超范圍索取權(quán)限、過(guò)度收集用戶個(gè)人信息……11月4日,北京商報(bào)記者梳理發(fā)現(xiàn),自公布首批侵害用戶權(quán)益行為App通報(bào)以來(lái),已有遼寧振興銀行、永隆銀行、華商銀行、大連銀行、錦州銀行、四川天府銀行、綿陽(yáng)市商業(yè)銀行、廣州農(nóng)商行、廣東南粵銀行在內(nèi)的多家銀行App因違規(guī)收集個(gè)人信息等問(wèn)題被工信部點(diǎn)名。當(dāng)前,被點(diǎn)名的銀行整改情況如何?北京商報(bào)記者從多家上述被點(diǎn)名的銀行處獲悉,目前已有多家銀行完成了整改,部分銀行也通過(guò)公開途徑向客戶做出提示。11月1日開始,《個(gè)人信息保護(hù)法》已正式施行,后續(xù)銀行如何從數(shù)據(jù)采集、存儲(chǔ)、傳輸、披露等環(huán)節(jié)規(guī)范用戶個(gè)人信息管理還有待進(jìn)一步觀察。
又一家銀行因App違規(guī)被點(diǎn)名
又有一家銀行App因存在侵害用戶權(quán)益行為被通報(bào),11月3日,工信部發(fā)布《關(guān)于App超范圍索取權(quán)限、過(guò)度收集用戶個(gè)人信息等問(wèn)題“回頭看”的通報(bào)》指出,近期,針對(duì)用戶反映強(qiáng)烈的App超范圍、高頻次索取權(quán)限,非服務(wù)場(chǎng)景所必需收集用戶個(gè)人信息,欺騙誤導(dǎo)用戶下載等違規(guī)行為進(jìn)行了檢查,共發(fā)現(xiàn)38款A(yù)pp存在問(wèn)題。各通信管理局按照工信部統(tǒng)籌部署,積極開展App技術(shù)檢測(cè),截至目前尚有17款A(yù)pp未按時(shí)限要求完成整改。其中,在遼寧省通信管理局通報(bào)存在問(wèn)題的應(yīng)用軟件名單中,遼寧振興銀行被點(diǎn)名。
北京商報(bào)記者注意到,此次被通報(bào)的遼寧振興銀行App來(lái)自小米應(yīng)用商店,軟件版本為1.15.7,主要存在的問(wèn)題為“違規(guī)收集個(gè)人信息”“App強(qiáng)制、頻繁、過(guò)度索取權(quán)限”。工信部指出,上述App應(yīng)在11月9日前完成整改,逾期不整改或整改不到位的,將依法依規(guī)進(jìn)行處置并予以行政處罰。
遼寧振興銀行為遼寧省首家法人民營(yíng)銀行,于2017年9月28日注冊(cè)成立,并于同年11月24日正式對(duì)外營(yíng)業(yè)。北京商報(bào)記者下載遼寧振興銀行手機(jī)銀行App評(píng)測(cè)后發(fā)現(xiàn),在登陸界面,用戶首先要閱讀《遼寧振興銀行App用戶隱私政策》。遼寧振興銀行表示,當(dāng)用戶使用該行App服務(wù)過(guò)程中會(huì)收集用戶在使用服務(wù)過(guò)程中主動(dòng)輸入或因使用服務(wù)而產(chǎn)生的信息。
例如,在進(jìn)行注冊(cè)時(shí),遼寧振興銀行會(huì)驗(yàn)證用戶的姓名、身份證件信息、銀行卡信息;在接受網(wǎng)絡(luò)金融服務(wù)時(shí),用戶需要向該行提供IP地址、MAC地址等信息,如不提供則無(wú)法進(jìn)行轉(zhuǎn)賬匯款、明細(xì)查詢、產(chǎn)品購(gòu)買等服務(wù)。當(dāng)北京商報(bào)記者點(diǎn)擊拒絕用戶隱私政策時(shí),被遼寧振興銀行提醒“若您拒絕,我們將無(wú)法為您提供全面優(yōu)質(zhì)的服務(wù)”,此時(shí)App也無(wú)法正常登陸使用。
從工信部的通報(bào)中可以看到,遼寧振興銀行屬于尚未按時(shí)限要求完成整改的情況,為何出現(xiàn)整而不改問(wèn)題?易觀高級(jí)分析師蘇筱芮指出,尚未整改的主要原因有兩點(diǎn),一是機(jī)構(gòu)合規(guī)意識(shí)不夠強(qiáng),對(duì)待整改工作未有足夠重視;二是機(jī)構(gòu)水平不足,對(duì)監(jiān)管要求的理解及技術(shù)能力還有待提升。針對(duì)后續(xù)整改計(jì)劃,北京商報(bào)記者嘗試致電遼寧振興銀行進(jìn)行采訪,截至發(fā)稿,并未收到回復(fù)。
多款銀行App侵害用戶權(quán)益
個(gè)人金融信息收集成為銀行違規(guī)的高發(fā)地帶,11月4日,北京商報(bào)記者梳理發(fā)現(xiàn),今年以來(lái)已有遼寧振興銀行、永隆銀行、華商銀行、大連銀行、錦州銀行、四川天府銀行、綿陽(yáng)市商業(yè)銀行、廣州農(nóng)商行、廣東南粵銀行在內(nèi)的多家銀行因App存在違規(guī)問(wèn)題被通報(bào)。
從違規(guī)緣由來(lái)看,大連銀行、錦州銀行、永隆銀行深圳分行、華商銀行、四川天府銀行、綿陽(yáng)市商業(yè)銀行、廣州農(nóng)商行、廣東南粵銀行均存在違規(guī)收集個(gè)人信息問(wèn)題。除了違規(guī)收集個(gè)人信息之外,華商銀行還存在強(qiáng)制用戶使用定向推送功能;綿陽(yáng)市商業(yè)銀行存在超范圍收集個(gè)人信息;廣東南粵銀行存在App強(qiáng)制、頻繁、過(guò)度索取權(quán)限等情況。
當(dāng)前,被點(diǎn)名的銀行整改情況如何?北京商報(bào)記者從廣東南粵銀行處獲悉,此次該行被通報(bào)的App為手機(jī)銀行5.3.2版本,涉及問(wèn)題主要是沒有在隱私政策等公示文本中逐一列明App的相關(guān)信息,在獲得用戶授權(quán)時(shí)提示不足,該行已組織內(nèi)部力量開展App的迭代升級(jí)工作將問(wèn)題一一修復(fù),在更新版本的同時(shí),也通過(guò)公開途徑向客戶做了更新版本的提示。
四川天府銀行相關(guān)負(fù)責(zé)人也在回應(yīng)北京商報(bào)記者時(shí)稱,本次通報(bào)的問(wèn)題App,是委托中國(guó)信通院于2021年1月通過(guò)聯(lián)想樂商店內(nèi)抓取的4.0.0.5版本進(jìn)行檢測(cè)分析,但通報(bào)App版本為4.0.0.6,未說(shuō)明具體原因。早在2021年3月8日,該行已對(duì)4.0.0.5版本進(jìn)行整改升級(jí),并于3月10日在各公開渠道發(fā)布了4.0.0.6版本。
“6月9日,我行收到四川省通信管理局委托中國(guó)信通院于6月2日復(fù)測(cè)的天府手機(jī)銀行《App違法違規(guī)收集使用個(gè)人信息合規(guī)評(píng)估報(bào)告》,報(bào)告顯示天府手機(jī)銀行(4.0.0.6)各項(xiàng)檢測(cè)項(xiàng)均合規(guī),符合相關(guān)法律和規(guī)范性文件要求,并不存在通報(bào)中的問(wèn)題。”上述四川天府銀行相關(guān)負(fù)責(zé)人說(shuō)道。另有一家銀行相關(guān)人士也向北京商報(bào)記者透露稱,“已按照要求完成整改。”
在蘇寧金融研究院研究員孫揚(yáng)看來(lái),App收集信息會(huì)和后臺(tái)的風(fēng)控系統(tǒng)、埋點(diǎn)系統(tǒng)、營(yíng)銷系統(tǒng)相關(guān)聯(lián),也會(huì)和風(fēng)控服務(wù)提供方相關(guān),收集的信息可能被用于信貸風(fēng)控決策,賬戶反欺詐,用于營(yíng)銷畫像產(chǎn)品推薦,這些用途可能和一些產(chǎn)品流程相關(guān)聯(lián),目前一些機(jī)構(gòu)的科技系統(tǒng)很多都是采購(gòu)的,很多App也都是委托外包公司開發(fā),很多銀行對(duì)于產(chǎn)品細(xì)節(jié)和數(shù)據(jù)細(xì)節(jié)了解的不是很深入,對(duì)于數(shù)據(jù)的用途缺乏深刻的研究。
從存儲(chǔ)、披露等多環(huán)節(jié)加強(qiáng)管理
當(dāng)下個(gè)人信息保護(hù)越來(lái)越受到監(jiān)管重視,11月1日開始,《個(gè)人信息保護(hù)法》正式施行,法規(guī)明確收集個(gè)人信息,應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍,不得過(guò)度收集個(gè)人信息。違反該法規(guī)定處理個(gè)人信息者,將由相關(guān)部門責(zé)令改正給予警告,并沒收違法所得,對(duì)違法處理個(gè)人信息的應(yīng)用程序,責(zé)令暫停或者終止提供服務(wù)。
在近日舉行的2021年香港金融科技周上,央行行長(zhǎng)易綱也提出,建立健全法律法規(guī)和監(jiān)管體系是實(shí)現(xiàn)個(gè)人信息保護(hù)的基礎(chǔ)。個(gè)人信息保護(hù)的最終目的是促進(jìn)數(shù)據(jù)的合理使用。要在充分保護(hù)個(gè)人信息的前提下,探索實(shí)現(xiàn)更加精確的數(shù)據(jù)確權(quán),更加便捷的數(shù)據(jù)交易,更合理的數(shù)據(jù)使用,激發(fā)市場(chǎng)主體活力和科技創(chuàng)新能力。
個(gè)人信息保護(hù)法的實(shí)施也對(duì)App個(gè)人信息的收集、使用提出更高的要求。對(duì)于如何加快銀行App的規(guī)范和整改,孫揚(yáng)建議稱,銀行應(yīng)建立專門的數(shù)據(jù)團(tuán)隊(duì),分析在風(fēng)控、營(yíng)銷等場(chǎng)景研究收集用戶信息的必要性,制定各個(gè)場(chǎng)景下需要收集信息的規(guī)范,并對(duì)所有產(chǎn)品進(jìn)行約束,包括銀行主App、貸款A(yù)pp或者直銷銀行App等。其次,要有能力用“小數(shù)據(jù)”做好銀行業(yè)務(wù)支撐的能力,而不能盲目追求“大數(shù)據(jù)”,多依賴隱私計(jì)算等先進(jìn)技術(shù),做到用數(shù)據(jù),不存數(shù)據(jù);用數(shù)據(jù),不看數(shù)據(jù);用數(shù)據(jù),不泄露數(shù)據(jù)的目的。
“個(gè)人信息保護(hù)的工作完善流程并非一蹴而就,各商業(yè)機(jī)構(gòu)及其合作伙伴應(yīng)該從數(shù)據(jù)的采集、存儲(chǔ)、加工、傳輸、披露等環(huán)節(jié)規(guī)范用戶個(gè)人信息管理,例如采集前需征求用戶同意,必要時(shí)應(yīng)采取去標(biāo)識(shí)化原則等,通過(guò)制度及流程的梳理來(lái)加強(qiáng)內(nèi)部管控,遵循‘用戶授權(quán)、最小夠用、專事專用、全程防護(hù)’原則,對(duì)于其中的不規(guī)范信息管理行為及時(shí)糾偏。”蘇筱芮說(shuō)道。