金融機構App屢被通報 多方力促合規發展

　　國家電腦病毒應急處理中心近期通過網際網路監測發現14款移動App存在隱私不合規行為，天津農商銀行和捷信金融兩個金融App被通報。記者梳理髮現，去年以來，交通銀行太平洋信用卡中心、天津農商行、東莞農商行、山西銀行、晉商銀行、山西證券、江海證券等多家金融機構旗下App被通報隱私不合規，違規收集個人資訊、過度索取許可權等問題屢屢出現，個人資訊保護窘境待解。

　　去年以來多家金融機構App被點名

　　天津農商銀行App(應用來源為應用寶，版本為6.5.0)被指存在兩個問題：一是隱私政策未逐一列出App(包括委託的第三方或嵌入的第三方代碼、插件)收集使用個人資訊的目的、方式、範圍等，涉嫌隱私不合規；二是App頻繁自啟動和關聯啟動。捷信金融(應用來源為應用寶，版本為34.46.0)則因“個人資訊處理者處理不滿十四週歲未成年人個人資訊的，未制定專門的個人資訊處理規則。涉嫌隱私不合規”被通報。

　　“針對近期國家電腦病毒應急處理中心監測發現我行App(天津農商銀行版本6.5.0，應用寶)存在隱私不合規行為事件，我行第一時間與國家電腦病毒應急處理中心取得聯繫，明確該事件主要原因，一是對客隱私協議中部分條款文字表述不夠明確；二是為實時監測客戶網路狀態，進行弱網環境提示，保持服務流暢，我行遠端視頻銀行控件後臺運作時，會持續進行網路狀態的獲取。”天津農商銀行隨後回應稱，在國家電腦病毒應急處理中心指導下，現已修訂完善了用戶隱私條款並更新，並對手機銀行客戶端程式進行了優化，相關問題已整改。“上述問題對我行手機銀行App安全性沒有損害，客戶的資金安全、交易安全、資訊安全不受影響。”

　　3月29日，廣東省通信管理局公開通報了18款未按要求完成整改App，東莞農商銀行App(應用來源為應用寶)因“違規收集個人資訊”和“App強制、頻繁、過度索取許可權”被點名。

　　記者根據公開資訊梳理髮現，去年以來，多家銀行、證券等金融機構旗下App被通報隱私不合規。

　　工業和資訊化部去年11月底發佈的《關於侵害用戶權益行為的App(SDK)通報(2023年第8批，總第34批)》點名22款App及SDK(第三方軟體開發工具包)存在侵害用戶權益行為，包括浙江泰隆銀行的“泰惠收”(應用來源為三星應用商店，版本為1.9.7)、江海證券的“江海錦龍綜合版”(應用來源為百度手機助手，版本為V9.00.44)兩個金融類App。其中，浙江泰隆銀行的“泰惠收”涉及違規收集個人資訊，以及App強制、頻繁、過度索取許可權，江海證券的“江海錦龍綜合版”涉及App強制、頻繁、過度索取許可權。工信部3月發佈的《關於侵害用戶權益行為的App(SDK)通報(2023年第2批，總第28批)》點名55款App及SDK，其中包括吉林銀行App(應用來源為華為應用市場，版本為5.2.0)，所涉問題同樣為“App強制、頻繁、過度索取許可權”。

　　此外，2023年4月至9月，上海市網信辦對屬地下載量較大及投訴較多的46款App開展了收集使用個人資訊專項檢查，共發現160余項問題。交通銀行太平洋信用卡中心的“買單吧”(應用來源為華為應用市場，版本為6.1.1和6.4.0)被點名，涉及強制收集非必要個人資訊、未提供用戶主動勾選服務協議、隱私政策內容不完整以及超範圍收集個人資訊等四個問題。據悉，經過通報和跟進指導，被點名的App運營單位均已完成問題整改。

　　去年5月，山西省通信管理局公開通報12款未按要求完成整改App。其中，山西銀行App(版本為3.4.2)涉及“App首次運作，用戶同意隱私政策前，私自收集用戶個人資訊”，山西省農村信用社聯合社的“晉享生活”(版本為4.1.04)和晉商銀行App(版本為5.0.0)都存在“未在隱私政策中逐一列舉説明第三方SDK收集使用個人資訊的目的、方式、範圍”的問題，山西證券的“匯通啟富”(版本為6.7.4.1)則因“App未向用戶明示未經用戶同意，或無合理的使用場景，存在頻繁自啟動或關聯啟動的行為”被點名。

　　數據安全和隱私保護面臨挑戰

　　用戶在使用APP開展金融交易，獲得金融服務與産品時，也被記錄下大量個人數據，隨著應用向場景化、生態化縱深推進，用戶隱私保護也面臨更多挑戰。

　　中國網際網路金融協會不久前發佈《2023年金融APP市場治理與發展報告》(簡稱“報告”)指出，當前金融App領域仍然面臨一些不容忽視的風險挑戰：部分從業機構對網路安全、個人資訊保護等領域法律制度和標準規範的理解存在一定偏差且貫徹落實不到位的情況；一些金融App存在重技術開發、輕日常運營，重註冊用戶、輕活躍用戶，重産品部署、輕用戶體驗的問題；有的金融App整合開源組件，面臨開源許可證相容性、合規性等風險；智慧化、雲上化和平臺化金融發展趨勢對金融App的業務合規、系統性能、網路安全提出更高要求；金融App涉及客戶數據、交易數據、資金流動等敏感資訊，場景化和生態化趨勢給數據安全和隱私保護帶來挑戰。

　　中國網際網路金融協會表示，金融App是從業機構提供數字金融服務的重要渠道和推進數字化轉型的關鍵抓手，加強自律備案管理有助於提升金融App安全性，引導和督促從業機構更加注重數據安全和隱私保護，提高金融消費者對使用金融App的信任度和安全感。截至2023年底，協會完成3112家機構、共計2429款金融App備案(含關聯備案)，在開展金融App備案過程中累計發現並督促整改漏洞隱患6萬餘項。通過審核評估、風險監測、違規公示等自律管理手段，2023年單款App平均發現數據安全方面的問題同比下降33.6%，安全防護方面的問題同比下降29.8%，個人資訊收集使用方面的問題同比下降5.9%，單款App平均許可權申請數量呈現逐年下降態勢。

　　有業內人士指出，銀行業APP數據庫匯集海量市場數據、客戶交易數據，屬於機構核心競爭資産，尤其是個人識別特徵資訊，極易被複製，洩露後難以挽回，對個人隱私財産造成嚴重危害。一些銀行機構對此缺乏重視，一方面在於從業者監管不足，另一方面在於App網路防禦不足，面對科技迅猛發展，安全問題愈發突出。

　　多方力促金融App合規發展

　　當前，電信和網際網路行業尚未出臺針對金融服務類App個人資訊保護工作的專門性指引文件，現有標準、規範難以完全滿足金融行業App業務發展與安全合規需要，對於金融服務類App的運營和使用相關業務中個人資訊收集、使用、加工等行為缺乏統一規範。在此背景下，國家金融監督管理總局重慶監管局、重慶市地方金融管理局、重慶市通信管理局近日聯合印發《關於促進金融服務類App個人資訊保護合規經營能力提升的通知》(簡稱《通知》)，建立聯合監管工作機制，並基於現行法律法規，結合金融行業特點梳理完成《重慶市金融服務類移動網際網路應用程式個人資訊保護合規指南(V1.0)》，對轄內銀行保險機構、地方金融組織、相關App運營者進行合規指導。

　　《通知》進一步壓實了銀行保險機構、地方金融組織、相關App運營者個人資訊保護主體責任，針對《常見類型移動網際網路應用程式必要個人資訊範圍規定》劃分的網路借貸、投資理財、手機銀行、網路支付四大金融服務App類型，涵蓋理財兼職、證券交易、信用卡、保險、商業查詢、消費金融、財經資訊、大宗商品投資、外匯查詢、投資理財、彩票服務等方面，從金融服務App個人資訊保護工作九大方面梳理具體參考及實踐指南，明確機構在個人金融資訊收集、存儲、使用、加工等環節的規範和流程，推動轄內金融行業形成個人資訊保護長效機制，不斷提升金融服務類App合規經營能力和管理水準。同時，《通知》明確三部門建立聯合監管工作機制，適時開展專項檢查，依職權對金融服務類App違法違規收集使用個人資訊開展協同治理和聯合監管，形成監管合力，整治金融服務類App違規收集、使用、洩露個人資訊等突出問題。

　　國家金融監督管理總局重慶監管局表示，下一步，將協同相關部門持續聚焦個人資訊保護重點問題，加大對機構違規行為的排查和整治力度，推動行業個人資訊保護治理水準不斷提升。

　　中國網際網路金融協會也表示，將持續做好金融App自律備案管理，一是探索將涉金融活動App納入自律備案管理範圍，實現全覆蓋市場治理，同時進一步優化備案評估方式，降低從業機構合規成本；二是將備案管理由技術安全審查向App部分業務內容合規領域適當延伸，進一步加強自律檢查；三是探索建立自律協調機制，促進金融App開發運營、分發、運作等環節上下游各企業主體加強協同，實現全鏈條治理；四是組織開展金融App相關數據報送工作，定期發佈App市場監測報告；五是完善移動金融可信公共服務平臺，實現金融App産品查詢、綜合資訊披露等功能，促進金融App安全合規可持續發展。