日前，中国互联网金融协会公布《移动金融客户端应用软件典型违规案例》，经梳理，这已是中国互联网金融协会年内第三次公布相关违规案例。

  受访者一致认为，移动金融App违规收集个人隐私信息背后原因是机构在收集大量的用户个人信息以做多元化的分析和挖掘时，在隐私保护方面存在欠缺，未遵循用户知情同意、目的限制原则和最小必要原则，导致违规问题频发。

  根据中国互联网金融协会公布内容来看，某移动金融App使用的第三方SDK收集用户“设备MAC地址、AndroidID、OAID”等个人隐私信息，但未在App隐私政策中向用户告知上述第三方SDK（软件开发工具）收集个人隐私信息情况。

  其问题根源是，该移动金融App在使用第三方SDK前未进行SDK个人隐私信息保护能力评估，对其使用的第三方SDK收集个人隐私信息范围未全面掌握，造成所使用的第三方SDK私自收集个人信息。

  事实上，此前监管部门对以上问题曾有过明确规定。《工业与信息化部关于逐步提升移动网络应用服务能力的通知》中要求App开发者加强工具（SDK）使用管理：使用SDK前对其进行个人隐私信息保护能力评估，通过合同等形式明确约定各方权利和义务，确保个人信息处理依法合规；集中展示并及时来更新嵌入的SDK名称、功能及其处理个人隐私信息的规则。

  同时，《工业与信息化部关于开展纵深推进App侵害用户权益专项整治行动的通知》中明确整治任务包括违规收集个人隐私信息。重点整治App、SDK未告知用户收集个人隐私信息的目的、方式、范围且未经用户同意，私自收集用户个人隐私信息的行为。

  “协会发布相关案例在业内具有警示作用，机构应全方面了解第三方SDK收集个人隐私信息范围，并在App自身隐私政策中完整向用户告知；同时，机构也应全面评估使用的第三方SDK是不是真的存在风险，选择使用合规SDK。”中国（上海）自贸区研究院金融研究室主任刘斌对《证券日报》记者说。

  经梳理，年内中国互联网金融协会已发布三期移动金融客户端应用软件典型违规案例。中国互联网金融协会在1月22日发布《移动金融客户端应用软件典型违规案例》第一期，某金融App申请连接使用蓝牙key功能，用户在同意“存储”权限申请告知后拒绝权限申请。App重新运行时，仍向用户弹窗申请该权限，且该权限与当前服务场景无关；3月5日发布《移动金融客户端应用软件典型违规案例》第二期，通报某移动金融App向其他个人隐私信息处理者提供其处理的个人信息时，未向个人告知接收方的名称或者姓名、联系方式、处理目的、解决方法和个人隐私信息的种类，未取得个人的单独同意。

  刘斌分析认为，从通报违规案例特点来看，一是对用户告知环节容易被忽视，导致在涉及第三方的信息共享环节中，未能主动向用户披露有关信息并获取明确授权。二是对“单独同意”机制理解执行不足。此外，内部管理机制的不完善也可能会引起在信息共享环节缺乏必要的审核流程，使得信息在未经用户充分授权的情况下被提供给第三方。

  在北京市社会科学院副研究员王鹏看来，金融机构应在以下几方面守护个人隐私信息安全底线。第一，加强内部管理和培训。组织员工深入学习个人信息保护法律和法规和监督管理要求，提高合规意识和法律意识。第二，提升技术方法和防护能力，加强对个人隐私信息存储和传输环节的安全保护；第三，机构仍需关注用户隐私边界，建立数据泄露监测和响应机制，及时有效地发现并应对数据泄露事件；第四，建立健全内部审核机制，对涉及第三方的信息共享行为进行严格管控，确保符合法律和法规要求。

  中国银行研究院研究员叶银丹对《日报》记者表示，机构应着重关注用户知情同意、目的限制原则和最小必要原则，完善数据安全规范管理。同时，金融机构及其合作伙伴需从数据采集、存储、加工、传输、披露等环节规范用户个人隐私信息管理。同时能建立全流程合规机制并细化权限管理，区分必要授权与非必要授权，对于重点和敏感信息应给予用户单独同意的权利。此外，要强化第三方合作管控，确保用户对银行与第三方的个人隐私信息合作共享事项知情同意，与外部合作方签署协议，明确责任边界。同时，通过弹窗、视频等形式做好用户教育和特别提醒，避免“长篇条款”导致的用户忽视和反复询问带来的体验感下降。