天津農商銀行APP和捷信金融APP由於存在隱私不合規行為,日前被國家電腦病毒應急處理中心點名。強制收集非必要個人資訊,隱私政策內容不完整,強制、頻繁、過度索取許可權……近年來,金融機構旗下APP因隱私合規問題廣受詬病。
業內人士認為,金融行業對數據具有很強的依賴性,手機APP已成為金融機構針對個人和企業客戶展業的重要載體。由於缺乏有效監管和法規約束,以及客戶往往難以完全理解其中的法律風險等因素,隱私不合規問題成為金融業“頑疾”。對此,監管部門正出臺相關辦法,引導金融機構加強個人資訊保護,明確數據治理邊界。
兩款金融APP被點名
近期,國家電腦病毒應急處理中心通過網際網路監測發現,14款移動APP存在隱私不合規行為,其中包括捷信金融APP和天津農商銀行APP。
捷信金融APP被通報的原因是,個人資訊處理者處理不滿十四週歲未成年人個人資訊的,未制定專門的個人資訊處理規則,涉嫌隱私不合規。
天津農商銀行APP被通報的原因有兩點:一是隱私政策未逐一列出收集使用個人資訊的目的、方式、範圍等,涉嫌隱私不合規;二是頻繁自啟動和關聯啟動。
天津農商銀行回應稱,該事件主要原因,一是對客隱私協議中部分條款文字表述不夠明確;二是為實時監測客戶網路狀態,進行弱網環境提示,保持服務流暢,該行遠端視頻銀行控件後臺運作時,會持續進行網路狀態的獲取。
“在國家電腦病毒應急處理中心指導下,已修訂完善了用戶隱私條款並更新,對手機銀行客戶端程式進行了優化,相關問題已整改。”天津農商行公告稱。
此外,記者注意到,捷信消金于3月25日更新了捷信金融APP隱私政策。
問題由來已久
近年來包括交通銀行、浙江泰隆商業銀行、重慶銀行、吉林銀行、山西銀行、晉商銀行等多家銀行APP因存在隱私不合規問題,侵害用戶權益行為被通報。
例如,2023年,交通銀行買單吧APP由於強制收集非必要個人資訊、隱私政策內容不完整、超範圍收集個人資訊等原因被上海市網信辦通報;浙江泰隆商業銀行泰惠收APP因違規收集個人資訊以及APP強制、頻繁、過度索取許可權被工信部通報。
“這反映出銀行等金融機構在通過手機銀行APP收集客戶個人資訊時,存在對個人明確告知工作不到位,違規使用個人資訊,並且存在資訊收集過多,沒有有效做好資訊保護等問題。”郵儲銀行研究員婁飛鵬告訴記者。
在婁飛鵬看來,金融機構在提供金融服務時,對個人資訊保護的重要性認識有待提升;在充分利用個人資訊和做好資訊保護方面,需要有更多的技術支援。
業內人士告訴記者,手機APP已成為金融機構針對個人和企業客戶展業的重要載體。蒐集個人資訊,利用大數據技術分析客戶的使用習慣、金融需求等,往往能更為精準地開展客戶服務、行銷推送等。
談及金融類APP個人資訊保護困境,某銀行資訊科技部人士表示:“儘管銀行採集個人資訊時,需經過客戶本人同意方能實施。但實際操作中存在過度採集情況,主要是相關法律大多是原則性規定,對於數據治理的邊界尚不明確。並且,APP收集資訊隱私政策/協議告知後,個人資訊主體通常不閱讀條款,即便閱讀也難以完全理解法律風險,存在資訊不對稱等問題。”
加強法律法規可操作性
“我們身處大數據時代。”在招聯首席研究員董希淼看來,金融行業對數據具有很強的依賴性,保障數據安全,引導數據向善,是必須要面對的重要課題。
“應將所有涉金融APP納入備案管理範圍,實現全覆蓋市場治理。”針對金融類APP存在隱私不合規行為,在北京德和衡律師事務所聯席執行主任裴虹博看來,應加強相關法律法規的可操作性,從頂層制度方面對銀行機構的數據安全工作提出更為明確和細緻要求,引導金融機構充分重視數據安全工作,從制度規範角度,將合規主線貫穿在業務的前中後全流程中。
此外,裴虹博認為,可建立用戶投訴渠道,及時處理用戶隱私相關問題,並建立監督機制監測APP的合規情況;向用戶公開APP收集、使用和保護個人資訊的方式和目的,及時通知用戶任何與其隱私有關的變更;邀請第三方機構對APP的隱私保護措施進行審計,確保符合相關法規要求。
金融監管總局日前就《銀行保險機構數據安全管理辦法》徵求意見,擬規定健全數據安全技術保護體系。要求銀行保險機構建立針對大數據、雲計算、移動網際網路、物聯網等多元異構環境下的數據安全技術保護體系,建立數據安全技術架構,明確數據保護策略方法,採取技術手段保障數據安全。
《辦法》擬要求銀行保險機構在處理個人資訊時,應按照“明確告知、授權同意”的原則實施,並履行必要的告知義務;收集個人資訊應限于實現金融業務處理目的的最小範圍,不得過度收集;共用和對外提供個人資訊時,應取得個人同意。
婁飛鵬對記者表示,這有助於讓個人用戶明確銀行收集的資訊範圍,讓銀行根據經營管理或者業務發展需要合理收集資訊,防止銀行過度收集或者過度使用個人資訊,提高數據資訊的使用效率,也有助於更好保障個人資訊安全。
在董希淼看來,金融機構應從三方面加以努力:高度重視客戶資訊保護,建立個人資訊數據庫分級授權管理制度,加強個人金融資訊安全保護的宣傳教育。
(責任編輯:易薇)