今天小编分享的财经经验:外包银行APP隐私违规频发,自研就能解决吗?,欢迎阅读。
近期,多家银行因移动应用隐私不合规问题被国家计算机病毒应急处理中心点名批评,其中包括 " 甘肃农信 " 和 " 华金期货 " 在内的 13 款应用,据钛媒体 APP 统计,今年以来,已有近 10 家银行因 APP 收集个人信息上不合规、客户信息保护管理薄弱等原因遭通报。
在愈加重视对个人隐私保护的时代,银行 APP 的被通报无疑暴露了移动金融领網域在个人信息保护方面的短板,同时引发了公众对于金融机构数据安全性的担忧。
年内多个银行 APP 被通报,主要均涉及过度收集用户个人信息
据公开消息显示,国家计算机病毒应急处理中心依据《网络安全法》《个人信息保护法》《App 违法违规收集使用个人信息行为认定方法》等法律法规及相关国家标准要求,近期通过互联网监测发现 13 款移动 App 存在隐私不合规行为,这些 App 检测时间为 2024 年 8 月 1 日至 9 月 13 日。
9 月 25 日,国家计算机病毒应急处理中心通报 13 款违规移动应用,其中包含 2 款金融 App,为甘肃农信 App 和华金期货 App。甘肃农信 App 涉及 2 项问题:一是 " 隐私政策难以访问、未声明 App 运营者的基本情况、未声明隐私政策时效 "; 二是 " 处理敏感个人信息未取得个人的单独同意 "。
华金期货 App 则涉及三项问题:一是 " 隐私政策未逐一列出 App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等 "。二是 "App 客户端向第三方提供个人信息,未经过用户同意,未做匿名化处理;个人信息处理者向其他个人信息处理者提供其处理的个人信息的,未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,未取得个人的单独同意 "。三是 " 通过自动化决策方式向个人进行信息推送、商业营销,未提供不针对其个人特征的选项,或者未向个人提供便捷的拒绝方式;隐私政策未声明收集的用户个人信息用于定向推送、精准营销;隐私政策明示存在定向推送功能,页面中未见显著区分个性化推送服务 "。
此外,早在今年初 2 月 1 日至 3 月 1 日的检测中,天津农商银行 App(应用来源为应用宝,版本为 6.5.0)被指存在两个问题:一是隐私政策未逐一列出 App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等,涉嫌隐私不合规;二是 App 频繁自启动和关联启动。
3 月 29 日,东莞农商银行 App 被广东省通信管理局通报,所涉问题有 2 项,为 " 违规收集个人信息 "、"App 强制、频繁、过度索取权限 "。
6 月 7 日,湖北省通信管理局通报了 6 款侵害用户权益行为的 APP 名单,其中湖北银行同名 App、湖北省农村信用社联合社的 APP" 湖北农信 " 在列,所涉问题均为 " 违规收集个人信息 "。
7 月 10 日,喇沁玉龙村镇银行 App、固阳蒙商村镇银行 App、化德蒙商村镇银行 App、达尔罕茂明安联合旗蒙商村镇银行旗下的达茂蒙商村镇银行 App 被内蒙古通信管理局通报,均涉及 " 违规收集个人信息 "" 超范围收集个人信息 " 两项问题。
综上所述的银行 App 存在的问题大多与信息安全有关,原因都是 App 强制、频繁、过度索取权限或获取个人隐私信息。互联网专家告诉钛媒体 APP,很多 APP 过度索取他人信息主要源于监管缺失和商业利益驱动,在监管漏洞中,App 开发者通过收集用户的个人信息,不仅可以快速优化产品功能,还可能将数据出售给第三方获得盈利,但随着现在用户越发注重个人信息隐私,监管机构也开始 " 被动 " 更新监管细则。
对中小银行 APP 的监管加强,未来将扩散至整个金融系 APP
甘肃农信 APP 只是农信社问题 APP 中的冰山一角,有些农信 APP 虽然没有被通报,但不少都遭到网友的吐槽,例如近期有人反映,湖南农信 APP 无法统计账单明细,也没有筛选功能,APP 上甚至无法进行留言反馈;还有人吐槽广西农信 app,办理了 6 个小时依旧无法完成系统的人脸识别功能,网友表示没有金刚钻别揽瓷器活,没有能力进行人脸识别登陆就按部就班用短信验证或者密码登陆的方式,别非要学大行 " 玩转 " 各种科技,实际上没有任何科技基础。
业内人士向钛媒体 APP 表示,当前金融 App 领網域仍面临五大风险挑战:第一是银行 APP 之间差异化较大,由于中国银行大到国有银行小到农村银行,区網域、认知等跨度较大,因此从业机构对网络安全、个人信息保护等领網域相关的法律制度和标准规范理解存在一定偏差,这导致设计出来的 APP 也存在颗粒度不对齐的情况;第二是 APP 侧重领網域不同导致用户体验感差异问题,例如一些金融 App 存在重技术开发轻日常运营、重注册用户轻活跃用户或者重产品部署轻用户体验的问题,这会导致用习惯一种类型 APP 的用户无法快速适应另一类型 APP,从而导致用户放弃接触其他类型的 APP,这有悖于机构 APP 的设计初衷;第三是大模型和小模型之间的摩擦,很明显,大模型并不适合中小银行,他们没有足够的参数规模、数据、计算资源、时间物资成本等,因此盲目学习大行开发大模型是不现实的,但他们仅仅使用小模型就会出现不够智能化的问题,降低用户的体验感;第四是开源合规的问题,部分金融 App 集成开源组件,就要面临开源许可证兼容性、合规性等问题;第五是数据隐私和数据安全问题,随着金融 APP 往智能化、云上化和平台化发展,对于涉及客户数据、交易数据、资金流动、资金安全等信息,监管机构对金融 App 的业务合规、系统性能、网络安全有了更高的要求,从而给数据安全和数据隐私带来了严苛的挑战。
平安银行经理向钛媒体 APP 表示,银行 App 是向用户提供数字金融服务的重要渠道,很多时候可以说获取客户是 " 相识 ",开通手机银行并进行使用才是 " 相知 ",因此银行 APP 可以说是固客的一大利器,很多客户因为习惯了使用本家银行 APP 的界面和功能,就会有更多意愿存大额资金或者推荐给亲朋好友。他表示,一部分银行的 APP" 不过关 ",体现得很直观,从使用感受来说,除了必要的身份信息(包括身份证、电话、住址、面部指纹特征等),如果 APP 索要额外的信息(如地理位置、通讯录信息、相册信息等),就超出了银行 APP 应涉及的内容,这种情况下,用户有权拒绝进行授权。
9 月 14 日,国家金融监督管理总局印发了《关于加强银行业保险业移动互联网应用程式管理的通知》,正如银保行业移动应用新规出炉,猎头涨薪 1.5 倍网罗风控与技术人才|钛媒体金融中提及,《通知》从四方面提出 18 条工作要求:一是加强统筹管理,要求金融机构明确移动应用管理牵头部门、建立移动应用台账、完善准入退出机制、控制移动应用数量;二是加强全生命周期管理,要求金融机构规范移动应用的需求分析、设计开发、测试验证、上架发布、监控运行等环节,强化移动应用与运行环境的兼容性、适配性管理;三是落实风险管理责任,要求金融机构落实移动应用备案、网络安全、数据安全、外包管理、业务连续性及个人信息保护等监管要求;四是加强监督管理,要求金融监管总局各级派出机构加强移动应用监管工作,文章中提及这次《通知》的整改目标主要是针对中小金融机构,随后迎来的便是对甘肃农信 APP 的整改批评。
交行后台人员向钛媒体 APP 表示,其实整个互联网行业都充斥着对个人隐私的 " 侵犯 ",但是中国在这部分上的重视和监管远不如西方国家,因此相关的法规较为落后,银行业作为和百姓的钱最紧密相连的一线平台,它的数据库不仅汇集海量市场数据、客户交易数据,还包含了所有用户的隐私信息和识别特征信息,然而这些信息通过互联网是很容易被复制和盗取的,并且这关系到用户的个人和资产的安全,一旦发生事故都是后果严重且难以挽回的事件,因此监管机构更愿意将风险控制在预先状态中,从而不断加强监管标准。但是她表示,很多小银行,例如农信社或者农商行在这方面重视不足,农商行 APP 外包已经是业内公开的消息,因此不乏存在外包公司为了赚钱在軟體中加入别家公司插件的情况,此外,获取的数据信息最终也是第三方公司进行处理的,大大增加了隐私泄露的风险。她认为,信息安全风险不是自研軟體就能解决的,部分中型银行使用自主研发軟體,数据库掌握在银行内网中,也同样可能发生泄漏风险,这是因为这些银行机构对信息安全缺乏重视,以为依靠公司内部研发部门就可以高枕无忧,然而正是因为从业者的忽视、监管者的松懈导致 APP 的防火墙能力不足,出现漏洞的可能性成倍增加,导致中小银行 APP 安全问题愈发突出。
最后,对于目前已然被通报留痕的银行,是否会影响其未来的声誉和客流,钛媒体 APP 询问了多位银行人士,他们表示," 短期内肯定是会影响用户的使用量和客户的增量,因为客户也不傻,明知道你出事了还坚定用,产生犹疑心里是正常的;从中长期来看,中小银行被通报后会进行相应的整改,即使整改后也会被列为一段时间的重点监察对象,因此几乎不太会再犯,而中小银行深耕于地方必然有其过人之处,因此长期看影响较小,用户不会因为银行 APP 遭通报就放弃它能带来的优势,只不过会权衡便利和盈利之间的取舍。"(本文首发于钛媒体 APP,作者|李婧滢,编辑|刘洋雪)
更多宏观研究干货,请关注钛媒体国际智库公众号: