银行终端号是开户号码(银行终端号是什么意思)

近年来，数据要素越来越成为我国经济增长的重要力量，但个人信息的过度收集和滥用等问题也日益突出，为此，深圳市人大常委会官网于7月6日重磅发布《深圳经济特区数据条例》，表示将针对该类问题进行严格管控。

《条例》指出，当前一些移动互联网应用程序（APP）通过“一揽子协议”，将收集个人数据与其功能或服务进行捆绑，用户不同意全面授权，就无法使用该APP。不少用户往往被迫接受“一揽子协议”，这严重损害了用户作为个人数据主体的决定权。为此，《条例》专门规定，数据处理者不得以自然人不同意处理其个人数据为由，拒绝向其提供相关核心功能或者服务。但是，该个人数据为提供相关核心功能或者服务所必需的除外。

此外，为避免人脸、指纹等生物识别数据的滥用，《条例》还作出了更严格的规定——除了该生物识别数据为处理个人数据目的所必需且不能替代外，应当同时提供处理其他非生物识别数据的替代方案。

本期测评对象：

招商银行、浦发银行、中信银行、中国光大银行、中国民生银行、平安银行

数据采集集中在服务使用前

首次进入APP，中信银行接连弹窗索取位置和消息推送权限；平安银行索取位置、消息推送、Siri权限；民生银行索取Siri、相册、消息推送权限；光大银行索取消息推送、位置权限；浦发银行索取位置、消息推送权限；招商银行索取通知、Siri、位置权限。

据悉，除了上面提到的《深圳经济特区数据条例》，早在今年4月，工信部还发布了《移动互联网应用程序个人信息保护管理暂行规定》，指出从事APP个人信息处理活动的，应当在对应业务功能启动时，动态申请APP所需的权限，不应强制要求用户一揽子同意打开多个系统权限，且未经用户同意，不得更改用户设置的权限状态。

如果说在用户首次进入APP时，银行索取消息推送权限是为了用户更及时获取本人需要的动态信息，那相册、位置等权限是否应是在用户使用网点查询或是二维码扫描等对应业务时再弹出？

根据今年5月1日施行的《常见类型移动互联网应用程序必要个人信息范围规定》，手机银行类APP必要个人信息包括：注册用户移动电话号码、用户姓名、证件类型和号码、证件有效期限、证件影印件、银行卡号码、银行预留移动电话号码；转账时需提供收款人姓名、银行卡号码、开户银行信息。

在测试过程中，记者发现大多数APP采集数据范围并不局限于此，且对个人信息的采集都集中在用户使用对应服务前。

银行App对第三方服务商依赖性较强

奥一新闻记者依次打开本次测评的六款银行APP《隐私政策》，发现对于第三方服务商以及其将收集的个人信息内容的披露情况，各银行表现较为良好。第三方服务商在不同的使用场景下，通过自有软件开发工具包（简称“SDK”）收集的信息内容大致为终端唯一标识信息、IP、系统版本、网络类型、设备信息、相机、麦克风、位置、手机号等。

经过粗略计算，App合作方数量最多的是平安银行，多达26家。

需要注意的是，银行在一个由设备、服务、应用等所形成的弹性环境中与第三方的交互，无形间已经成为了黑客可轻易进入的不稳定空间，用户个人信息在多次转移过程中，极易出现丢失、诈骗、盗用等风险。

虽然各银行APP在对第三方资料披露的同时，均声明“如不同意第三方服务商收集相关信息，可能无法获得相应服务，但不影响用户正常使用银行APP的其他功能或服务。如同意第三方服务商收集相关信息发生信息泄露的，有相关第三方服务商承担相应法律责任”，但个人信息安全依然难以保障。

据了解，2018年5月，由于第三方服务商所提供的语音识别软件Nuance存在系统漏洞，导致包括旧金山卫生局和加州大学圣迭戈分校在内的客户信息泄露，曝光了4.5万份患者记录；同年6月，环球音乐集团（UMG）由于第三方承包商未能合理保护Apache Airflow服务器，导致在云数据库中存储的所有内容都暴露在了开放的互联网上，其中包括内部文件传输协议（FTP）凭据、AWS密钥以及内部和SQL root密码等。

事实上，每年都会出现由于第三方服务商监管不到位，导致信息泄露的事件发生。

那么，银行为何不自己开发SDK，保证用户信息在闭环条件下得到安全防护？有业内人士告诉记者：“一个SDK的开发成本加上后续维护费用，从几万到数十万不等，而银行APP多样化的服务内容需要多个SDK来共同实现，如每个SDK都自己开发，对于软件用户量较少的银行来说，性价比较低。”

因此，在与第三方的合作中，银行除了应尽可能地提高自营能力，还需要强化相关技术、管理人员信息安全意识，提高对第三方服务商的风险评估及规避水平。

未成年人信息保护条例过于简单

随着近几年青少年及儿童理财教育的推广，许多父母都尝试着开通属于孩子自己的银行卡。但需要注意的是，由于多数未成年人对金融风险认识不足，自我保护意识较薄弱，个人信息和隐私会更容易泄露和受到侵害。