff0c;首先要连接上 redis 服务器&#xff…

深圳比创达电子|EMI一站式解决方案:提升企业电磁兼容性的路径

随着电子技术的快速发展&#xff0c;电磁干扰&#xff08;EMI&#xff09;问题日益凸显&#xff0c;对电子设备的正常运行和性能稳定造成了严重影响。为了有效应对这一挑战&#xff0c;EMI一站式解决方案应运而生&#xff0c;成为众多企业和个人解决EMI问题的首选方案。 一、E…

在下游市场需求带动下 轮胎模具市场规模逐渐扩大

在下游市场需求带动下 轮胎模具市场规模逐渐扩大 轮胎模具是通过硫化、成型等工序生产各种轮胎的一种工具。轮胎模具是生产轮胎的关键设备之一&#xff0c;其性能直接影响到轮胎的耐用性和安全性。根据花纹加工工艺不同&#xff0c;轮胎模具加工工艺可分为精密铸造工艺、数控雕…

手动实现简易版RPC(四)

手动实现简易版RPC(四) 往期内容 手动实现简易版RPC&#xff08;一&#xff09;&#xff1a;RPC简介及系统架构 手动实现简易版RPC&#xff08;二&#xff09;&#xff1a;简单RPC框架实现 手动实现简易版RPC(三)&#xff1a;mock数据生成 前言 接上几篇博客我们实现了最…

MT2049 运动会进行中

思路&#xff1a;使用a存前缀和。遇见女生-1&#xff0c;遇见男生1。之后遍历a的时候&#xff0c;如果a[i]a[j]&#xff0c;则说明ij这个区间里男女生数量是一样的。所以即求ij这个区间最大长为多少。可以用l[]r[]数组记录某个数第一次出现的位置和最后一次出现的位置。 例如样…

【代码随想录——字符串】

1. KMP算法 最长相等前后缀 1.1 如何计算前缀表 前缀&#xff1a;是包含首字母&#xff0c;不包含尾字母的所有子串后缀&#xff1a;是包含尾字母&#xff0c;不包含首字母的所有子串 求最长相等前后缀的长度 假设我们有一个模式串&#xff1a;aabaaf 模式最长相等前后缀最…

使用公有云主机部署ftp服务被动模式(centos操作系统)

文章目录 前言一、FTP服务搭建1.1 部署服务1.2 修改配置文件1.3 重启服务1.3 配置项解答 二、安全组设置访问规则2.1配置监听端口2.2 配置数据端口三、使用ftp登陆工具测试3.1 使用工具进行测试 总结 前言 使用公有云上的云主机搭建FTP服务器。 步骤思路&#xff1a; 1、云主机…

20240507 ubuntu20.04+ros noetic 跑通lioslam

任务&#xff1a;跑通lioslam 主要参考博客 IMU激光雷达融合使用LIO-SAM建图学习笔记——详细、长文、多图、全流程_ubuntu_AIDE回归线-GitCode 开源社区 (csdn.net) 1.不要用这一句 wget -O ~/Downloads/gtsam.zip https://github.com/borglab/gtsam/archive/4.0.0-alpha2…

web安全day03

MYSQL注入&#xff1a; SQL 注入的原理、危害及防御措施 SQL 注入的原理&#xff1a;原本的 SQL 语句在与用户可控的参数经过了如拼接、替换等字符串操作后&#xff0c;得到一个新的 SQL 语句并被数据库解析执行&#xff0c;从而达到非预期的效果。 SQL 注入的危害&#xff…

Java集合简介

单列集合 双列集合

MySQL数据库及数据表的创建

1.创建一个名叫 db_classes 的数据库&#xff1a; 创建一个叫 db_classes 的数据库MySQL命令&#xff1a; create database db_classes; 运行效果&#xff1a; 创建数据库后查看该数据库基本信息MySQL命令&#xff1a; show create database db_classes; 运行效果&#xff…

社交媒体数据恢复:多闪

社交软件多闪是一款深受用户喜爱的社交应用&#xff0c;用于与朋友、家人保持联系。有时&#xff0c;多闪软件的聊天记录可能会丢失或被删除&#xff0c;这时用户需要进行数据恢复。本文将详细介绍多闪软件聊天记录的恢复过程。 一、多闪软件聊天记录恢复方法 从手机备份中恢…

Vue 中 $nextTick 的作用是什么?

目录 一、NextTick是什么 为什么要有nexttick 二、使用场景 三、实现原理 一、NextTick是什么 官方对其的定义 在下次 DOM 更新循环结束之后执行延迟回调。在修改数据之后立即使用这个方法&#xff0c;获取更新后的 DOM 什么意思呢&#xff1f; 我们可以理解成&#xff0c…