发布日期:
这些银行App因何被点名
近年来,个人用户信息安全备受重视,相关部门多次披露App违规获取用户信息的情况,而银行类App屡屡上榜。为何个人金融信息收集会成为金融机构违规高发区,被点名机构为何会出现整而不改的状况?
近日,工信部官网披露最新一期侵害用户权益行为的应用软件(App)通报,其中广东省通信管理局通报存在问题的应用软件名单里,竟然有多家银行App在列。工信部强调,违规机构应在4月29日前完成整改落实。
多款银行App侵害用户权益遭点名
在工信部官网披露《关于侵害用户权益行为的App通报(2021年第4批总第13批)》中,涵盖生活社区、游戏娱乐、金融及科技等多个领域的93款App上了通报榜单。其中,在广东省通信管理局通报存在问题的应用软件名单中,广州农村商业银行的珠江直销银行App、广东南粤银行的广东南粤银行App、深圳前海微众银行的微众企业爱普App在列。所涉问题分别为违规收集个人信息;违规收集个人信息、App强制、频繁、过度索取权限;违规收集个人信息、超范围收集个人信息。
针对个人金融信息收集成为金融机构违规高发区问题,苏宁金融研究院金融科技研究中心主任孙扬认为,一是因为侵害用户权益获得用户数据可以用于营销,金融机构不愿放弃这个营销数据来源;二是机构很多贷款风控决策可能与这些数据相关,如果获取不到这些数据,将影响风控决策;三是也不乏有机构目前还不具备专业人才来根据法律规定,有效进行全行的数据治理。
就最新整改情况,微众银行回应称,获悉广东省通信管理局提出的整改意见后,微众银行第一时间与相关部门进行情况了解和紧急沟通,并对存在问题立即进行了认真整改,微众银行将依法合规坚决、用心维护用户个人信息安全及其合法权益;此外,广东南粤银行亦回应称,目前该行已经按照工信部要求进行整改,新的App版本已经上架,用户可以更新下载新的App版本。
个人金融信息保护为何屡屡“中招”
近两年来,保护个人用户信息尤其是金融信息安全备受重视,工信部多次披露App违规获取用户信息情况,而金融理财类App屡屡上榜有名。
比如此次被通报的微众银行,去年其旗下的小鹅花钱已经因私自收集个人信息、账号注销难问题遭到通报。
此外,去年12月,国家计算机病毒应急处理中心在“净网2020”专项行动中通过互联网监测发现,兴业银行、内蒙古农信、内蒙古银行、海峡银行、鄂尔多斯银行6家银行App因“未向用户明示申请的全部隐私权限,涉嫌隐私不合规”被点名。
“之所以屡禁不止,一是App经营机构的合规意识淡薄,在安全隐患问题上存在疏漏;二是机构存在一定程度的侥幸心理,以为不开展合规工作、打折完成合规工作可以浑水摸鱼。”研究人士苏筱芮表示。
苏筱芮称,被点名机构出现整而不改的情况,推测主要有如下情形:机构内部管理混乱,出现问题后没有明确的责任人;机构对合规要求的理解存在偏差,或是技术水平低下,达不到监管要求。建议从制度方面进行完善,建立起系统化的App合规管理架构,明确相关责任人,此外,对于“失联类”“僵尸类”App建议尽早从应用市场下架处理,以免沦为不法分子牟利的工具。
个人金融信息保护任重道远
一家业内知名反欺诈科技公司资深安全产品经理认为,相比其他信息,“用户的金融要素信息,如身份证号手机号证件信息、账户信息、财产信息等,涉敏,而且往往和个人金融安全高度相关,也因此如果被有心分子盗用作为交易资源的话,它的‘商业价值’是最高的,所以会被重点关注。”
为何金融App规范个人信息收集如此之难?北京市中闻律师事务所律师李亚表示,“目前,侵犯用户个人信息保护权益且不完成整改,很大程度是由于违规成本比不上违规产生的收益,许多平台正是基于其过度收集的个人信息来进行用户画像和精准营销,用这种运营方式获利,相关机构在接受‘重击’之前自然不肯轻易放弃。”
尽管在业内人士看来,金融行业App关于信息使用的安全规范并不是一朝一夕,需监管方、各类App应用商店运营者、App运营方及机构多方参与治理。但可以看到,监管层对于个人信息安全保护力度正在不断加强,尤其是个人金融信息保护领域,经历过去两年的金融科技大数据公司整顿风暴之后,相关信息保护规在完善。
此前,央行就对移动金融App安全问题发文,从提升安全防护、加强个人金融信息保护、提高风险监测能力、健全投诉处理机制、强化行业自律5个方面进行了管理规范,并对备受关注的个人金融信息保护划定了四大红线。
央行在发布《商业银行法(修改建议稿)》并公开征求意见时,新增了“客户权益保护”章节,对商业银行营销、信息披露、风险分级与适当性管理、个人信息保护、收费管理等客户保护规范作出具体规定。
对于个人金融信息的保护,在《个人信息保护法》草案的通用性规定之外,2019年年底施行的《中国人民银行金融消费者权益保护实施办法》,以及去年初出台的《个人金融信息保护技术规范》都规定了个人金融信息保护的特殊之处。
苏筱芮表示,个人信息保护的完善并非一蹴而就,各商业机构及其合作伙伴应该从数据的采集、存储、加工、传输、披露等环节规范用户个人信息管理,例如采集前需征求用户同意,必要时应采取去标识化原则等,通过制度及流程的梳理来加强内部管控,遵循“用户授权、最小够用、专事专用、全程防护”原则,对于其中的不规范信息管理行为及时纠偏。林煜
近日,工信部官网披露最新一期侵害用户权益行为的应用软件(App)通报,其中广东省通信管理局通报存在问题的应用软件名单里,竟然有多家银行App在列。工信部强调,违规机构应在4月29日前完成整改落实。
多款银行App侵害用户权益遭点名
在工信部官网披露《关于侵害用户权益行为的App通报(2021年第4批总第13批)》中,涵盖生活社区、游戏娱乐、金融及科技等多个领域的93款App上了通报榜单。其中,在广东省通信管理局通报存在问题的应用软件名单中,广州农村商业银行的珠江直销银行App、广东南粤银行的广东南粤银行App、深圳前海微众银行的微众企业爱普App在列。所涉问题分别为违规收集个人信息;违规收集个人信息、App强制、频繁、过度索取权限;违规收集个人信息、超范围收集个人信息。
针对个人金融信息收集成为金融机构违规高发区问题,苏宁金融研究院金融科技研究中心主任孙扬认为,一是因为侵害用户权益获得用户数据可以用于营销,金融机构不愿放弃这个营销数据来源;二是机构很多贷款风控决策可能与这些数据相关,如果获取不到这些数据,将影响风控决策;三是也不乏有机构目前还不具备专业人才来根据法律规定,有效进行全行的数据治理。
就最新整改情况,微众银行回应称,获悉广东省通信管理局提出的整改意见后,微众银行第一时间与相关部门进行情况了解和紧急沟通,并对存在问题立即进行了认真整改,微众银行将依法合规坚决、用心维护用户个人信息安全及其合法权益;此外,广东南粤银行亦回应称,目前该行已经按照工信部要求进行整改,新的App版本已经上架,用户可以更新下载新的App版本。
个人金融信息保护为何屡屡“中招”
近两年来,保护个人用户信息尤其是金融信息安全备受重视,工信部多次披露App违规获取用户信息情况,而金融理财类App屡屡上榜有名。
比如此次被通报的微众银行,去年其旗下的小鹅花钱已经因私自收集个人信息、账号注销难问题遭到通报。
此外,去年12月,国家计算机病毒应急处理中心在“净网2020”专项行动中通过互联网监测发现,兴业银行、内蒙古农信、内蒙古银行、海峡银行、鄂尔多斯银行6家银行App因“未向用户明示申请的全部隐私权限,涉嫌隐私不合规”被点名。
“之所以屡禁不止,一是App经营机构的合规意识淡薄,在安全隐患问题上存在疏漏;二是机构存在一定程度的侥幸心理,以为不开展合规工作、打折完成合规工作可以浑水摸鱼。”研究人士苏筱芮表示。
苏筱芮称,被点名机构出现整而不改的情况,推测主要有如下情形:机构内部管理混乱,出现问题后没有明确的责任人;机构对合规要求的理解存在偏差,或是技术水平低下,达不到监管要求。建议从制度方面进行完善,建立起系统化的App合规管理架构,明确相关责任人,此外,对于“失联类”“僵尸类”App建议尽早从应用市场下架处理,以免沦为不法分子牟利的工具。
个人金融信息保护任重道远
一家业内知名反欺诈科技公司资深安全产品经理认为,相比其他信息,“用户的金融要素信息,如身份证号手机号证件信息、账户信息、财产信息等,涉敏,而且往往和个人金融安全高度相关,也因此如果被有心分子盗用作为交易资源的话,它的‘商业价值’是最高的,所以会被重点关注。”
为何金融App规范个人信息收集如此之难?北京市中闻律师事务所律师李亚表示,“目前,侵犯用户个人信息保护权益且不完成整改,很大程度是由于违规成本比不上违规产生的收益,许多平台正是基于其过度收集的个人信息来进行用户画像和精准营销,用这种运营方式获利,相关机构在接受‘重击’之前自然不肯轻易放弃。”
尽管在业内人士看来,金融行业App关于信息使用的安全规范并不是一朝一夕,需监管方、各类App应用商店运营者、App运营方及机构多方参与治理。但可以看到,监管层对于个人信息安全保护力度正在不断加强,尤其是个人金融信息保护领域,经历过去两年的金融科技大数据公司整顿风暴之后,相关信息保护规在完善。
此前,央行就对移动金融App安全问题发文,从提升安全防护、加强个人金融信息保护、提高风险监测能力、健全投诉处理机制、强化行业自律5个方面进行了管理规范,并对备受关注的个人金融信息保护划定了四大红线。
央行在发布《商业银行法(修改建议稿)》并公开征求意见时,新增了“客户权益保护”章节,对商业银行营销、信息披露、风险分级与适当性管理、个人信息保护、收费管理等客户保护规范作出具体规定。
对于个人金融信息的保护,在《个人信息保护法》草案的通用性规定之外,2019年年底施行的《中国人民银行金融消费者权益保护实施办法》,以及去年初出台的《个人金融信息保护技术规范》都规定了个人金融信息保护的特殊之处。
苏筱芮表示,个人信息保护的完善并非一蹴而就,各商业机构及其合作伙伴应该从数据的采集、存储、加工、传输、披露等环节规范用户个人信息管理,例如采集前需征求用户同意,必要时应采取去标识化原则等,通过制度及流程的梳理来加强内部管控,遵循“用户授权、最小够用、专事专用、全程防护”原则,对于其中的不规范信息管理行为及时纠偏。林煜