國家計算機病毒應急處理中心近期通過互聯(lián)網監(jiān)測發(fā)現(xiàn)14款移動App存在隱私不合規(guī)行為����,天津農商銀行和捷信金融兩個金融App被通報����。記者梳理發(fā)現(xiàn)��,去年以來���,交通銀行太平洋信用卡中心�����、天津農商行��、東莞農商行��、山西銀行���、晉商銀行�、山西證券�����、江海證券等多家金融機構旗下App被通報隱私不合規(guī)����,違規(guī)收集個人信息、過度索取權限等問題屢屢出現(xiàn)��,個人信息保護窘境待解����。
??去年以來多家金融機構App被點名
??天津農商銀行App(應用來源為應用寶,版本為6.5.0)被指存在兩個問題:一是隱私政策未逐一列出App(包括委托的第三方或嵌入的第三方代碼��、插件)收集使用個人信息的目的�、方式、范圍等���,涉嫌隱私不合規(guī)����;二是App頻繁自啟動和關聯(lián)啟動。捷信金融(應用來源為應用寶�,版本為34.46.0)則因“個人信息處理者處理不滿十四周歲未成年人個人信息的,未制定專門的個人信息處理規(guī)則�。涉嫌隱私不合規(guī)”被通報。
??“針對近期國家計算機病毒應急處理中心監(jiān)測發(fā)現(xiàn)我行App(天津農商銀行版本6.5.0����,應用寶)存在隱私不合規(guī)行為事件�����,我行第一時間與國家計算機病毒應急處理中心取得聯(lián)系���,明確該事件主要原因��,一是對客隱私協(xié)議中部分條款文字表述不夠明確�;二是為實時監(jiān)測客戶網絡狀態(tài)�����,進行弱網環(huán)境提示,保持服務流暢�,我行遠程視頻銀行控件后臺運行時,會持續(xù)進行網絡狀態(tài)的獲取��?�!碧旖蜣r商銀行隨后回應稱���,在國家計算機病毒應急處理中心指導下�����,現(xiàn)已修訂完善了用戶隱私條款并更新�,并對手機銀行客戶端程序進行了優(yōu)化�,相關問題已整改?!吧鲜鰡栴}對我行手機銀行App安全性沒有損害,客戶的資金安全�、交易安全、信息安全不受影響����。”
??3月29日,廣東省通信管理局公開通報了18款未按要求完成整改App�����,東莞農商銀行App(應用來源為應用寶)因“違規(guī)收集個人信息”和“App強制��、頻繁�����、過度索取權限”被點名����。
??記者根據(jù)公開信息梳理發(fā)現(xiàn),去年以來�����,多家銀行����、證券等金融機構旗下App被通報隱私不合規(guī)����。
??工業(yè)和信息化部去年11月底發(fā)布的《關于侵害用戶權益行為的App(SDK)通報(2023年第8批,總第34批)》點名22款App及SDK(第三方軟件開發(fā)工具包)存在侵害用戶權益行為,包括浙江泰隆銀行的“泰惠收”(應用來源為三星應用商店����,版本為1.9.7)、江海證券的“江海錦龍綜合版”(應用來源為百度手機助手�,版本為V9.00.44)兩個金融類App。其中�,浙江泰隆銀行的“泰惠收”涉及違規(guī)收集個人信息,以及App強制����、頻繁、過度索取權限�,江海證券的“江海錦龍綜合版”涉及App強制、頻繁�、過度索取權限。工信部3月發(fā)布的《關于侵害用戶權益行為的App(SDK)通報(2023年第2批�����,總第28批)》點名55款App及SDK�����,其中包括吉林銀行App(應用來源為華為應用市場��,版本為5.2.0),所涉問題同樣為“App強制�����、頻繁�����、過度索取權限”��。
??此外�,2023年4月至9月�,上海市網信辦對屬地下載量較大及投訴較多的46款App開展了收集使用個人信息專項檢查,共發(fā)現(xiàn)160余項問題��。交通銀行太平洋信用卡中心的“買單吧”(應用來源為華為應用市場��,版本為6.1.1和6.4.0)被點名�����,涉及強制收集非必要個人信息�、未提供用戶主動勾選服務協(xié)議����、隱私政策內容不完整以及超范圍收集個人信息等四個問題�。據(jù)悉����,經過通報和跟進指導,被點名的App運營單位均已完成問題整改���。
??去年5月�����,山西省通信管理局公開通報12款未按要求完成整改App。其中�����,山西銀行App(版本為3.4.2)涉及“App首次運行��,用戶同意隱私政策前,私自收集用戶個人信息”��,山西省農村信用社聯(lián)合社的“晉享生活”(版本為4.1.04)和晉商銀行App(版本為5.0.0)都存在“未在隱私政策中逐一列舉說明第三方SDK收集使用個人信息的目的����、方式�����、范圍”的問題����,山西證券的“匯通啟富”(版本為6.7.4.1)則因“App未向用戶明示未經用戶同意,或無合理的使用場景���,存在頻繁自啟動或關聯(lián)啟動的行為”被點名�。
??數(shù)據(jù)安全和隱私保護面臨挑戰(zhàn)
??用戶在使用APP開展金融交易�,獲得金融服務與產品時,也被記錄下大量個人數(shù)據(jù)���,隨著應用向場景化�����、生態(tài)化縱深推進�����,用戶隱私保護也面臨更多挑戰(zhàn)。
??中國互聯(lián)網金融協(xié)會不久前發(fā)布《2023年金融APP市場治理與發(fā)展報告》(簡稱“報告”)指出��,當前金融App領域仍然面臨一些不容忽視的風險挑戰(zhàn):部分從業(yè)機構對網絡安全���、個人信息保護等領域法律制度和標準規(guī)范的理解存在一定偏差且貫徹落實不到位的情況���;一些金融App存在重技術開發(fā)、輕日常運營����,重注冊用戶、輕活躍用戶�,重產品部署、輕用戶體驗的問題�����;有的金融App集成開源組件��,面臨開源許可證兼容性����、合規(guī)性等風險�����;智能化��、云上化和平臺化金融發(fā)展趨勢對金融App的業(yè)務合規(guī)��、系統(tǒng)性能�����、網絡安全提出更高要求��;金融App涉及客戶數(shù)據(jù)����、交易數(shù)據(jù)�����、資金流動等敏感信息���,場景化和生態(tài)化趨勢給數(shù)據(jù)安全和隱私保護帶來挑戰(zhàn)�����。
??中國互聯(lián)網金融協(xié)會表示����,金融App是從業(yè)機構提供數(shù)字金融服務的重要渠道和推進數(shù)字化轉型的關鍵抓手����,加強自律備案管理有助于提升金融App安全性,引導和督促從業(yè)機構更加注重數(shù)據(jù)安全和隱私保護�,提高金融消費者對使用金融App的信任度和安全感。截至2023年底����,協(xié)會完成3112家機構、共計2429款金融App備案(含關聯(lián)備案)�,在開展金融App備案過程中累計發(fā)現(xiàn)并督促整改漏洞隱患6萬余項。通過審核評估����、風險監(jiān)測、違規(guī)公示等自律管理手段��,2023年單款App平均發(fā)現(xiàn)數(shù)據(jù)安全方面的問題同比下降33.6%�,安全防護方面的問題同比下降29.8%,個人信息收集使用方面的問題同比下降5.9%���,單款App平均權限申請數(shù)量呈現(xiàn)逐年下降態(tài)勢�����。
??有業(yè)內人士指出��,銀行業(yè)APP數(shù)據(jù)庫匯集海量市場數(shù)據(jù)�����、客戶交易數(shù)據(jù)��,屬于機構核心競爭資產��,尤其是個人識別特征信息��,極易被復制�,泄露后難以挽回,對個人隱私財產造成嚴重危害����。一些銀行機構對此缺乏重視,一方面在于從業(yè)者監(jiān)管不足�����,另一方面在于App網絡防御不足,面對科技迅猛發(fā)展����,安全問題愈發(fā)突出。
??多方力促金融App合規(guī)發(fā)展
??當前��,電信和互聯(lián)網行業(yè)尚未出臺針對金融服務類App個人信息保護工作的專門性指引文件���,現(xiàn)有標準、規(guī)范難以完全滿足金融行業(yè)App業(yè)務發(fā)展與安全合規(guī)需要��,對于金融服務類App的運營和使用相關業(yè)務中個人信息收集��、使用���、加工等行為缺乏統(tǒng)一規(guī)范���。在此背景下,國家金融監(jiān)督管理總局重慶監(jiān)管局���、重慶市地方金融管理局�、重慶市通信管理局近日聯(lián)合印發(fā)《關于促進金融服務類App個人信息保護合規(guī)經營能力提升的通知》(簡稱《通知》),建立聯(lián)合監(jiān)管工作機制�,并基于現(xiàn)行法律法規(guī),結合金融行業(yè)特點梳理完成《重慶市金融服務類移動互聯(lián)網應用程序個人信息保護合規(guī)指南(V1.0)》����,對轄內銀行保險機構、地方金融組織����、相關App運營者進行合規(guī)指導。
??《通知》進一步壓實了銀行保險機構�����、地方金融組織����、相關App運營者個人信息保護主體責任,針對《常見類型移動互聯(lián)網應用程序必要個人信息范圍規(guī)定》劃分的網絡借貸�、投資理財、手機銀行�����、網絡支付四大金融服務App類型���,涵蓋理財兼職��、證券交易���、信用卡����、保險�����、商業(yè)查詢��、消費金融���、財經資訊、大宗商品投資�����、外匯查詢���、投資理財�����、彩票服務等方面���,從金融服務App個人信息保護工作九大方面梳理具體參考及實踐指南����,明確機構在個人金融信息收集�����、存儲���、使用�����、加工等環(huán)節(jié)的規(guī)范和流程�,推動轄內金融行業(yè)形成個人信息保護長效機制�����,不斷提升金融服務類App合規(guī)經營能力和管理水平���。同時�����,《通知》明確三部門建立聯(lián)合監(jiān)管工作機制��,適時開展專項檢查���,依職權對金融服務類App違法違規(guī)收集使用個人信息開展協(xié)同治理和聯(lián)合監(jiān)管�����,形成監(jiān)管合力�����,整治金融服務類App違規(guī)收集、使用���、泄露個人信息等突出問題����。
??國家金融監(jiān)督管理總局重慶監(jiān)管局表示�,下一步�,將協(xié)同相關部門持續(xù)聚焦個人信息保護重點問題��,加大對機構違規(guī)行為的排查和整治力度����,推動行業(yè)個人信息保護治理水平不斷提升。
??中國互聯(lián)網金融協(xié)會也表示�,將持續(xù)做好金融App自律備案管理,一是探索將涉金融活動App納入自律備案管理范圍����,實現(xiàn)全覆蓋市場治理,同時進一步優(yōu)化備案評估方式�����,降低從業(yè)機構合規(guī)成本�����;二是將備案管理由技術安全審查向App部分業(yè)務內容合規(guī)領域適當延伸����,進一步加強自律檢查;三是探索建立自律協(xié)調機制�����,促進金融App開發(fā)運營、分發(fā)�、運行等環(huán)節(jié)上下游各企業(yè)主體加強協(xié)同,實現(xiàn)全鏈條治理��;四是組織開展金融App相關數(shù)據(jù)報送工作����,定期發(fā)布App市場監(jiān)測報告;五是完善移動金融可信公共服務平臺���,實現(xiàn)金融App產品查詢�����、綜合信息披露等功能��,促進金融App安全合規(guī)可持續(xù)發(fā)展����。(記者 張小潔)
責任編輯:楊文博 校對:楊文博
