《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）自11月1日起正式实施。而就在近日，工信部公布第三次回头看的检查结果，并通报38款违规APP。

那么，对于支付企业而言，在个人信息收集方面，未来应如何规避风险？信息收集的尺度又在哪里？博通分析金融行业资深分析师王蓬博认为有几条原则是必须遵循的，首先肯定是最小化和非必要不收集的原则，其次涉及到每次单独应用个人信息时需要遵守用户明确授权原则。

工信部点名移卡旗下APP超范围收集个人信息

通报要求这38款APP应在11月9日前完成整改，逾期不整改或整改不到位的，工信部将依法依规进行处置并予以行政处罚。

每经记者注意到，此次工信部通报的违规APP名单中，移卡旗下刷宝APP在列。据通报内容，在OPPO软件商店，刷宝APP 3.4.5（001）版本被指超范围收集个人信息，强制、频繁、过度索取权限。

对此，记者采访了移卡相关人士，但截至发稿，未收到对方回复。

针对超范围收集个人信息，刘权表示，2019年中央网信办等四部门联合发布《App违法违规收集使用个人信息行为认定方法》，明确了可被认定为违反必要原则，收集与其提供的服务无关的个人信息的六大行为，超范围收集个人信息可解释为违反必要原则，收集与其提供的服务无关的个人信息。

2021年工信部会同公安部、市场监管总局起草了《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》（以下简称《征求意见稿》），其中第七条提出，从事App个人信息处理活动的，应当具有明确、合理的目的，并遵循最小必要原则，不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动。刘权表示，超范围收集个人信息可解释为收集未经用户同意的或与服务场景无关的个人信息。

对于APP强制、频繁、过度索取权限，刘权告诉记者，根据《征求意见稿》第六条、第七条内容，APP强制索权可解释为未经用户同意或用户拒绝相关授权申请后，APP强制更改用户设置的权限状态，或以APP可用性为条件，强制要求用户同意打开相关系统权限；APP频繁索权可解释为利用弹窗等技术手段，反复申请与当前服务场景无关的权限；APP过度索权可解释为APP申请超出其业务功能的权限。

据悉，移卡（09923.HK）于去年6月1日在香港上市，今年9月23日，移卡发布2021年中期报告称，由于其一站式支付业务从疫情中恢复以及科技赋能商业服务的显著成长，移卡今年上半年收入为14.025亿元，与去年同期相比，同比增长30.2%；利润同比增长30.7%，至2.911亿元。

专家：合规使用数据提升服务能力是关键

作为日常使用最频繁的软件之一，收付款APP在使用前往往需要实名认证、绑定银行卡等操作。这会涉及更敏感的个人信息，甚至关系到个人财产安全，引起人们对个人信息安全的担忧。

那么，收付款APP可能会收集哪些个人信息，哪些是业务必须的，而哪些又是非必须的，尺度在哪里？

对于支付业务收集个人信息的尺度，王蓬博认为有几条原则是必须遵循的，首先肯定是最小化和非必要不收集的原则，其次涉及到每次单独应用个人信息时需要遵守用户明确授权原则。

个人信息保护的工作完善流程并非一蹴而就，苏筱芮向记者表示，支付机构及其合作伙伴应该从数据的采集、存储、加工、传输、披露等环节规范用户个人信息管理，例如采集前需征求用户同意，必要时应采取去标识化原则等，通过制度及流程的梳理来加强内部管控，遵循用户授权、最小够用、专事专用、全程防护原则，对于其中的不规范信息管理行为及时纠偏。

王蓬博则认为，《个人信息保护法》对支付行业的影响不会很大。To C的支付平台几年前就已经开始注意个人信息的保护和合法利用，目前只需要重新从产品的角度进行合规细化，比如是否在每次利用用户信息数据时都遵循用户明确授权原则，以及输出数据时的封装问题等。他向记者表示。

他认为，第一，第三方支付机构肯定要按照《个人信息保护法》规定，处理个人信息应当具有明确、合理的目的，并与处理目的直接相关，采取对个人权益影响最小的方式；收集个人信息应当限于实现处理目的的最小范围，不得过度收集个人信息。公开处理规则、保证信息质量、采取安全保护措施等原则应当贯穿于个人信息处理的全过程、各环节。

第二，根据《个人信息保护法》第五章的相关规定，第三方支付机构要遵守个人信息处理者的义务，包括指定个人信息保护负责人，定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施。

（实习生宋钦章对本文亦有贡献）

每日经济新闻