兴业银行APP因过度采集用户信息被点名，隐私保护受关注

　　01 舆情概述

　　8月4日，微信公众号“上海市消保委”发文称，上海市消保委接到消费者反映，称兴业银行APP需监测用户心率和步数。上海市消保委认为银行应明确告知用户采集上述信息的目的。随后，工作人员致电该行询问情况，客服表示不是很了解。另有客服在回答上海广播电视台记者提问时称，部分贵宾客户进行“名医预约”时，银行会将其健康信息反馈至医院。9日，兴业银行通过媒体回应称，该行拟面向客户开展“健步走”活动，需获取用户步数，但不涉及心率等信息。用户意向参与活动时会弹出提示框，同意后APP方能获取数据。13日，上海市消保委再次通过微信公众号发声，称其已收到兴业银行反馈，并肯定该行积极改进。《中国消费者报》、《中国银行保险报》、环球网、证券时报网、21经济网、澎湃新闻网等媒体关注报道上述事件。

图1：传播渠道分布

图2：话题热度走势（单位:篇次）

　　02 舆论观点

　　一是聚焦金融APP收集消费者个人信息权限的边界，认为兴业银行有“过度索权”之嫌。《中国消费者报》《中国银行保险报》等媒体关注兴业银行APP采集用户心率及步数信息一事，引用上海市消保委观点指出，兴业银行并未明确说明消费者健康状况、健身数据与其金融业务的关系。若APP以第三方服务为名，在安装时利用默认或“一揽子”方式索取和APP自身功能实际需要无关的权限，则有过度索权嫌疑。中国宁波网发文表示，《个人信息保护法》明确将医疗健康、行踪轨迹等界定为敏感个人信息，只有在具有特定目的和充分必要性的前提下，方可被收集处理。该事件中，心率属健康信息范畴，步数则可被归为行踪轨迹信息，两类数据均为敏感个人信息，银行行为或已触碰红线。

　　二是回顾兴业银行APP此前相似违规行为，暗示该行并非初次在获取用户隐私方面触雷。《南方日报》发文表示，兴业银行APP曾因未公开所有申请访问权限、涉嫌隐私不合规被国家计算机病毒应急处理中心点名。《时代周报》同样提及上述监管通报，并回顾兴业银行当时作出的回应，表示该行“坚称”手机银行APP未额外获取任何用户隐私信息。

　　三是关注同业APP信息采集情况，发现多家银行索取用户敏感信息相关权限。蓝鲸财经在报道兴业银行APP事件的同时，查看多家银行APP用户隐私条款发现，中信银行、平安银行、广发银行的手机银行APP亦会收集用户“健康与健身”数据；其中，中信银行、平安银行明确称其所收集的数据与用户身份关联。《南方都市报》梳理多家银行《电子银行隐私政策》后发现，部分银行表示会收集用户行程轨迹、医疗健康等敏感个人信息。

　　网民观点方面，多数网民声讨兴业银行APP获取步数及心率的越界行为，呼吁监管部门严惩。如微博用户“孙嘉宁1966”表示银行APP收集与其主业不相关的用户信息属顶风作案，必须予以处罚。另有少数网民猜测银行获取用户健康信息或与确定贷款额度、推销金融产品等有关。

　　03 分析师快评

　　近年来，各类APP违规收集用户信息事件频发，信息安全问题已然成为万物互联时代公众的一大“心病”。近期，银保监会发布《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》，更是剑指金融行业侵犯个人信息安全问题。在消费者权益保护意识逐步觉醒的背景下，兴业银行APP在未明示数据用途的情况下向用户索要健康信息，被上海市消保委“点名”后引起舆论质疑亦在所难免。

　　从银行回应来看，兴业银行多次回应前后矛盾，无法自圆其说。从客服“不知情”到表示“信息用于部分贵宾客户‘名医预约’服务”，再到银行通过媒体正式回应数据仅用于“健步走”活动，表述出入使得兴业银行“官方解释”的可信度大打折扣。此外，客服在首次回应上海市消保委问询时坦言“不了解”，可见其面对未知信息时应变能力不足。

　　在监管趋严、舆论紧盯的背景下，各金融机构需严格参照知情同意及最小必要原则，做好内部自查自纠。长远来看，监管部门还需引导金融机构强化数据治理能力，进一步畅通个人信息保护投诉通道，切实保护金融消费者权益。