《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)自11月1日起正式实施。而就在近日，工信部公布第三次“回头看”的检查结果，并通报38款违规APP。

《每日经济新闻》记者注意到，其中包括深圳市移卡科技有限公司(以下简称“移卡”)旗下的收付款APP“刷宝”，所涉问题是“超范围收集个人信息”，“APP强制、频繁、过度索取权限”。

那么，对于支付企业而言，在个人信息收集方面，未来应如何规避风险？信息收集的尺度又在哪里？博通分析金融行业资深分析师王蓬博认为有几条原则是必须遵循的，首先肯定是最小化和非必要不收集的原则，其次涉及到每次单独应用个人信息时需要遵守用户明确授权原则。

工信部点名移卡旗下APP超范围收集个人信息

近日，工信部微信公众号“工信微报”发布《关于APP超范围索取权限、过度收集用户个人信息等问题“回头看”的通报》，公布了工信部第三次“回头看”的检查结果，共发现38款APP存在问题。

通报要求这38款APP应在11月9日前完成整改，逾期不整改或整改不到位的，工信部将依法依规进行处置并予以行政处罚。

每经记者注意到，此次工信部通报的违规APP名单中，移卡旗下“刷宝”APP在列。据通报内容，在OPPO软件商店，刷宝APP 3.4.5(001)版本被指超范围收集个人信息，强制、频繁、过度索取权限。

OPPO软件商店显示，刷宝是为中小微商户设计的便携式移动收款APP，支持所有银联卡刷卡付款、微信、支付宝扫码支付，采用T+0、T+1结算模式，最快2小时到账，方便快捷。同时提供信用卡还款、转账汇款、手机充值以及商家营销等多种便民服务。

11月9日，记者发现该软件已经更新到了3.4.7版本，首次打开APP，页面显示《服务协议和隐私政策》，其中提及“使用过程中，我们将在根据具体功能需要获取某项手机权限时，再次请您确认同意，并在条款说明的范围内收集、使用、共享并保护您的个人信息，如您拒绝开启权限，将不影响其他功能的使用。”

对此，记者采访了移卡相关人士，但截至发稿，未收到对方回复。

至于如何定义“超范围收集个人信息”以及“强制、频繁、过度索取权限”，中国电子信息产业发展研究院网络安全研究所所长刘权在接受记者采访时表示，目前相关法律及政策文件并未对上述关键词的概念做出直接定义，但进行了间接解释。

针对“超范围收集个人信息”，刘权表示，2019年中央网信办等四部门联合发布《App违法违规收集使用个人信息行为认定方法》，明确了可被认定为“违反必要原则，收集与其提供的服务无关的个人信息”的六大行为，“超范围收集个人信息”可解释为“违反必要原则，收集与其提供的服务无关的个人信息”。

2021年工信部会同公安部、市场监管总局起草了《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》(以下简称《征求意见稿》)，其中第七条提出，从事App个人信息处理活动的，应当具有明确、合理的目的，并遵循最小必要原则，不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动。刘权表示，“超范围收集个人信息”可解释为收集未经用户同意的或与服务场景无关的个人信息。

对于“APP强制、频繁、过度索取权限”，刘权告诉记者，根据《征求意见稿》第六条、第七条内容，“APP强制索权”可解释为未经用户同意或用户拒绝相关授权申请后，APP强制更改用户设置的权限状态，或以APP可用性为条件，强制要求用户同意打开相关系统权限；“APP频繁索权”可解释为利用弹窗等技术手段，反复申请与当前服务场景无关的权限；“APP过度索权”可解释为APP申请超出其业务功能的权限。

工信部披露的名单显示，刷宝的应用开发者是“移卡”。在移卡官网可以看到，移卡的支付服务由子公司乐刷科技有限公司(以下简称“乐刷”)负责，后者于2014年获得央行颁发的支付业务许可证(又称“第三方支付牌照”)，提供全国范围内的银行卡收单及移动电话支付业务。央行信息显示，乐刷的第三方支付牌照获批的具体日期是2014年7月10日，并于2019年7月10日通过续展，有效期至2024年7月9日。

据悉，移卡(09923.HK)于去年6月1日在香港上市，今年9月23日，移卡发布2021年中期报告称，由于其一站式支付业务从疫情中恢复以及科技赋能商业服务的显著成长，移卡今年上半年收入为14.025亿元，与去年同期相比，同比增长30.2%；利润同比增长30.7%，至2.911亿元。

专家：合规使用数据提升服务能力是关键

作为日常使用最频繁的软件之一，收付款APP在使用前往往需要实名认证、绑定银行卡等操作。这会涉及更敏感的个人信息，甚至关系到个人财产安全，引起人们对个人信息安全的担忧。

那么，收付款APP可能会收集哪些个人信息，哪些是业务必须的，而哪些又是非必须的，尺度在哪里？

博通分析金融行业资深分析师王蓬博在接受记者采访时表示，不同的支付平台收集的个人信息因为用处不同，收集的范围是不同的。“比如你要通过支付平台绑卡，那就肯定需要银行卡账户信息以及个人身份等信息。如果仅仅是通过支付宝寄快递，那就只需要个人电话和地址。”

对于支付业务收集个人信息的尺度，王蓬博认为有几条原则是必须遵循的，首先肯定是最小化和非必要不收集的原则，其次涉及到每次单独应用个人信息时需要遵守用户明确授权原则。

易观高级分析师苏筱芮则向记者表示，今年三月，网信办、工信部等四部门联合发布了《常见类型移动互联网应用程序必要个人信息范围规定》，根据文件精神，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，不得收集与其提供的服务无关的个人信息。支付APP相关的为文件当中的“网络支付类”，必要个人信息包括两类，一是用户手机号；二是用户姓名、证件类型和号码、证件有效期限与银行卡号码。

近年来，数据保护成为监管重点，《个人信息保护法》的实施会给第三方支付机构展业带来哪些影响？第三方支付机构应该如何规范地收集和使用数据？

苏筱芮认为，《个人信息保护法》的出台不仅给个人信息保护工作的顺利开展奠定优良根基，而且作为信息保护领域的上位法，后续亦将加速推动征信业务管理、个人金融信息保护等支付相关的法规条例出台，预计会给行业带来的变化主要有两个方面：一是部分合规意识低下、合规水平不足的机构难以适应大环境，从而逐步退出市场；二是隐私计算等围绕个人信息保护的技术产业将加速崛起，科技的工具属性将被更多地引导和运用于良性方面。

个人信息保护的工作完善流程并非一蹴而就，苏筱芮向记者表示，支付机构及其合作伙伴应该从数据的采集、存储、加工、传输、披露等环节规范用户个人信息管理，例如采集前需征求用户同意，必要时应采取去标识化原则等，通过制度及流程的梳理来加强内部管控，遵循“用户授权、最小够用、专事专用、全程防护”原则，对于其中的不规范信息管理行为及时纠偏。

“此外，相关法律法规的审核修订是一个与时俱进的过程，机构需要保持对监管要求的最新关注与跟进，安排专人开展研究并及时作出业务方面的合规调整。”她补充说。

王蓬博则认为，《个人信息保护法》对支付行业的影响不会很大。“To C的支付平台几年前就已经开始注意个人信息的保护和合法利用，目前只需要重新从产品的角度进行合规细化，比如是否在每次利用用户信息数据时都遵循用户明确授权原则，以及输出数据时的封装问题等。”他向记者表示。

不过，在《个人信息保护法》正式施行的背景下，第三方支付机构要承受的压力将更多来自于如何使用数据。王蓬博直言：“实际上，重点不在于第三方支付机构掌握了多少用户数据，而在于他们有没有合规地运用和运营数据，以及是否具备使用这些数据去为用户和商户提供服务的能力。合规使用数据以提升服务水平才是第三方支付机构所必须要具备的能力。”

他认为，第一，第三方支付机构肯定要按照《个人信息保护法》规定，处理个人信息应当具有明确、合理的目的，并与处理目的直接相关，采取对个人权益影响最小的方式；收集个人信息应当限于实现处理目的的最小范围，不得过度收集个人信息。公开处理规则、保证信息质量、采取安全保护措施等原则应当贯穿于个人信息处理的全过程、各环节。

第二，根据《个人信息保护法》第五章的相关规定，第三方支付机构要遵守个人信息处理者的义务，包括指定个人信息保护负责人，定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施。

（文章来源：每日经济新闻）