每位记者：廖丹 每位记者实习生：冯殿军 每位编辑：廖丹

《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）将于11月1日起正式实施。就在近日，工业和信息化部公布了第三次个人信息保护法结果。 “回头看”检查，通报违法应用38个。

《每日经济新闻》记者注意到，其中就有微信夜卡科技有限公司（以下简称“一卡”）旗下的收付APP“刷宝”。 涉及问题为“超范围收集个人信息”、“APP强力、频繁、过度请求权限”。

那么，对于支付公司来说，未来在收集个人信息方面应该如何规避风险呢？ 信息收集的规模有多大？ 博通分析金融行业高级分析师王鹏博认为，有几个原则必须遵循。 第一个绝对是最小化和不收集不必要信息的原则。 二是个人信息每次单独使用均需遵守用户明确授权的原则。

工信部点名夜卡APP超范围收集个人信息

近日，工信部微信公众号“工业和信息化微宝”发布《关于APP过度请求权限、过多收集用户个人信息等问题的回溯通知》，公布了工信部的处理结果。工业和信息化第三次“回头看”检查。 总共发现38个应用程序存在问题。

通知要求，这38家APP应在11月9日前完成整改，逾期未整改或整改不到位的，工信部将依法依规予以处理，并给予处罚行政处罚。

每经记者注意到，在工信部通报的违法APP名单中，夜卡旗下的“刷宝”APP就被列入其中。 报道称，在OPPO软件商店中，刷宝APP 3.4.5（001）版本被指超范围收集个人信息，并强制、频繁、过度请求权限。

据OPPO软件商店介绍，刷宝是一款专为中小微商户设计的随身移动支付APP。 支持所有云闪付刷卡支付、微信、支付宝扫码支付，并采用T+0、T+1结算模式，最快2小时内到账，方便快捷。 还提供信用卡还款、转账汇款、手机充值、商户营销等多种便捷服务。

11月9日，记者发现该软件已更新至3.4.7版本。 首次打开APP时，页面显示《服务协议及隐私政策》，其中提到“在使用过程中，我们会根据特定功能需求获取某些手机功能”。 授予权限时，请再次确认您的同意，并在条款和条件的范围内收集、使用、共享和保护您的个人信息。 如果您拒绝开启权限，不会影响其他功能的使用。”

对此，记者采访了叶卡相关人士，但截至发稿，尚未收到对方回复。

至于如何界定“过度收集个人信息”和“强制、频繁、过度请求权限”，中国电子信息产业发展研究院网络安全研究所所长刘泉在接受记者采访时表示，目前尚无相关法律和政策文件。 上述关键字的概念并不是直接定义的，而是间接解释的。

针对“超范围收集个人信息”，刘全表示，2024年，国家网信办等四部门联合发布了《App非法收集、使用个人信息行为认定办法》，明确什么可以认定为“违反必要性原则、违规收集、使用个人信息”、“与所提供的服务无关的个人信息”、“超范围收集个人信息”六大行为“违反必要性原则，收集与所提供服务无关的个人信息”。

2024年，工业和信息化部会同公安部、市场监管总局起草了《移动互联网应用个人信息保护管理暂行规定（征求意见稿）》（以下简称《征求意见稿》）。 该条第七条提出，在App活动中从事个人信息处理的，必须有明确合理的目的，遵循最低必要性原则。 不得从事超出用户同意范围或与服务场景无关的个人信息处理活动。刘全表示，“超出收集个人信息范围”可以理解为未经用户同意而收集个人信息或者与业务场景无关。

对于“APP强制、频繁、过度请求权限”，刘泉告诉记者，根据《征求意见稿》第六条、第七条，“APP强制请求权限”可以解释为未经用户同意或者未经用户同意的行为。拒绝相关授权。 申请后，APP强制改变用户设置的权限状态，或根据APP的可用性强制用户同意开放相关系统权限； “APP频繁请求权限”可以理解为利用弹窗等技术手段重复申请与当前服务场景不符的服务。 不相关的权限； “APP过度请求权限”可以理解为APP申请的权限超出其业务功能。

工信部披露的名单显示，该刷钱应用的开发商为“一卡”。 从夜卡官网可以看到，夜卡的支付服务由其子公司乐数科技有限公司（以下简称“乐数”）负责处理。 后者于2014年获得央行颁发的支付业务许可证（又称“第三方支付”）。 央行信息显示，乐数第三方支付牌照具体批准日期为2014年7月10日，并于2024年7月10日换发，有效期至2024年7月9日。

据悉，椰卡（.HK）于去年6月1日在香港上市。 今年9月23日，夜卡发布2024年中期报告称，由于一站式支付业务从疫情中恢复，科技赋能商业服务大幅增长，夜卡今年上半年营收14.025亿元，与去年同期相比，同比增长30.2%； 利润同比增长30.7%至2.911亿元。

专家：合规使用数据提升服务能力是关键

支付APP作为日常生活中使用频率最高的软件之一，在使用前往往需要进行实名认证、绑定银行卡等操作。 这将涉及更多敏感的个人信息甚至个人财产的安全，引发人们对个人信息安全的担忧。

那么，支付APP可能会收集哪些个人信息，哪些是业务所必需的，哪些是不必要的？ 标准是什么？

博通分析金融行业高级分析师王鹏博在接受记者采访时表示，不同支付平台因用途不同，收集个人信息的范围也不同。 “比如你想通过支付平台绑定卡，肯定需要银行卡账户信息和个人身份信息。如果只是通过支付宝发快递，则只需要你的个人电话号码和地址。”

对于支付业务中收集个人信息的规模，王鹏博认为，有几个必须遵循的原则。 首先，一定是尽量减少、不收集不必要的信息的原则。 其次，涉及到每次单独使用个人信息都需要遵守用户明确授权的原则。

易观高级分析师苏晓锐告诉记者，今年3月，国家网信办、工业和信息化部等四部门联合发布了《常见类型移动互联网应用所需个人信息范围规定》。 根据文件精神，网络运营者收集、使用个人信息应当遵循合法、正当、必要的原则，不得收集与其提供的服务无关的个人信息。 支付APP与文档中的“在线支付类别”相关。 必要的个人信息包括两类，一是用户的手机号码； 二是用户姓名、证件类型及号码、证件有效期、银行卡号。

近年来，数据保护成为监管重点。 《个人信息保护法》的实施将对第三方支付机构的发展产生哪些影响？ 第三方支付机构应如何规范采集和使用数据？

苏晓锐认为，《个人信息保护法》的颁布，不仅为个人信息保护工作的顺利开展奠定了良好的基础，而且作为信息保护领域的优越法律，也将加速推动个人信息保护工作的开展。支付相关法律法规的出台预计将给行业带来两个主要方面的变化：一是一些合规意识不高、合规水平不够的机构难以适应。大环境，从而逐步退出市场； 二是隐私计算等。围绕个人信息保护的科技产业将加速崛起，技术的工具属性将得到更良性的引导和利用。

改善个人信息保护流程并非一朝一夕之事。 苏晓锐告诉记者，支付机构及其合作伙伴应从数据收集、存储、处理、传输、披露等方面规范用户个人信息的管理。 例如，收集前需征得用户同意，必要时采取去标识化原则，通过制度和流程的梳理加强内控，遵循“用户授权、最少使用、专人专用、专人使用”的原则。遵循“全面保护”的要求，对信息管理不规范行为及时予以纠正。

“此外，相关法律法规的审查和修订是一个与时俱进的过程，机构需要保持对监管要求的最新关注和跟进，安排专门人员进行研究并及时进行业务合规”调整。” 她补充道。

王鹏博认为，个人信息保护法不会对支付行业产生太大影响。 “To C支付平台早在几年前就开始关注个人信息的保护和合法使用。 目前他们只需要从产品角度细化合规性，比如每次使用用户信息时是否遵循用户的明确授权。 原理，以及输出数据时的封装问题等。”他告诉记者。

但在个人信息保护法正式实施的背景下，第三方支付机构面临的压力将更多来自于如何使用数据。 王鹏博直言：“其实，重点不在于第三方支付机构拥有多少用户数据，而在于他们是否合规地使用和运营这些数据，以及他们是否有能力利用这些数据来提供服务。”为用户和商家服务。” 规范数据的使用，提高服务水平，是第三方支付机构必须具备的能力。”

他认为，第一，第三方支付机构必须遵守《个人信息保护法》的规定，必须有明确、合理的处理个人信息的目的，与处理目的直接相关，并采取方法对个人权益影响最小的； 收集个人信息应限制在实现处理目的的最小范围内，不得过度收集个人信息。 公开处理规则、保证信息质量、采取安全保护措施等原则应贯穿个人信息处理的全过程和各个环节。

二、根据个人信息保护法第五章相关规定，第三方支付机构必须遵守个人信息处理者的义务，包括指定个人信息保护负责人、定期遵守法律、行政法规的规定等。处理个人信息时。 进行合规审核。 发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施。

（实习生宋勤章对本文也有贡献）

每日经济新闻