國家計算機病毒應急處理中心近期通過互聯網監測發現14款移動App存在隱私不合規行為。記者梳理發現,去年以來,交通銀行太平洋信用卡中心、東莞農商行、山西銀行、晉商銀行、山西證券、江海證券等多家金融機構旗下App被通報隱私不合規,違規收集個人信息、過度索取權限等問題屢屢出現,個人信息保護窘境待解。
去年以來多家金融機構App被點名
3月29日,廣東省通信管理局公開通報了18款未按要求完成整改App,東莞農商銀行App(應用來源為應用寶)因“違規收集個人信息”和“App強制、頻繁、過度索取權限”被點名。
記者根據公開信息梳理發現,去年以來,多家銀行、證券等金融機構旗下App被通報隱私不合規。
工業和信息化部去年11月底發布的《關於侵害用戶權益行為的App(SDK)通報(2023年第8批,總第34批)》點名22款App及SDK(第三方軟件開發工具包)存在侵害用戶權益行為,包括浙江泰隆銀行的“泰惠收”(應用來源為三星應用商店,版本為1.9.7)、江海證券的“江海錦龍綜合版”(應用來源為百度手機助手,版本為V9.00.44)兩個金融類App。其中,浙江泰隆銀行的“泰惠收”涉及違規收集個人信息,以及App強制、頻繁、過度索取權限,江海證券的“江海錦龍綜合版”涉及App強制、頻繁、過度索取權限。工信部3月發布的《關於侵害用戶權益行為的App(SDK)通報(2023年第2批,總第28批)》點名55款App及SDK,其中包括吉林銀行App(應用來源為華為應用市場,版本為5.2.0),所涉問題同樣為“App強制、頻繁、過度索取權限”。
此外,2023年4月至9月,上海市網信辦對屬地下載量較大及投訴較多的46款App開展了收集使用個人信息專項檢查,共發現160餘項問題。交通銀行太平洋信用卡中心的“買單吧”(應用來源為華為應用市場,版本為6.1.1和6.4.0)被點名,涉及強制收集非必要個人信息、未提供用戶主動勾選服務協議、隱私政策內容不完整以及超范圍收集個人信息等四個問題。據悉,經過通報和跟進指導,被點名的App運營單位均已完成問題整改。
去年5月,山西省通信管理局公開通報12款未按要求完成整改App。其中,山西銀行App(版本為3.4.2)涉及“App首次運行,用戶同意隱私政策前,私自收集用戶個人信息”,山西省農村信用社聯合社的“晉享生活”(版本為4.1.04)和晉商銀行App(版本為5.0.0)都存在“未在隱私政策中逐一列舉說明第三方SDK收集使用個人信息的目的、方式、范圍”的問題,山西證券的“匯通啟富”(版本為6.7.4.1)則因“App未向用戶明示未經用戶同意,或無合理的使用場景,存在頻繁自啟動或關聯啟動的行為”被點名。
數據安全和隱私保護面臨挑戰
用戶在使用APP開展金融交易,獲得金融服務與產品時,也被記錄下大量個人數據,隨著應用向場景化、生態化縱深推進,用戶隱私保護也面臨更多挑戰。
中國互聯網金融協會不久前發布《2023年金融APP市場治理與發展報告》(簡稱“報告”)指出,當前金融App領域仍然面臨一些不容忽視的風險挑戰:部分從業機構對網絡安全、個人信息保護等領域法律制度和標准規范的理解存在一定偏差且貫徹落實不到位的情況;一些金融App存在重技術開發、輕日常運營,重注冊用戶、輕活躍用戶,重產品部署、輕用戶體驗的問題;有的金融App集成開源組件,面臨開源許可證兼容性、合規性等風險;智能化、雲上化和平臺化金融發展趨勢對金融App的業務合規、系統性能、網絡安全提出更高要求;金融App涉及客戶數據、交易數據、資金流動等敏感信息,場景化和生態化趨勢給數據安全和隱私保護帶來挑戰。
中國互聯網金融協會表示,金融App是從業機構提供數字金融服務的重要渠道和推進數字化轉型的關鍵抓手,加強自律備案管理有助於提昇金融App安全性,引導和督促從業機構更加注重數據安全和隱私保護,提高金融消費者對使用金融App的信任度和安全感。截至2023年底,協會完成3112家機構、共計2429款金融App備案(含關聯備案),在開展金融App備案過程中累計發現並督促整改漏洞隱患6萬餘項。通過審核評估、風險監測、違規公示等自律管理手段,2023年單款App平均發現數據安全方面的問題同比下降33.6%,安全防護方面的問題同比下降29.8%,個人信息收集使用方面的問題同比下降5.9%,單款App平均權限申請數量呈現逐年下降態勢。
有業內人士指出,銀行業APP數據庫匯集海量市場數據、客戶交易數據,屬於機構核心競爭資產,尤其是個人識別特征信息,極易被復制,泄露後難以挽回,對個人隱私財產造成嚴重危害。一些銀行機構對此缺乏重視,一方面在於從業者監管不足,另一方面在於App網絡防御不足,面對科技迅猛發展,安全問題愈發突出。
多方力促金融App合規發展
當前,電信和互聯網行業尚未出臺針對金融服務類App個人信息保護工作的專門性指引文件,現有標准、規范難以完全滿足金融行業App業務發展與安全合規需要,對於金融服務類App的運營和使用相關業務中個人信息收集、使用、加工等行為缺乏統一規范。在此背景下,國家金融監督管理總局重慶監管局、重慶市地方金融管理局、重慶市通信管理局近日聯合印發《關於促進金融服務類App個人信息保護合規經營能力提昇的通知》(簡稱《通知》),建立聯合監管工作機制,並基於現行法律法規,結合金融行業特點梳理完成《重慶市金融服務類移動互聯網應用程序個人信息保護合規指南(V1.0)》,對轄內銀行保險機構、地方金融組織、相關App運營者進行合規指導。
《通知》進一步壓實了銀行保險機構、地方金融組織、相關App運營者個人信息保護主體責任,針對《常見類型移動互聯網應用程序必要個人信息范圍規定》劃分的網絡借貸、投資理財、手機銀行、網絡支付四大金融服務App類型,涵蓋理財兼職、證券交易、信用卡、保險、商業查詢、消費金融、財經資訊、大宗商品投資、外匯查詢、投資理財、彩票服務等方面,從金融服務App個人信息保護工作九大方面梳理具體參考及實踐指南,明確機構在個人金融信息收集、存儲、使用、加工等環節的規范和流程,推動轄內金融行業形成個人信息保護長效機制,不斷提昇金融服務類App合規經營能力和管理水平。同時,《通知》明確三部門建立聯合監管工作機制,適時開展專項檢查,依職權對金融服務類App違法違規收集使用個人信息開展協同治理和聯合監管,形成監管合力,整治金融服務類App違規收集、使用、泄露個人信息等突出問題。
國家金融監督管理總局重慶監管局表示,下一步,將協同相關部門持續聚焦個人信息保護重點問題,加大對機構違規行為的排查和整治力度,推動行業個人信息保護治理水平不斷提昇。
中國互聯網金融協會也表示,將持續做好金融App自律備案管理,一是探索將涉金融活動App納入自律備案管理范圍,實現全覆蓋市場治理,同時進一步優化備案評估方式,降低從業機構合規成本;二是將備案管理由技術安全審查向App部分業務內容合規領域適當延伸,進一步加強自律檢查;三是探索建立自律協調機制,促進金融App開發運營、分發、運行等環節上下游各企業主體加強協同,實現全鏈條治理;四是組織開展金融App相關數據報送工作,定期發布App市場監測報告;五是完善移動金融可信公共服務平臺,實現金融App產品查詢、綜合信息披露等功能,促進金融App安全合規可持續發展。
