日前，中国互联网金融协会公布《移动金融客户端应用软件典型违规案例》，这已是中国互联网金融协会年内第三次公布移动金融App违规案例，旨在加强行业规范。

　　受访者指出，移动金融App频繁违规收集个人信息，主要是机构在收集用户信息时，隐私保护措施不足，未遵循用户知情同意、目的限制和最小必要原则。

　　违规收集个人信息问题突出

　　根据协会公布的内容，某移动金融App使用的第三方SDK收集用户“设备MAC地址、AndroidID、OAID”等敏感信息，但未在隐私政策中告知用户。该App未对第三方SDK进行个人信息保护能力评估，导致SDK私自收集用户信息。

　　监管部门对此早有明确规定。工信部通知要求App开发者加强SDK使用管理，进行个人信息保护能力评估，明确各方权利和义务，确保信息处理合规；集中展示并及时更新嵌入的SDK信息。

　　同时，工信部另一通知明确将违规收集个人信息作为整治重点，包括App、SDK未告知用户收集信息的目的、方式、范围且未经用户同意的行为。

　　中国（上海）自贸区研究院金融研究室主任刘斌表示，协会发布案例具有警示作用，机构应全面了解第三方SDK收集信息范围，并在隐私政策中告知用户；同时，全面评估SDK风险，选择合规SDK。

　　年内已发布三期违规案例

　　年内，中国互联网金融协会已发布三期移动金融客户端应用软件典型违规案例。1月22日发布第一期，涉及某金融App在用户拒绝权限申请后，仍弹窗申请与当前服务场景无关的权限；3月5日发布第二期，通报某App向其他个人信息处理者提供信息时，未向个人告知相关信息，未取得单独同意。

　　刘斌分析认为，违规案例特点包括用户告知环节易被忽视，导致信息共享时未能向用户披露并获取授权；“单独同意”机制执行不足；内部管理机制不完善，信息共享缺乏必要审核流程。

　　北京市社会科学院副研究员王鹏建议，金融机构应加强内部管理和培训，提高合规意识；提升技术手段和防护能力；关注用户隐私边界，建立数据泄露监测和响应机制；建立健全内部审核机制，对信息共享行为严格管控。

　　中国银行研究院研究员叶银丹表示，机构应重点关注用户知情同意、目的限制和最小必要原则，完善数据安全规范管理。同时，从数据采集、存储、加工、传输、披露等环节规范用户信息管理，建立全流程合规机制，强化第三方合作管控。

（文章来源：证券日报）