经济观察网 记者 万敏 手机App合理合法收集和使用个人信息的安全边界，正在逐渐明晰。

12月30日，国家互联网信息办公室、工业和信息化部、公安部、市场监管总局联合制定了《App违法违规收集使用个人信息行为认定方法》（以下简称《认定方法》），对“未公开收集使用规则”、“未明示收集使用个人信息的目的、方式和范围”、“未经用户同意收集使用个人信息”、“违反必要原则，收集与其提供的服务无关的个人信息”，“未经同意向他人提供个人信息”，“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”等行为进行了列举和界定。

四部委在通知中表示，《认定方法》将“为监督管理部门认定App违法违规收集使用个人信息行为提供参考，为App运营者自查自纠和网民社会监督提供指引”。

中国信息通信研究院金融科技研究中心产业咨询总监冯橙对记者表示，App相关法律法规的密集颁布和出台，体现了政府对于保障App网络安全的重视和治理App网络安全的决心，也反映出当前移动App安全面临着严峻的形势。

其中，金融类App在获客、风控、催收等环节的合理数据需求，在整个行业的过热发展中异化导致的个人信息数据滥用，显得更为突出。

12月12日，央行科技司司长李伟在出席2019中国金融科技上海高峰论坛时表示，“前段时间，多部委在对App的整治过程中，下架了100多个App，其中金融类App是重灾区。后续，中国互联网金融协会（以下简称‘协会’）要加快推动备案注册制度，加强对这些金融App的测评、认证工作，同时也会联合相关部委，对软件商店采取联动措施，对于不符合规定、有重大风险隐患的App，我们会及时采取下架的措施”。

据中国信息通信研究院发布的《2019金融行业移动App安全观测报告》显示，样本中有 70.22%的金融行业 App存在高危漏洞，其中 Top3 的高危漏洞均存在导致 App 数据泄露的风险。

冯橙认为，金融机构App安全形势严峻的原因是多方面的：一是内部制度方面，公司内部对相关法律法规不重视，缺少相关的规章制度，审查不严；二是安卓系统中针对应用权限区分较细，对开发人员较为友好，但对用户端提示较为笼统。较早期的安卓系统并未做好自身功能设计和权限获取的平衡，这一现象在安卓10系统中有所改善；三是第三方SDK（软件开发工具包）的问题，部分第三方SDK存在隐蔽收集用户信息、自身安全漏洞易被不法分子利用等安全风险；四是数据分析方面，有些开发者出于自身数据分析需要，具有超出必要范围收集大量用户数据的动机，进而可以根据用户的地理位置、偏好优化自身运营，商品推送等。部分开发者为了减少开发或降低开发难度，往往一开始就申请获取多个权限，其中可能包含一些自身并不需要的权限。

此外，“有些APP为了增加收入而引入广告，多数广告平台或广告主出于打击作弊的目的都需要加入获取IMEI（国际移动设备识别码）、ip地址、地理位置等手机详细权限。有些app获取打电话，读取短信内容等敏感权限后，为私自扣费提供便利，或是将用户信息非法出售、与其他公司互换进而牟利。”冯橙指出，广告平台和黑色产业也是信息收集违规的主要原因。

12月30日，人民银行金融科技委员会召开会议研究部署2020年重点工作中也指出，将“推动金融APP备案全覆盖，规范开放应用程序接口管理，提升线上金融服务渠道安全应用水平。”

目前，协会已经在京召开移动金融App备案管理工作试点启动会议。会议明确，各试点机构应于2019年底前完成首批试点备案申请。首批参与移动金融App备案申请的有来自银行、证券、基金、保险、支付等领域的23家试点机构。

冯橙认为，金融APP开发者应当从制度、开发、合作方、数据分析、加入相关联盟等方面进行完善，如“在产品或服务设计之初，就融入隐私保护的理念，通过产品设计实现用户隐私诉求和数据权；在APP中植入安全程序，在使用前进行多次模拟实验”。

在实际业务开展中，金融App只是金融机构接触用户的渠道之一，此外在PC端网页、小程序、第三方平台投放的网申入口、微信服务号等渠道中的数据收集、传输、留存，由于中间环节的增多也加大了个人信息数据安全的隐患，对于监管和从业机构来说，数据治理带来的压力或将在多方面、长期存在。