金融机构App屡被通报多方力促合规发展
国家计算机病毒应急处理中心近期通过互联网监测发现14款移动App存在隐私不合规行为,天津农商银行和捷信金融两个金融App被通报。记者梳理发现,去年以来,交通银行太平洋信用卡中心、天津农商行、东莞农商行、山西银行、晋商银行、山西证券、江海证券等多家金融机构旗下App被通报隐私不合规,违规收集个人信息、过度索取权限等问题屡屡出现,个人信息保护窘境待解。
去年以来多家金融机构App被点名
天津农商银行App(应用来源为应用宝,版本为6.5.0)被指存在两个问题:一是隐私政策未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等,涉嫌隐私不合规;二是App频繁自启动和关联启动。捷信金融(应用来源为应用宝,版本为34.46.0)则因“个人信息处理者处理不满十四周岁未成年人个人信息的,未制定专门的个人信息处理规则。涉嫌隐私不合规”被通报。
“针对近期国家计算机病毒应急处理中心监测发现我行App(天津农商银行版本6.5.0,应用宝)存在隐私不合规行为事件,我行第一时间与国家计算机病毒应急处理中心取得联系,明确该事件主要原因,一是对客隐私协议中部分条款文字表述不够明确;二是为实时监测客户网络状态,进行弱网环境提示,保持服务流畅,我行远程视频银行控件后台运行时,会持续进行网络状态的获取。”天津农商银行随后回应称,在国家计算机病毒应急处理中心指导下,现已修订完善了用户隐私条款并更新,并对手机银行客户端程序进行了优化,相关问题已整改。“上述问题对我行手机银行App安全性没有损害,客户的资金安全、交易安全、信息安全不受影响。”
3月29日,广东省通信管理局公开通报了18款未按要求完成整改App,东莞农商银行App(应用来源为应用宝)因“违规收集个人信息”和“App强制、频繁、过度索取权限”被点名。
记者根据公开信息梳理发现,去年以来,多家银行、证券等金融机构旗下App被通报隐私不合规。
工业和信息化部去年11月底发布的《关于侵害用户权益行为的App(SDK)通报(2023年第8批,总第34批)》点名22款App及SDK(第三方软件开发工具包)存在侵害用户权益行为,包括浙江泰隆银行的“泰惠收”(应用来源为三星应用商店,版本为1.9.7)、江海证券的“江海锦龙综合版”(应用来源为百度手机助手,版本为V9.00.44)两个金融类App。其中,浙江泰隆银行的“泰惠收”涉及违规收集个人信息,以及App强制、频繁、过度索取权限,江海证券的“江海锦龙综合版”涉及App强制、频繁、过度索取权限。工信部3月发布的《关于侵害用户权益行为的App(SDK)通报(2023年第2批,总第28批)》点名55款App及SDK,其中包括吉林银行App(应用来源为华为应用市场,版本为5.2.0),所涉问题同样为“App强制、频繁、过度索取权限”。
此外,2023年4月至9月,上海市网信办对属地下载量较大及投诉较多的46款App开展了收集使用个人信息专项检查,共发现160余项问题。交通银行太平洋信用卡中心的“买单吧”(应用来源为华为应用市场,版本为6.1.1和6.4.0)被点名,涉及强制收集非必要个人信息、未提供用户主动勾选服务协议、隐私政策内容不完整以及超范围收集个人信息等四个问题。据悉,经过通报和跟进指导,被点名的App运营单位均已完成问题整改。
去年5月,山西省通信管理局公开通报12款未按要求完成整改App。其中,山西银行App(版本为3.4.2)涉及“App首次运行,用户同意隐私政策前,私自收集用户个人信息”,山西省农村信用社联合社的“晋享生活”(版本为4.1.04)和晋商银行App(版本为5.0.0)都存在“未在隐私政策中逐一列举说明第三方SDK收集使用个人信息的目的、方式、范围”的问题,山西证券的“汇通启富”(版本为6.7.4.1)则因“App未向用户明示未经用户同意,或无合理的使用场景,存在频繁自启动或关联启动的行为”被点名。
数据安全和隐私保护面临挑战
用户在使用APP开展金融交易,获得金融服务与产品时,也被记录下大量个人数据,随着应用向场景化、生态化纵深推进,用户隐私保护也面临更多挑战。
中国互联网金融协会不久前发布《2023年金融APP市场治理与发展报告》(简称“报告”)指出,当前金融App领域仍然面临一些不容忽视的风险挑战:部分从业机构对网络安全、个人信息保护等领域法律制度和标准规范的理解存在一定偏差且贯彻落实不到位的情况;一些金融App存在重技术开发、轻日常运营,重注册用户、轻活跃用户,重产品部署、轻用户体验的问题;有的金融App集成开源组件,面临开源许可证兼容性、合规性等风险;智能化、云上化和平台化金融发展趋势对金融App的业务合规、系统性能、网络安全提出更高要求;金融App涉及客户数据、交易数据、资金流动等敏感信息,场景化和生态化趋势给数据安全和隐私保护带来挑战。
中国互联网金融协会表示,金融App是从业机构提供数字金融服务的重要渠道和推进数字化转型的关键抓手,加强自律备案管理有助于提升金融App安全性,引导和督促从业机构更加注重数据安全和隐私保护,提高金融消费者对使用金融App的信任度和安全感。截至2023年底,协会完成3112家机构、共计2429款金融App备案(含关联备案),在开展金融App备案过程中累计发现并督促整改漏洞隐患6万余项。通过审核评估、风险监测、违规公示等自律管理手段,2023年单款App平均发现数据安全方面的问题同比下降33.6%,安全防护方面的问题同比下降29.8%,个人信息收集使用方面的问题同比下降5.9%,单款App平均权限申请数量呈现逐年下降态势。
有业内人士指出,银行业APP数据库汇集海量市场数据、客户交易数据,属于机构核心竞争资产,尤其是个人识别特征信息,极易被复制,泄露后难以挽回,对个人隐私财产造成严重危害。一些银行机构对此缺乏重视,一方面在于从业者监管不足,另一方面在于App网络防御不足,面对科技迅猛发展,安全问题愈发突出。
多方力促金融App合规发展
当前,电信和互联网行业尚未出台针对金融服务类App个人信息保护工作的专门性指引文件,现有标准、规范难以完全满足金融行业App业务发展与安全合规需要,对于金融服务类App的运营和使用相关业务中个人信息收集、使用、加工等行为缺乏统一规范。在此背景下,国家金融监督管理总局重庆监管局、重庆市地方金融管理局、重庆市通信管理局近日联合印发《关于促进金融服务类App个人信息保护合规经营能力提升的通知》(简称《通知》),建立联合监管工作机制,并基于现行法律法规,结合金融行业特点梳理完成《重庆市金融服务类移动互联网应用程序个人信息保护合规指南(V1.0)》,对辖内银行保险机构、地方金融组织、相关App运营者进行合规指导。
《通知》进一步压实了银行保险机构、地方金融组织、相关App运营者个人信息保护主体责任,针对《常见类型移动互联网应用程序必要个人信息范围规定》划分的网络借贷、投资理财、手机银行、网络支付四大金融服务App类型,涵盖理财兼职、证券交易、信用卡、保险、商业查询、消费金融、财经资讯、大宗商品投资、外汇查询、投资理财、彩票服务等方面,从金融服务App个人信息保护工作九大方面梳理具体参考及实践指南,明确机构在个人金融信息收集、存储、使用、加工等环节的规范和流程,推动辖内金融行业形成个人信息保护长效机制,不断提升金融服务类App合规经营能力和管理水平。同时,《通知》明确三部门建立联合监管工作机制,适时开展专项检查,依职权对金融服务类App违法违规收集使用个人信息开展协同治理和联合监管,形成监管合力,整治金融服务类App违规收集、使用、泄露个人信息等突出问题。
国家金融监督管理总局重庆监管局表示,下一步,将协同相关部门持续聚焦个人信息保护重点问题,加大对机构违规行为的排查和整治力度,推动行业个人信息保护治理水平不断提升。
中国互联网金融协会也表示,将持续做好金融App自律备案管理,一是探索将涉金融活动App纳入自律备案管理范围,实现全覆盖市场治理,同时进一步优化备案评估方式,降低从业机构合规成本;二是将备案管理由技术安全审查向App部分业务内容合规领域适当延伸,进一步加强自律检查;三是探索建立自律协调机制,促进金融App开发运营、分发、运行等环节上下游各企业主体加强协同,实现全链条治理;四是组织开展金融App相关数据报送工作,定期发布App市场监测报告;五是完善移动金融可信公共服务平台,实现金融App产品查询、综合信息披露等功能,促进金融App安全合规可持续发展。