北美首頁 | 新聞 | 時尚 | 大陸 | 臺灣 | 美國 | 娛樂 | 體育 | 財經 | 圖片 | 移民 | 微博 | 健康
加密貨幣歡迎試用
Value Engine Stock Forecast
ENTER SYMBOL(S)

銀行系App整改背後:金融機構個人信息採集監管開啓

http://finance.sina.com   2019年12月10日 09:12   北京新浪網

  來源:21世紀經濟報道

  原標題:銀行系App整改背後: 金融機構個人信息採集監管大幕開啓

  央行還發布了《移動金融App應用軟件安全管理規範》,對2012年出臺的《中國金融移動支付客戶端技術規範》相關技術標準進行了完善,其中包括將“人機交互安全”改成“身份認證安全”。

  央行還發布了《移動金融App應用軟件安全管理規範》,對2012年出臺的《中國金融移動支付 客戶端技術規範》相關技術標準進行了完善,其中包括將“人機交互安全”改成“身份認證安全”。

  違規App查處整改風波,正迅速蔓延至銀行領域。

  近日,國家網絡安全通報中心稱,集中查處整改了100款違法違規App及其運營的互聯網企業,其中包括光大銀行、天津銀行等金融機構旗下手機銀行,主要違規問題集中在缺乏隱私協議、收集使用個人信息範圍描述不清、超範圍採集個人信息和非必要採集個人信息等情形。

  這也令衆多銀行驟然感到“風聲鶴唳”。

  “近日總行高層已要求對手機銀行App開展自查,尤其對是否超範圍採集個人信息,將個人信息用於用戶授權以外範疇進行重點核查,一經發現迅速暫停相關操作。”一家城商行IT部門負責人向21世紀經濟報道記者透露。

  業界人士認爲,一些金融機構App之所以被“點名”整改,很可能是因爲他們收集使用個人信息範圍描述不清。

  “我們也存在類似問題。”前述城商行人士坦言,比如當用戶消費貸款償還逾期後,銀行內部會根據其在App端留存的手機號或家庭地址進行催收,但個別用戶因此投訴銀行“濫用”個人信息,原因是他們沒有授權銀行採用這些信息用於催收。

  值得注意的是,在針對銀行App違規行爲進行查處整改同時,央行相關部門也啓動首批金融業移動金融客戶端應用軟件(下稱“移動金融App”)備案試點工作,包括16家銀行、4家證券基金保險類金融機構,3家非銀支付機構已參與備案試點的相關資料申報。

  一位正在參與備案試點的股份制銀行人士透露,目前銀行內部已準備了大量備案申請資料,包括機構基本信息登記、App信息登記、App軟件所有項目材料等,但備案申請能否儘早通過驗收,主要取決於央行科技司、金融消費權益保護局與中國互聯網金融協會的審覈流程。

  蘇寧金融研究院研究員孫揚認爲,隨着移動金融App備案試點啓動,此前金融App無序競爭、缺乏治理的局面將被打破,未來金融機構在獲取、保存、使用、流轉用戶信息方面的各項操作都將納入監管範疇,無疑對金融機構合規操作提出更高的要求。

  銀行個人信息採集的灰色地帶?

  “光大、天津銀行旗下手機銀行被點名查處整改,也讓我們驚出一身冷汗。”上述城商行IT部門負責人直言,爲此,銀行內部迅速啓動銀行App自查工作,包括對強制用戶授權、用戶過度授權、超範圍採集使用個人信息等狀況迅速“暫停操作”。

  由於銀行App作爲居民理財、存款、匯款以及辦理各項零售銀行業務的重要載體,因此銀行除了需要用戶上傳個人金融信息,還會根據自身業務特點與技術能力,額外要求用戶上傳“人臉”、“指紋”等個人信息,但這些信息保存是否存在安全隱患,或銀行是否超範圍使用這些個人信息,主要取決於銀行自身的業務操作尺度。

  “我們在自查過程也發現,其中的確存在一些灰色地帶。”他透露,除了在用戶消費貸款逾期後,銀行零售部門根據App端用戶留存的手機號進行電話催收,銀行理財部門還會根據用戶在App端提交的個人金融信息,不定期發短信提供各類金融理財產品信息,儘管這些產品信息未必是用戶主動想要獲得的。

  這位城商行IT部門負責人表示,此前也有個別用戶對此進行投訴,直指銀行“濫用”個人信息,但鑑於理財業務發展需要,銀行內部決定“睜一眼閉一眼”。但如今,這些理財產品信息推送已被叫停,避免成爲下一個“被查處整改者”。

  在他看來,隨着相關部門從嚴規範各類App的個人信息採集使用,未來如何合規採集使用個人信息,將成爲一門大學問。

  “我們內部也有過討論,是否要參照當前歐洲的個人信息保護法規,即每使用一次用戶個人信息,都要事先徵得用戶同意並明示個人信息使用用途,等到下一次使用用戶個人信息時,再去徵求用戶同意並明確用途。”他向記者透露,此舉絕對能滿足相關部門對個人信息規範採集使用的要求,但令金融服務體驗大幅下降。

  “關於數據使用的邊界,不光是中國數字金融發展的問題,也是全世界都非常關注的重要問題。”北京大學數字金融研究中心副主任黃卓指出。在規範使用數據方面,需將數據使用與數據作爲資產進行交易進行區分,前者需符合在一定授權的基礎上,在合理範圍內進行使用;後者則需更加嚴格的標準,其中涉及數據所有權,以及採集是否合規,利益如何分配等。

  “此外,由於當前很多銀行都在打造開放銀行平臺——積極與外部第三方場景開展合作並拓寬金融服務範疇,在這個過程裏如何有效保護個人信息,如何與第三方場景在規範操作情況下共享個人部分信息,同樣是一大挑戰。”一家銀行業務創新部門負責人向記者透露,此前個別銀行手機銀行被查處整改,不排除是其與外部場景合作過程,“不小心”將個人信息泄露,被外部場景用於其他業務謀取利益。

  備案試點劃定個人金融信息四大紅線

  值得注意的是,在銀行App遭遇查處整改同時,央行相關部門已着手推進移動金融App的備案試點工作。

  早在9月底,央行向部分金融機構定向發佈的“移動金融App應用安全管理通知”(俗稱237號文),針對移動金融App的安全問題,從提升安全防護、加強個人金融信息保護、提高風險監測能力、健全投訴處理機制、強化行業自律等5大方面進行管理規範,並對個人金融信息保護劃定四大紅線:第一,在收集、使用個人金融信息時,央行要求各金融機構不得以默認、捆綁、停止安裝使用等手段變相強迫用戶授權,不得收集與其提供金融服務無關的個人金融信息;第二,金融機構應採取數據加密、訪問控制、安全傳輸、簽名認證等措施,防止個人金融信息在傳輸、存儲、使用等過程被非法竊取、泄露或篡改;第三,在信息使用結束後,各金融機構應立即刪除敏感信息,在客戶端軟件卸載後不得留存個人金融信息;第四,金融機構不得違反法律法規與用戶約定,不得泄露、非法出售或非法向他人提供個人金融信息。

  與此同時,央行還發布了《移動金融App應用軟件安全管理規範》,對2012年出臺的《中國金融移動支付 客戶端技術規範》相關技術標準進行了完善。其中包括將“人機交互安全”改成“身份認證安全”。即身份認證,認證信息安全,密碼設定與重置三部分安全要求,此外還增加了“不收集與所提供服務無關的個人金融信息,收集個人金融信息前需經用戶明示同意,不得變相強迫用戶授權,不得違反收集使用個人金融信息等要求”。

  “目前,中國互聯網金融協會也作爲重要參與方,對首批參與移動金融App備案試點的金融機構進行相關現場、非現場驗收審覈與資料收集等工作。”上述正在參與備案試點的股份制銀行人士向21世紀經濟報道記者透露,目前他所在的銀行已根據備案試點相關要求及上述政策條款規定,準備了相關備案申請材料,選擇提交2款資金交易類App進行備案。

  他透露,按照規劃,年底前,銀行機構將完成試點備案申請,明年一季度有望完成相關備案審覈工作。

  “目前央行相關部門主要先針對持牌金融機構開展備案試點,等到相關備案流程完善後,可能會制定統一的行業標準與備案規則,要求其他類型金融機構參與備案。”他直言,這也意味着所有金融機構的個人信息採集使用,都將納入相關部門的規範監管範疇內。

  央行科技司司長李偉此前指出,針對當前一些金融機構客戶端軟件存在的安全防護能力參差不齊、超範圍收集個人信息、仿冒釣魚現象突出等問題,各金融機構要建立客戶端軟件安全管理全程覆蓋機制,相關部門也將建立健全客戶端軟件監督處置機制。

Bookmark and Share
|
關閉
列印