央行還發(fā)布了《移動金融APP應用軟件安全管理規(guī)范》,對2012年出臺的《中國金融移動支付客戶端技術規(guī)范》相關技術標準進行了完善�����,其中包括將“人機交互安全”改成“身份認證安全”。
違規(guī)APP查處整改風波,正迅速蔓延至銀行領域。
近日,國家網(wǎng)絡安全通報中心稱����,集中查處整改了100款違法違規(guī)APP及其運營的互聯(lián)網(wǎng)企業(yè),其中包括光大銀行(601818,股吧)����、天津銀行等金融機構(gòu)旗下手機銀行�����,主要違規(guī)問題集中在缺乏隱私協(xié)議����、收集使用個人信息范圍描述不清�����、超范圍采集個人信息和非必要采集個人信息等情形�����。
這也令眾多銀行驟然感到“風聲鶴唳”���。
“近日總行高層已要求對手機銀行APP開展自查,尤其對是否超范圍采集個人信息,將個人信息用于用戶授權以外范疇進行重點核查�����,一經(jīng)發(fā)現(xiàn)迅速暫停相關操作��������!币患页巧绦蠭T部門負責人向21世紀經(jīng)濟報道記者透露���。
業(yè)界人士認為����,一些金融機構(gòu)APP之所以被“點名”整改����,很可能是因為他們收集使用個人信息范圍描述不清。
“我們也存在類似問題����!鼻笆龀巧绦腥耸刻寡�,比如當用戶消費貸款償還逾期后,銀行內(nèi)部會根據(jù)其在APP端留存的手機號或家庭地址進行催收����,但個別用戶因此投訴銀行“濫用”個人信息,原因是他們沒有授權銀行采用這些信息用于催收���。
值得注意的是���,在針對銀行APP違規(guī)行為進行查處整改同時,央行相關部門也啟動首批金融業(yè)移動金融客戶端應用軟件(下稱“移動金融APP”)備案試點工作��,包括16家銀行�����、4家證券基金保險類金融機構(gòu)�,3家非銀支付機構(gòu)已參與備案試點的相關資料申報。
一位正在參與備案試點的股份制銀行人士透露���,目前銀行內(nèi)部已準備了大量備案申請資料��,包括機構(gòu)基本信息登記�、APP信息登記、APP軟件所有項目材料等��,但備案申請能否盡早通過驗收���,主要取決于央行科技司����、金融消費權益保護局與中國互聯(lián)網(wǎng)金融協(xié)會的審核流程�����。
蘇寧金融研究院研究員孫揚認為���,隨著移動金融APP備案試點啟動����,此前金融APP無序競爭���、缺乏治理的局面將被打破����,未來金融機構(gòu)在獲取��、保存、使用��、流轉(zhuǎn)用戶信息方面的各項操作都將納入監(jiān)管范疇���,無疑對金融機構(gòu)合規(guī)操作提出更高的要求���。
銀行個人信息采集的灰色地帶����?
“光大、天津銀行旗下手機銀行被點名查處整改�����,也讓我們驚出一身冷汗���������!鄙鲜龀巧绦蠭T部門負責人直言,為此�����,銀行內(nèi)部迅速啟動銀行APP自查工作,包括對強制用戶授權��、用戶過度授權���、超范圍采集使用個人信息等狀況迅速“暫停操作”�。
由于銀行APP作為居民理財��、存款�����、匯款以及辦理各項零售銀行業(yè)務的重要載體�����,因此銀行除了需要用戶上傳個人金融信息��,還會根據(jù)自身業(yè)務特點與技術能力���,額外要求用戶上傳“人臉”��、“指紋”等個人信息�����,但這些信息保存是否存在安全隱患�����,或銀行是否超范圍使用這些個人信息����,主要取決于銀行自身的業(yè)務操作尺度�����。
“我們在自查過程也發(fā)現(xiàn)����,其中的確存在一些灰色地帶�����!彼嘎���,除了在用戶消費貸款逾期后���,銀行零售部門根據(jù)APP端用戶留存的手機號進行電話催收��,銀行理財部門還會根據(jù)用戶在APP端提交的個人金融信息��,不定期發(fā)短信提供各類金融理財產(chǎn)品信息��,盡管這些產(chǎn)品信息未必是用戶主動想要獲得的�。
這位城商行IT部門負責人表示��,此前也有個別用戶對此進行投訴����,直指銀行“濫用”個人信息,但鑒于理財業(yè)務發(fā)展需要���,銀行內(nèi)部決定“睜一眼閉一眼”�����。但如今�����,這些理財產(chǎn)品信息推送已被叫停�,避免成為下一個“被查處整改者”。
在他看來���,隨著相關部門從嚴規(guī)范各類APP的個人信息采集使用�,未來如何合規(guī)采集使用個人信息��,將成為一門大學問����。
“我們內(nèi)部也有過討論�����,是否要參照當前歐洲的個人信息保護法規(guī)�����,即每使用一次用戶個人信息����,都要事先征得用戶同意并明示個人信息使用用途,等到下一次使用用戶個人信息時����,再去征求用戶同意并明確用途��������!彼蛴浾咄嘎叮伺e絕對能滿足相關部門對個人信息規(guī)范采集使用的要求���,但令金融服務體驗大幅下降�����。
“關于數(shù)據(jù)使用的邊界�����,不光是中國數(shù)字金融發(fā)展的問題���,也是全世界都非常關注的重要問題���!北本┐髮W數(shù)字金融研究中心副主任黃卓指出�����。在規(guī)范使用數(shù)據(jù)方面�����,需將數(shù)據(jù)使用與數(shù)據(jù)作為資產(chǎn)進行交易進行區(qū)分���,前者需符合在一定授權的基礎上��,在合理范圍內(nèi)進行使用��;后者則需更加嚴格的標準�,其中涉及數(shù)據(jù)所有權����,以及采集是否合規(guī)�,利益如何分配等。
“此外��,由于當前很多銀行都在打造開放銀行平臺——積極與外部第三方場景開展合作并拓寬金融服務范疇��,在這個過程里如何有效保護個人信息�����,如何與第三方場景在規(guī)范操作情況下共享個人部分信息,同樣是一大挑戰(zhàn)���������!币患毅y行業(yè)務創(chuàng)新部門負責人向記者透露,此前個別銀行手機銀行被查處整改�,不排除是其與外部場景合作過程,“不小心”將個人信息泄露����,被外部場景用于其他業(yè)務謀取利益。
備案試點劃定個人金融信息四大紅線
值得注意的是�����,在銀行APP遭遇查處整改同時��,央行相關部門已著手推進移動金融APP的備案試點工作�。
早在9月底,央行向部分金融機構(gòu)定向發(fā)布的“移動金融APP應用安全管理通知”(俗稱237號文)����,針對移動金融APP的安全問題����,從提升安全防護��、加強個人金融信息保護����、提高風險監(jiān)測能力、健全投訴處理機制����、強化行業(yè)自律等5大方面進行管理規(guī)范,并對個人金融信息保護劃定四大紅線:第一�����,在收集���、使用個人金融信息時,央行要求各金融機構(gòu)不得以默認����、捆綁、停止安裝使用等手段變相強迫用戶授權,不得收集與其提供金融服務無關的個人金融信息����;第二,金融機構(gòu)應采取數(shù)據(jù)加密���、訪問控制��、安全傳輸�、簽名認證等措施��,防止個人金融信息在傳輸�����、存儲�、使用等過程被非法竊取、泄露或篡改����;第三,在信息使用結(jié)束后�,各金融機構(gòu)應立即刪除敏感信息,在客戶端軟件卸載后不得留存?zhèn)人金融信息��;第四,金融機構(gòu)不得違反法律法規(guī)與用戶約定�,不得泄露、非法出售或非法向他人提供個人金融信息���。
與此同時�����,央行還發(fā)布了《移動金融APP應用軟件安全管理規(guī)范》�����,對2012年出臺的《中國金融移動支付客戶端技術規(guī)范》相關技術標準進行了完善�。其中包括將“人機交互安全”改成“身份認證安全”��。即身份認證�����,認證信息安全����,密碼設定與重置三部分安全要求,此外還增加了“不收集與所提供服務無關的個人金融信息�����,收集個人金融信息前需經(jīng)用戶明示同意�,不得變相強迫用戶授權,不得違反收集使用個人金融信息等要求”����。
“目前,中國互聯(lián)網(wǎng)金融協(xié)會也作為重要參與方�����,對首批參與移動金融APP備案試點的金融機構(gòu)進行相關現(xiàn)場����、非現(xiàn)場驗收審核與資料收集等工作�!鄙鲜稣趨⑴c備案試點的股份制銀行人士向21世紀經(jīng)濟報道記者透露,目前他所在的銀行已根據(jù)備案試點相關要求及上述政策條款規(guī)定�,準備了相關備案申請材料,選擇提交2款資金交易類APP進行備案��。
他透露�,按照規(guī)劃,年底前����,銀行機構(gòu)將完成試點備案申請�����,明年一季度有望完成相關備案審核工作���。
“目前央行相關部門主要先針對持牌金融機構(gòu)開展備案試點,等到相關備案流程完善后����,可能會制定統(tǒng)一的行業(yè)標準與備案規(guī)則,要求其他類型金融機構(gòu)參與備案�。”他直言���,這也意味著所有金融機構(gòu)的個人信息采集使用�����,都將納入相關部門的規(guī)范監(jiān)管范疇內(nèi)����。
央行科技司司長李偉此前指出�����,針對當前一些金融機構(gòu)客戶端軟件存在的安全防護能力參差不齊、超范圍收集個人信息��、仿冒釣魚現(xiàn)象突出等問題�,各金融機構(gòu)要建立客戶端軟件安全管理全程覆蓋機制����,相關部門也將建立健全客戶端軟件監(jiān)督處置機制。
(責任編輯:李顯杰 )
最新評論