B2:金融支付
随着5G移动通讯、大数据、金融科技的发展,移动互联网应用(APP)的种类和数量呈爆发式增长,为人们的生活和工作提供了便利。同时,APP成为了用户信息数据的主要入口和核心载体。
中央财经大学教授、中国互联网经济研究院副院长欧阳日辉直言,数据已经成为重要的生产要素和资产,国家鼓励数据参与分配。数字经济时代,高质量数据成为金融服务与创新的重要基础,也是大数据提升金融机构精准施策能力的关键前提。但与此同时,金融APP安全和用户个人信息保护态势愈加严峻,近期,银行类APP屡屡遭监管点名,侵害用户权益的事件层出不穷,受到国家和社会公众高度关注。
6款银行类APP违规遭点名
2020年1月13日,国家计算机病毒应急处理中心近期在“净网2020”专项行动中通过互联网监测发现,24款违法、违规有害移动应用存在隐私不合规行为,违反《网络安全法》相关规定,涉嫌超范围采集个人隐私信息。其中,民生银行、兴业银行等6款银行APP遭点名。 据披露,《民生银行》(版本5.12)、《兴业银行》(版本5.0.4)、《内蒙古农信》(版本2.4.6)、《内蒙古银行》(版本2.0.4)、《海峡银行》(版本2.4.8)、《鄂尔多斯银行》(版本3.1.0)6款金融类APP因未向用户明示申请的全部隐私权限,涉嫌隐私不合规被通报。
本刊发现,银行类APP主要在收集使用用户信息、申请用户权限、隐私政策申明等方面存在不完善、不详尽的问题。以内蒙古农信APP为例,此前2.4.6版本,下载安装后,初次登陆即要求用户授权定位、视频照相、通讯录信息等,但并未说明使用信息的目的,且如果用户拒绝,将发生闪退,无法使用这款APP。而在内蒙古农信APP的隐私条款中,也没有明确列出收集用户个人信息的范围,以及用户如何注销账号、注销账号后的留存信息如何处理等事项。目前,内蒙古农信APP已更新至2.4.9版本,无获取用户授权定位、视频照相、通讯录信息等,但仍存在不应不给权限不让用,不给权限不让登录的情况。应用启动时,弹窗向用户申请可收集用户个人信息的权限,但用户拒绝授权后,应用立即退出,不能正常使用。《个人信息保护政策》中仍未改进何注销账号、注销账号后的留存信息如何处理的事项。
针对上述情况,国家计算机病毒应急处理中心提醒广大手机用户首先不要下载这些违法有害移动应用,避免手机操作系统受到不必要的安全威胁。其次,建议打开手机中防病毒移动应用的“实时监控”功能,对手机操作进行主动防御,这样可以第一时间监控未知病毒的入侵活动。
已成隐私安全重灾区
本刊注意到,这不是银行类APP第一次因数据收集使用问题被有关机构点名。2019年12月,国家网络安全通报中心通报100款违法违规采集个人信息的APP被查处,其中光大银行、天津农商银行、天津银行银行类APP赫然在列。2019年9月,广东省公安厅公告,全省公安机关开展超范围收集用户信息APP清理整治专项行动,日照银行被点名。日照银行违规情况包括读取用户联系人通讯录信息、收集用户位置信息、获取用户设备上已知帐号列表以及允许应用随时使用麦克风进行录音等,并且应用程序中未设定隐私政策。2019年7月11日,“APP个人信息举报”微信公众号指出,中国银行手机银行因违反《网络安全法》关于收集使用个人信息的规定,被通报整改。
银行APP一般承担手机银行功能,可以进行贷款、转账、支付、还款、金融理财等等业务,属于重要的个人敏感信息,一旦泄露可能会对用户财产安全造成巨大威胁。针对金融类APP违规收集用户信息等乱象,监管、整治力度从未削减,2019年以来,监管条例不断细化。《网络安全法》第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
在2019年1月23日,中央网信办等多部门联合发布了《关于开展APP违法违规收集使用个人信息专项治理的公告》,明确提出不得违反法律法规和与用户的约定收集使用个人信息等。 2019年6月,全国信息安全标准化技术委员会推出《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》,明确规定金融借贷类APP基本业务功能收集的必要信息仅包括手机号码、账号信息、身份信息、银行账户信息、个人征信信息等7项内容。2019年12月4日,针对移动金融客户端应用软件管理,央行印发《移动金融客户端应用软件安全管理规范》。《规范》要求,金融客户端在收集、使用个人金融信息时应遵循合法、正当、必要的原则,明示收集使用信息的目的、方式和范围,并经用户同意。不得以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得收集与其提供金融服务无关的个人金融信息。此外,信息使用结束后应立即删除敏感信息,在客户端软件卸载后不得留存个人金融信息。 2019年12月30日,国家互联网信息办公室、工信部、公安部和国家市场监督管理总局四部门联合印发了《APP违法违规收集使用个人信息行为认定方法》,明确了6大类31种行为属于APP违法违规收集使用个人信息行为。
据了解,目前互联网金融协会已开启金融APP备案试点工作,首批23家备案试点机构有16家属于银行类金融机构,包括5家国有银行、5家股份银行、3家城商银行、2家农商银行、1家农信联社。
专家:确保数据安全应是金融机构的底线
针对金融机构屡屡因用户信息数据安全问题遭点名问题,欧阳日辉对本刊表示,金融机构以及数据公司在采集和使用数据时,应自觉规范自身行为,共同营造良好的数据治理环境。欧阳日辉表示,用户信息是金融机构开展和加强风控的基本要素,收集到的关于平台用户和在线消费者行为的详细数据,可促使金融机构提供新的、更好的和定制性更强的产品和服务,也为金融机构提高管理效率和提升风控能力提供了基础。
欧阳日辉告诉本刊,目前用户信息等数据领域的问题有三个原因。一是由于法律法规尚不健全、数据治理体系还不完善,从业机构违法违规成本低。二是有些机构法律意识不强,合规意识不足,为谋求商业利益而置现有管理规定于不顾,过度采集数据、违规使用数据、非法交易数据等问题屡见不鲜。三是部分机构数据保护意识、内部管理、技防能力薄弱,数据泄露事件时有发生。在这种情形下,用户成为“透明人”,隐私得不到保护,电信欺诈、骚扰电话、暴力催收等屡禁不止,严重侵害了用户权益,干扰了我们的正常工作和生活。
欧阳日辉认为,金融机构以及数据公司在采集和使用数据时,应坚持四项基本原则:第一,依法合规原则。坚持不突破现有法律法规与监管规则,依法依规保护数据主体隐私权,严防数据泄露、篡改、损毁与不当使用。第二,恪守安全底线原则。金融业是对信息安全高度敏感的行业,确保数据安全应是金融机构始终恪守的底线。加强数据全生命周期安全管理,金融数据必须合法采集,安全储存,仅向外提供脱敏后的计算结果。第三,“用户授权、最小够用、全程防护”原则。在采集环节,要向被采集用户进行明示,明确告知采集和使用的目的、方式以及范围,在获取用户授权后方可采集。严控数据获取和应用范围,确保数据专事专用、最小够用、未经许可不得留存,杜绝数据被误用、滥用。第四,保护数据所有方权益原则。在满足各方合理需求前提下,严控访问权限,不归集、不共享原始数据,最大程度地保障数据所有方权益,确保数据使用合规、范围可控。
(罗丽云)