來源：零壹財經(jīng)

作者：羅茵茹

后臺回復“隱私報告”獲取報告全文。

摘要

大數(shù)據(jù)產(chǎn)業(yè)高速發(fā)展，數(shù)字經(jīng)濟在大幅提升效率的同時，用戶隱私也屢受侵犯。監(jiān)管機構、企業(yè)、個人對隱私保護的關注度正逐步抬升，相關立法也在緊鑼密鼓地推進。

2018年5月1日，《信息安全技術個人信息安全規(guī)范》（以下簡稱《信息安全規(guī)范》）正式實施。作為推薦性國家標準，盡管不具備法律效力和強制約束力，但《信息安全規(guī)范》明確了個人信息的收集、保存、使用、共享的合規(guī)要求，為網(wǎng)絡運營者制定隱私政策及完善內(nèi)控提供了重要指引。針對個人信息保護的專門立法也已列入十三屆全國人大常委會立法規(guī)劃，相關部門正在研究和起草。

隨著移動互聯(lián)網(wǎng)的崛起和智能手機的普及，國內(nèi)手機網(wǎng)民規(guī)?？焖倥噬?018年底的8.17億人，占全部網(wǎng)民的比重高達98.55%，手機銀行用戶數(shù)也攀升至2018年6月底的3.82億人。作為與上億用戶直接交互的終端工具，手機銀行接觸到了更多的個人敏感信息，更易成為泄露個人信息、侵犯用戶隱私的“溫床”。

本報告根據(jù)《信息安全規(guī)范》中的相關規(guī)定，基于10余個維度，對市面上44款手機銀行在App Store或注冊頁面兩個渠道發(fā)布的隱私政策進行測評，包括國有商業(yè)銀行（6家）、股份制商業(yè)銀行（12家）、A股或H股上市城商行、農(nóng)商行（26家）。

測評結果顯示，國有銀行App制定的隱私政策最為符合相關規(guī)定，平均得分最高，其次為股份制商業(yè)銀行，城商行、農(nóng)商行則相對得分較低。同時，在用戶注銷賬戶后對個人信息的處理方式、發(fā)生個人信息安全事件后銀行應承擔的法律責任等方面，44款手機銀行得分均較低，這也表明當前國內(nèi)大中型商業(yè)銀行在個人信息保護方面依然有較大的改進空間。

一、測評背景

（一）手機銀行發(fā)展現(xiàn)狀

移動互聯(lián)網(wǎng)時代的到來，讓網(wǎng)絡觸手可及，尤其隨著智能手機的普及，我國網(wǎng)民規(guī)模、手機網(wǎng)民規(guī)模迅速攀升。

據(jù)Wind統(tǒng)計，我國網(wǎng)民規(guī)模從2008年底的2.98億元增長至2018年底的8.29億元，10年間網(wǎng)民規(guī)模年均復合增長率為10.77%。手機網(wǎng)民規(guī)模也由2008年底的1.18億人，增長至2018年底的8.17億人，10年間年均復合增長率為21.35%。

另一方面，零售業(yè)務成為銀行轉(zhuǎn)型重要方向，各大商業(yè)銀行紛紛下重兵布局零售業(yè)務，手機銀行成為零售銀行客戶服務主渠道之一，手機銀行用戶數(shù)也快速攀升。

根據(jù)Wind統(tǒng)計數(shù)據(jù)，我國手機銀行用戶數(shù)由2014年6月的1.83億人迅速增加至2018年6月的3.82億人，4年間手機銀行用戶總?cè)藬?shù)的年均復合增長率為20.2%。

手機銀行與上億用戶在終端直接交互，涉及大量個人財產(chǎn)信息、身份信息等敏感信息，它們?nèi)绾潍@取、使用、保存、轉(zhuǎn)讓用戶個人信息受到越來越多的關注，其制定的隱私政策也成為關注的焦點。

（二）個人信息保護相關法律法規(guī)

近年來，在個人信息保護方面，國內(nèi)已陸續(xù)出臺相關法律法規(guī)以及規(guī)范性文件，但總體呈現(xiàn)分散立法狀態(tài)、法律效力也各有不同，包括《刑法》、《民法總則》、《消費者權益保護法》、《網(wǎng)絡安全法》、《電子商務法》等，以及推薦性國家標準《信息安全技術個人信息安全規(guī)范》等，司法解釋層面則有最高人民法院與最高人民檢察院聯(lián)合發(fā)布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》。針對個人信息保護的專門立法則已列入十三屆全國人大常委會立法規(guī)劃，相關部門正在抓緊研究和起草。

以下為我們整理的個人信息保護相關政策主要內(nèi)容。

資料來源：公開信息，零壹智庫

從實踐性和可操作性來看，《信息安全規(guī)范》在個人信息的收集、保存、使用、委托處理、共享、轉(zhuǎn)讓、公開披露，以及個人信息安全事件處置、組織管理要求等方面做出了相應的規(guī)范和指導，具有較強的指導性。

按照《信息安全規(guī)范》相關定義，個人信息指的是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、出生日期、身份證件號碼等。

表1-2：個人信息列舉

資料來源：《信息安全技術個人信息安全規(guī)范》，零壹智庫

而個人敏感信息指的是一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息，包括身份證件號碼、個人生物識別信息、銀行賬號等。

《信息安全規(guī)范》指出，個人信息控制者應制定隱私政策，內(nèi)容應包括但不限于個人信息收集方式、目的，對外共享、轉(zhuǎn)讓、公開披露個人信息的目的、涉及的個人信息類型，個人信息主體注銷賬戶的方法、撤回同意的方法等。

《信息安全規(guī)范》還給出了隱私政策模板和相關編寫要求。

二、測評標準與樣本選擇

本測評報告以《信息安全規(guī)范》相關規(guī)定為基準，報告選取了11個維度，對市面上44款手機銀行在App Store或注冊頁面兩個渠道發(fā)布的隱私政策進行測評，包括國有商業(yè)銀行（6家）、股份制商業(yè)銀行（12家）、A股或H股上市城商行、農(nóng)商行（26家）。

該評測標準僅代表第三方機構提出的合規(guī)化建議

三、測評結果

（一）總體情況

從上述兩個渠道來看，國有銀行更為重視隱私政策的設立，有5家均設立了獨立的隱私政策，占比高達83%；有13家城商行、農(nóng)商行也設立了獨立隱私政策，占比為50%；股份制銀行則比重相對較低，僅有4家設立了獨立隱私政策，占比僅為33%。

具體來看，盡管蘋果公司要求去年10月3日起所有新應用和應用更新版本時都需提供隱私政策，但測評結果發(fā)現(xiàn)，僅有50%在APP Store中提供可訪問的隱私政策，或者手機銀行中設有獨立的隱私政策。而32%的隱私政策鏈接為電子銀行客戶服務協(xié)議等，服務協(xié)議雖也涉及部分個人信息內(nèi)容，但仍不符合《信息安全規(guī)范》中的模板要求。此外，9%的隱私政策鏈接為銀行官網(wǎng)，如吳州銀行、錦州銀行等；9%的鏈接無法打開，如廣發(fā)銀行、渤海銀行等，所謂的隱私政策形同虛設。

基于上述11個維度的測評標準，若符合標準則得1分，不符合則不得分，11分為滿分，結果顯示，國有銀行App發(fā)布的隱私政策得分最高，平均得分為6.49分；其次為股份制銀行，平均得分為5.39分；城商行、農(nóng)商行平均得分最低，僅為2.53分。

（二）隱私條款細節(jié)分析

1. 告知和明示同意

關于基本業(yè)務功能的告知和明示同意的實現(xiàn)方法，《信息安全規(guī)范》規(guī)定：在基本業(yè)務功能開啟前（如個人信息主體初始安裝、首次使用、注冊賬號等），應通過交互界面或設計（如彈窗、文字說明、填寫框、提示條、提示音等形式），向個人信息主體告知基本業(yè)務功能所必要收集的個人信息類型，以及個人信息主體拒絕提供或拒絕同意收集將帶來的影響，并通過個人信息主體對信息收集主動做出肯定性動作（如勾選、點擊“同意”或“下一步”等）征得其明示同意。

不過，從圖7可以看出，雖然《信息規(guī)范》對于隱私政策的明示告知形式有明確的建議，但測評樣本中僅有27%使用了彈窗或在注冊頁面明確告知用戶，73%的隱私政策在手機銀行的“設置”、“關于我們”等較為隱蔽的位置，甚至無法找到。

2. 個人信息收集與使用目的

關于用戶個人信息的收集與使用，《信息安全規(guī)范》規(guī)定：詳細列舉收集和使用個人信息的目的，不得使用概括性語言。

從圖9可以看出，59%的銀行隱私政策在用戶個人信息收集與使用方面符合《信息安全規(guī)范》的要求，但仍有41%由于發(fā)布時間較早等原因，關于個人信息的收集與使用目的均用了概括性語言。從圖10可看出，隱私政策使用概括性語言的手機銀行主要集中于城商行、農(nóng)商行。

3.用戶權利說明

關于用戶對其個人信息可行使的權利，《信息安全規(guī)范》如下：隱私政策要說明用戶對其個人信息擁有何種權利，內(nèi)容包括但不限于：信息收集、使用和公開披露時允許用戶選擇的個人信息范圍，用戶所具備的訪問、更正、刪除、獲取等控制權限，用戶隱私偏好設置，用戶可以選擇的通信和廣告偏好，用戶不再使用服務后撤回同意和注銷賬號的渠道、用戶進行維權的有效渠道等。

從圖11和圖12可以看出，近六成手機銀行的隱私政策在“用戶訪問與更正個人信息說明”方面不符合《信息安全規(guī)范》要求，主要集中于城商行、農(nóng)商行，其中77%的城商行、農(nóng)商行所發(fā)布的隱私政策并未提及“用戶訪問與更正個人信息說明”。

在“用戶申請刪除個人信息說明”這一項上，明確提及的手機銀行僅占了27%，73%的銀行在隱私政策中并未提及。其中，75%的股份制銀行，85%的城商行、農(nóng)商行并未提及用戶在什么情況下可以申請刪除個人信息。

此外，當用戶注銷賬戶后，《信息安全規(guī)范》規(guī)定個人信息控制者（銀行）應提供用戶簡便易操作的注銷賬戶方法，并及時刪除用戶個人信息或做匿名化處理。但測評結果發(fā)現(xiàn)，不足10%的銀行在隱私政策中明確提及將對用戶的個人信息進行刪除或匿名處理；82%的銀行在隱私政策中并未提及用戶注銷后個人信息的處理辦法；9%的銀行提及用戶注銷賬戶后將對用戶信息進行其他處理，如中信銀行表示，用戶注銷賬戶時，視為用戶撤回同意，但并不影響銀行基于用戶撤回同意前的個人信息處理。相比其他銀行，用戶注銷賬戶即可刪除個人信息，但中信銀行則指出用戶若想刪除個人信息需注銷賬號后申請刪除才可實現(xiàn)。

4. 用戶信息安全保護

當發(fā)生個人信息安全事件后，《信息安全規(guī)范》規(guī)定，應表明在發(fā)生個人信息安全事件后，個人信息控制者將承擔法律責任。應表明在發(fā)生個人信息安全事件后，將及時告知個人信息主體。

但測評結果發(fā)現(xiàn)，44款手機銀行的隱私政策中，僅有工商銀行和中信銀行明確提及發(fā)生信息安全事故后承擔法律責任。

此外，《信息安全規(guī)范》指出，應標明在發(fā)生個人信息安全事件后，將及時告知個人信息主體。但我們的測評結果顯示，僅有41%的手機銀行明確提及將“及時通知”，59%未提及。

5. 用戶投訴或反饋

關于用戶的投訴或反饋，《信息安全規(guī)范》規(guī)定：個人信息控制者需要明確給出處理個人信息安全問題相關反饋、投訴的渠道，如個人信息安全責任部門的聯(lián)系方式、地址、電子郵箱、用戶反饋問題的表單等，并明確用戶可以收到回應的時間。

統(tǒng)計發(fā)現(xiàn)，44款手機銀行并未提及為用戶提供反饋問題表單，一般只會提供聯(lián)系方式（如客服電話、郵箱等），僅有工商銀行隱私政策中明確提及用戶可以收到回應的時間。

四、測評小結

作為一種基本人格權利，隱私權是指公民享有的私人生活安寧與私人信息依法受到保護，不被他人非法侵擾、知悉、搜集、利用和公開等的一種人格權。從全球范圍看，隱私權的保護歷史只有100多年，而中國歷史上缺乏保護隱私的傳統(tǒng)，直到上世紀80年代，隱私才被最高人民法院的司法解釋所保護。隨著近年來大數(shù)據(jù)產(chǎn)業(yè)迅猛發(fā)展，企業(yè)大量收集和使用個人信息，對用戶隱私的保護才受到大眾越來越多的關注。

本報告測評樣本覆蓋了目前市場上多數(shù)大中型商業(yè)銀行，我們也欣喜地看到，商業(yè)銀行在制定隱私政策方面有了長足進步，多數(shù)銀行均制定了獨立的隱私政策，對用戶個人信息的保護意識逐步提升，尤其是體量巨大的國有商業(yè)銀行，在本次測評中平均得分最高，全國性股份制商業(yè)銀行則位列其次。

不過，我們也看到，大多數(shù)手機銀行在某些細節(jié)條款中依然存在不符合相關規(guī)范的現(xiàn)象，甚至有些手機銀行的隱私政策鏈接顯示為銀行官網(wǎng)或者無法打開，所謂的隱私政策形同虛設，這也表明當前國內(nèi)商業(yè)銀行在個人信息保護方面依然有較大的提升空間。我們相信，隨著監(jiān)管機構、企業(yè)、個人對隱私保護的重視程度逐漸增強，一個個人信息與用戶隱私全面受保護的時代即將來臨，當然，這也必然是任重而道遠的，讓我們一起努力。

-/ END /--

零壹財經(jīng)精彩活動

了解最新資訊請點擊文末“閱讀原文”

推薦閱讀：天秀時尚網(wǎng)