華夏時報記者 李明會 見習記者 林佳茹 北京報道
近日,中國互聯網金融協會通報了違規移動金融APP的自律檢查情況。
早在今年9月,協會已對10款移動金融APP開展非現場檢查,發現多家銀行運營的APP存在風險隱患。截至12月16日,本溪銀行、黑龍江農信、黃河銀行已完成整改,寧夏銀行、哈密市商業銀行基本完成整改。
談及此類風險爆發的原因,有業內人士在接受《華夏時報》記者採訪時指出,核心在於部分機構過度採集與不當共享用戶數據,同時存在技術防護能力不足、內部管理粗放、隱私保護意識薄弱等問題,這暴露了行業在安全與隱私保護領域的系統性短板。
「破解當前監管加碼但問題難消的行業困境,需從提升中小銀行技術投入與合規能力、強化監管穿透力與常態化檢查、壓實機構主體責任、推動行業標準統一等層面協同突破。」上述業內人士指出。
個人隱私問題成「重災區」
中國互聯網金融協會在此次通報中表示,「請各APP運營機構認真對照自律檢查發現的問題清單,深入開展自查自糾,堅持舉一反三,進一步強化金融APP安全管理與風險防控能力,切實防範化解潛在風險隱患。」
從本次《自律檢查發現問題清單》來看,移動金融客戶端應用軟件在安全與隱私保護領域問題集中,主要涵蓋個人信息保護、安全防護、數據安全三大類別。其中安全防護中的身份認證安全與個人信息保護兩大板塊問題尤為突出,成為用戶投訴與監管關注的焦點。
在安全防護層面,身份認證安全漏洞已形成明顯風險隱患。檢查發現,部分APP在用戶已登入狀態下,姓名、銀行卡號等核心身份信息未做屏蔽處理;在輸入支付密碼環節,也未提供符合安全標準的即時防護功能。
個人信息保護領域同樣是重災區。檢查中發現的典型問題包括未經用戶明確同意擅自收集、使用個人信息;違反必要原則,超範圍收集與服務無關的信息;未按法律規定為用戶提供個人信息刪除或更正功能,或未公開投訴舉報渠道等。這些問題在用戶端已引發普遍不滿,多位受訪者也向記者吐槽了自身遭遇。
「想正常用手機銀行,就得把手機訪問權限全打開,不然很多核心功能直接用不了。」在北京從事教育行業的張女士向《華夏時報》記者無奈表示。她近期下載某銀行APP時,因拒絕授予通訊錄、位置信息等非必要權限,被限制使用轉賬、理財查詢等基礎服務,「感覺不是我在選服務,是APP在‘綁架’我的權限」。
從事互聯網行業的小王則對個人信息泄露問題更為擔憂。「現在在網上哪還有真正的隱私?刷臉支付、指紋支付的時候,APP相當於把我們的生物信息、手機裏的所有數據都看了個遍,說‘裸奔’真的不誇張。」小王舉例稱,自己從未在某消費金融平台註冊過賬號,卻頻繁收到該平台的貸款推銷電話,「連我最近在關注裝修的事都知道,很難不懷疑個人信息早就被流轉出去了」。
另一企業職員李女士也補充道,「經常接到銀行的理財推銷電話,問起怎麼知道我的聯繫方式,對方要麼含糊其辭,要麼說系統推薦。嘴上說着保護個人信息,但實際感受不到安全感,不知道自己的信息到底被存在了多少個數據庫裏。」
移動金融APP持續加強監管
記者注意到,2024年3月國家金融監管總局發布《銀行保險機構數據安全管理辦法(徵求意見稿)》,明確銀行保險機構處理個人信息需遵循「明確告知、授權同意」原則,收集個人信息限於最小範圍,不得過度收集。
同年9月,國家金融監管總局再發通知,要求金融機構建立移動應用個人信息保護制度,以「合法、正當、必要」為原則收集信息,需主動告知用戶信息收集目的、使用保護方式,並公布投訴渠道、及時處理隱私合規問題。
儘管監管要求不斷明確,中小銀行卻成為金融APP隱私違規的高發羣體。
據國家計算機病毒應急處理中心通報顯示,2024年以來已有樂山商業銀行、廈門銀行、福建農商銀行、天津農商銀行、甘肅農信等近20家銀行,因移動應用隱私不合規被點名。
從通報內容來看,這些銀行的違規行為集中在未明示或未獲同意即收集個人信息;隱私政策未完整披露信息處理目的、方式與範圍;未提供撤回同意或賬號註銷功能;未對敏感信息、未成年人信息實施單獨授權;未採取加密、去標識化等安全技術措施等。
為何中小銀行合規問題頻現?博通諮詢金融行業首席分析師王蓬博對《華夏時報》記者分析,一是不少平台還是抱着流量至上的想法,過度採集數據,合規意識跟不上業務擴張速度;二是新技術應用下,隱形採集、數據流轉的環節變多,技術防護的漏洞沒補上;三是用戶往往被冗長的隱私政策困住,要麼看不懂要麼沒得選。
「本質上,多數機構把合規當‘事後補救’,未將數據安全嵌入業務全流程,尤其第三方合作環節管控薄弱。」王蓬博表示。
對於這一現象,王蓬博也提出相應建議:一方面,要給中小銀行量身定做可落地的合規指引,同時加大常態化檢查和精準處罰的力度;另一方面,中小銀行自身也要補短板,明確數據安全的責任部門,別再把風控外包當成跟自己無關做甩手掌櫃,嚴格落實最小授權原則。
在長效治理上,王蓬博進一步建議,制度層面需清晰劃分數據權責邊界,隱私政策避免「文字遊戲」,讓用戶看得懂、能維權;行業端要轉變思路,將安全評估嵌入產品設計初始環節,別等問題發生再補救;技術上多推廣隱私計算等方案,同時加強用戶教育,便利投訴維權。
中國郵政儲蓄銀行研究員婁飛鵬也對《華夏時報》記者補充,長遠來看,金融機構需在產品設計中嵌入隱私保護原則,平衡便利與安全,建立可審計、可追溯的合規機制,推動技術、制度與文化協同演進,進一步構築用戶信賴的數據安全屏障。
責任編輯:王馨茹