手机网站
手机网站
违反APP调查所的整改骚动,迅速蔓延到银行领域。
最近,国家互联网安全通报中心集中调查了包括光银行、天津银行等金融机构下属的手机银行在内的100种违法违规APP和运营的互联网企业,主要违规问题是隐私合同的缺失,个人信息收集范围的记述不明确,超出范围的个人信息收集,不需要的个人信息
这也是许多银行突然感到“风云鹤着作”。
“最近,总公司高层要求手机银行APP进行自我调查,特别是是否超出范围收集个人信息,在用户认可以外的范围内重点检查个人信息,发现后立即停止相关工作。” 某城市商行IT部门的负责人向21世纪的经济报道记者透露了这一点。
业内人士表示,一些金融机构APP之所以被“提名”,可能是因为收集和使用个人信息的范围不明确。
“我们也有类似的问题。 上述的城市商人,例如用户的消费贷款偿还过期后,银行内部根据APP方面留下的手机号码和住宅地址进行催款,个别用户诉说银行“滥用”个人信息。 因为他们没有授权银行采用这些信息催款。
值得注意的是,在调查银行APP违规行为的同时,中央银行相关部门也开始了最初的金融业移动金融客户端应用软件(以下称为“移动金融APP”)的申报试验,包括银行16家、证券基金保险金融机构4家、非银行支付机构3家参加申报试验的相关资料的申报。
据参加登记考试的股份制银行职员说,现在银行内部准备了大量的登记申请资料。 机构基本信息登记、APP信息登记、APP软件的所有项目资料等,登记申请能否提前通过检查,主要取决于中央银行科技司、金融消费权益保护局和中国网络金融协会的审查程序。
苏宁金融研究院的孙扬研究员认为,随着移动金融APP的申报尝试的开始,到目前为止金融APP的无序竞争、管理不足的局面被打破,将来金融机构获取、保存、使用、流通用户信息的各种操作包含在监督管理的范畴内,一定会对金融机构的合规操作提出更高的要求。
银行个人信息收集的灰色地带?
上述城市商行IT部门的负责人坦率地说:“光,天津银行下属的手机银行被通缉,出了冷汗。”因此,银行内部迅速开始自我调查银行APP,迅速“暂停”强制用户认可、用户过度认可、超范围个人信息收集等情况。
银行APP是居民资产管理、存款、汇款和各零售银行业务的重要载体,银行不仅要求用户上传个人金融信息,还要求用户根据自己业务的特点和技术能力上传“脸”“指纹”等个人信息。 这些信息是否存在安全问题,或银行是否在范围外使用这些个人信息,主要取决于银行自身的业务操作量表。
“我们在自我调查的过程中,发现其中确实有灰色地区。 他说,用户的消费贷款到期后,银行零售部门除了根据APP方用户留下的手机号码进行电话催款外,银行资产管理部门还根据用户在APP方提交的个人金融信息,不定期地通过邮件提供各种金融资产管理产品信息。 这些产品信息用户不一定想积极获得。
该城商行IT部门的负责人指出,迄今为止有个人用户的投诉,银行“滥用”个人信息,但由于资产管理业务发展的必要性,银行内部决定“看一眼”。 但是,现在这些资产管理产品的信息推广已经停止,成为下一个“被调查的改善者”是不可避免的。
据他介绍,随着有关部门严格规范收集和使用各种APP的个人信息,将来如何收集和使用个人信息将成为大学的问题。
“我们内部也在考虑是否参照现在的欧洲个人信息保护法规,即每次使用用户个人信息时,都要事先征得用户的同意,明确个人信息的使用用途,在下次使用用户个人信息之前,要征求用户的同意,明确使用用途。” 这绝对可以满足有关部门收集和使用个人信息规范的要求,但会大大降低金融服务体验。
北京大学数字金融研究中心副主任黄卓指出,“关于数据使用的边界,不仅是中国数字金融发展的问题,也是全球关注的重要问题。” 为了规范数据的使用,必须将数据作为资产来区分交易,前者需要根据一定的认可在合理的范围内使用,后者需要更严格的标准,涉及数据的所有权和合规性的有无、利益的分配等。
“目前,许多银行正在构建开放式银行平台,积极与外部第三方场景合作,拓展金融服务范围,在此过程中如何保护个人信息, 如何在规范操作中共享第三方场景和部分个人信息是一大课题”一位银行业务创新部门负责人向记者透露,至今为止个别银行的手机银行被调查,不排除与外部场景合作的过程,而是“不小心”泄露个人信息,外部场景被用于其他业务的利益。
备案试行划定个人金融信息的四条大红线
值得注意的是,在银行APP遇到检查站建设的同时,中央银行有关部门已经着手推进移动金融APP的备案试验。
早在9月底,中央银行就部分金融机构发布了《移动金融APP应用安全管理通知》(通称237号),针对移动金融APP的安全问题,从安全保护的提高、个人金融信息保护的强化、风险监视能力的提高、投诉处理机制的健全化、行业自律的强化等5个方面进行管理规范,针对个人金融信息保护的4条红线
第一,在收集和使用个人金融信息的情况下,中央银行要求各金融机构不得通过默认、捆绑、停止使用等手段强制用户授权,不得收集与提供金融服务无关的个人金融信息
其次,金融机构应采取数据加密、访问控制、安全传输、签名认证等措施,防止个人金融信息在传输、存储、使用等过程中被盗、泄露、篡改
第三,在信息的使用期满之后,每个金融机构必须立即删除敏感信息,并且在客户端软件被卸载之后不能保留个人金融信息
第四,金融机构不得违反法律法规违反与用户的约定,不得泄露个人金融信息,不得非法销售,不得非法提供给他人。
与此同时,中央银行发布了《移动金融APP应用安全管理规范》,完善了2012年颁布的《中国金融移动支付客户技术规范》相关技术标准。 其中也包括将“人机交互安全性”变更为“认证安全性”。 即,除了身份认证、认证信息安全、密码设定和复位这3个安全要求之外,还包括: "不收集与所提供服务无关的个人金融信息,在收集个人金融信息之前必须得到用户的明确同意,不得强制用户许可,收集个人金融信息等
“目前,中国互联网金融协会也是重要参与者,对首次参加移动金融APP报名考试的金融机构进行现场、非现场检查审查和资料收集等工作。” 参加上述登记考试的股票银行相关人员向21世纪的经济新闻记者表示,目前他的银行已经根据有关登记考试的要求和上述政策条款的规定,选择准备相关的登记申请资料,并将两种资金交易类APP提交报告。
根据计划,银行机构将在年底前完成试验性备案申请,预计明年第一季度完成相关备案审查。
“目前中央银行有关部门主要对持卡金融机构进行备案试验,完善相关备案程序后,可能会制定统一的行业标准和备案规则,要求其他类型的金融机构参与备案。”他坦率地说,这与所有金融机构的个人信息收集使用有关
中央银行科技司司长李伟此前针对目前金融机构客户端软件存在的安全保护能力偏差、个人信息收集、网络钓鱼现象突出等问题,建立了各金融机构垄断客户端软件安全管理全过程的机制,相关部门也建立了客户端安全管理机制
