多款金融類APP被通報“隱私不合規”頑疾因何難治
天津農商銀行APP和捷信金融APP由于存在隱私不合規行為,日前被國家計算機病毒應急處理中心點名。強制收集非必要個人信息,隱私政策內容不完整,強制、頻繁、過度索取權限……近年來,金融機構旗下APP因隱私合規問題廣受詬病。
業內人士認為,金融行業對數據具有很強的依賴性,手機APP已成為金融機構針對個人和企業客戶展業的重要載體。由于缺乏有效監管和法規約束,以及客戶往往難以完全理解其中的法律風險等因素,隱私不合規問題成為金融業“頑疾”。對此,監管部門正出臺相關辦法,引導金融機構加強個人信息保護,明確數據治理邊界。
兩款金融APP被點名
近期,國家計算機病毒應急處理中心通過互聯網監測發現,14款移動APP存在隱私不合規行為,其中包括捷信金融APP和天津農商銀行APP。
捷信金融APP被通報的原因是,個人信息處理者處理不滿十四周歲未成年人個人信息的,未制定專門的個人信息處理規則,涉嫌隱私不合規。
天津農商銀行APP被通報的原因有兩點:一是隱私政策未逐一列出收集使用個人信息的目的、方式、范圍等,涉嫌隱私不合規;二是頻繁自啟動和關聯啟動。
天津農商銀行回應稱,該事件主要原因,一是對客隱私協議中部分條款文字表述不夠明確;二是為實時監測客戶網絡狀態,進行弱網環境提示,保持服務流暢,該行遠程視頻銀行控件后臺運行時,會持續進行網絡狀態的獲取。
“在國家計算機病毒應急處理中心指導下,已修訂完善了用戶隱私條款并更新,對手機銀行客戶端程序進行了優化,相關問題已整改。”天津農商行公告稱。
此外,記者注意到,捷信消金于3月25日更新了捷信金融APP隱私政策。
問題由來已久
近年來包括交通銀行、浙江泰隆商業銀行、重慶銀行、吉林銀行、山西銀行、晉商銀行等多家銀行APP因存在隱私不合規問題,侵害用戶權益行為被通報。
例如,2023年,交通銀行買單吧APP由于強制收集非必要個人信息、隱私政策內容不完整、超范圍收集個人信息等原因被上海市網信辦通報;浙江泰隆商業銀行泰惠收APP因違規收集個人信息以及APP強制、頻繁、過度索取權限被工信部通報。
“這反映出銀行等金融機構在通過手機銀行APP收集客戶個人信息時,存在對個人明確告知工作不到位,違規使用個人信息,并且存在信息收集過多,沒有有效做好信息保護等問題。”郵儲銀行研究員婁飛鵬告訴記者。
在婁飛鵬看來,金融機構在提供金融服務時,對個人信息保護的重要性認識有待提升;在充分利用個人信息和做好信息保護方面,需要有更多的技術支持。
業內人士告訴記者,手機APP已成為金融機構針對個人和企業客戶展業的重要載體。搜集個人信息,利用大數據技術分析客戶的使用習慣、金融需求等,往往能更為精準地開展客戶服務、營銷推送等。
談及金融類APP個人信息保護困境,某銀行信息科技部人士表示:“盡管銀行采集個人信息時,需經過客戶本人同意方能實施。但實際操作中存在過度采集情況,主要是相關法律大多是原則性規定,對于數據治理的邊界尚不明確。并且,APP收集信息隱私政策/協議告知后,個人信息主體通常不閱讀條款,即便閱讀也難以完全理解法律風險,存在信息不對稱等問題。”
加強法律法規可操作性
“我們身處大數據時代。”在招聯首席研究員董希淼看來,金融行業對數據具有很強的依賴性,保障數據安全,引導數據向善,是必須要面對的重要課題。
“應將所有涉金融APP納入備案管理范圍,實現全覆蓋市場治理。”針對金融類APP存在隱私不合規行為,在北京德和衡律師事務所聯席執行主任裴虹博看來,應加強相關法律法規的可操作性,從頂層制度方面對銀行機構的數據安全工作提出更為明確和細致要求,引導金融機構充分重視數據安全工作,從制度規范角度,將合規主線貫穿在業務的前中后全流程中。
此外,裴虹博認為,可建立用戶投訴渠道,及時處理用戶隱私相關問題,并建立監督機制監測APP的合規情況;向用戶公開APP收集、使用和保護個人信息的方式和目的,及時通知用戶任何與其隱私有關的變更;邀請第三方機構對APP的隱私保護措施進行審計,確保符合相關法規要求。
金融監管總局日前就《銀行保險機構數據安全管理辦法》征求意見,擬規定健全數據安全技術保護體系。要求銀行保險機構建立針對大數據、云計算、移動互聯網、物聯網等多元異構環境下的數據安全技術保護體系,建立數據安全技術架構,明確數據保護策略方法,采取技術手段保障數據安全。
《辦法》擬要求銀行保險機構在處理個人信息時,應按照“明確告知、授權同意”的原則實施,并履行必要的告知義務;收集個人信息應限于實現金融業務處理目的的最小范圍,不得過度收集;共享和對外提供個人信息時,應取得個人同意。
婁飛鵬對記者表示,這有助于讓個人用戶明確銀行收集的信息范圍,讓銀行根據經營管理或者業務發展需要合理收集信息,防止銀行過度收集或者過度使用個人信息,提高數據信息的使用效率,也有助于更好保障個人信息安全。
在董希淼看來,金融機構應從三方面加以努力:高度重視客戶信息保護,建立個人信息數據庫分級授權管理制度,加強個人金融信息安全保護的宣傳教育。