今天小編分享的财經經驗:外包銀行APP隐私違規頻發,自研就能解決嗎?,歡迎閲讀。
近期,多家銀行因移動應用隐私不合規問題被國家計算機病毒應急處理中心點名批評,其中包括 " 甘肅農信 " 和 " 華金期貨 " 在内的 13 款應用,據钛媒體 APP 統計,今年以來,已有近 10 家銀行因 APP 收集個人信息上不合規、客户信息保護管理薄弱等原因遭通報。
在愈加重視對個人隐私保護的時代,銀行 APP 的被通報無疑暴露了移動金融領網域在個人信息保護方面的短板,同時引發了公眾對于金融機構數據安全性的擔憂。
年内多個銀行 APP 被通報,主要均涉及過度收集用户個人信息
據公開消息顯示,國家計算機病毒應急處理中心依據《網絡安全法》《個人信息保護法》《App 違法違規收集使用個人信息行為認定方法》等法律法規及相關國家标準要求,近期通過互聯網監測發現 13 款移動 App 存在隐私不合規行為,這些 App 檢測時間為 2024 年 8 月 1 日至 9 月 13 日。
9 月 25 日,國家計算機病毒應急處理中心通報 13 款違規移動應用,其中包含 2 款金融 App,為甘肅農信 App 和華金期貨 App。甘肅農信 App 涉及 2 項問題:一是 " 隐私政策難以訪問、未聲明 App 運營者的基本情況、未聲明隐私政策時效 "; 二是 " 處理敏感個人信息未取得個人的單獨同意 "。
華金期貨 App 則涉及三項問題:一是 " 隐私政策未逐一列出 App(包括委托的第三方或嵌入的第三方代碼、插件)收集使用個人信息的目的、方式、範圍等 "。二是 "App 客户端向第三方提供個人信息,未經過用户同意,未做匿名化處理;個人信息處理者向其他個人信息處理者提供其處理的個人信息的,未向個人告知接收方的名稱或者姓名、聯系方式、處理目的、處理方式和個人信息的種類,未取得個人的單獨同意 "。三是 " 通過自動化決策方式向個人進行信息推送、商業營銷,未提供不針對其個人特征的選項,或者未向個人提供便捷的拒絕方式;隐私政策未聲明收集的用户個人信息用于定向推送、精準營銷;隐私政策明示存在定向推送功能,頁面中未見顯著區分個性化推送服務 "。
此外,早在今年初 2 月 1 日至 3 月 1 日的檢測中,天津農商銀行 App(應用來源為應用寶,版本為 6.5.0)被指存在兩個問題:一是隐私政策未逐一列出 App(包括委托的第三方或嵌入的第三方代碼、插件)收集使用個人信息的目的、方式、範圍等,涉嫌隐私不合規;二是 App 頻繁自啓動和關聯啓動。
3 月 29 日,東莞農商銀行 App 被廣東省通信管理局通報,所涉問題有 2 項,為 " 違規收集個人信息 "、"App 強制、頻繁、過度索取權限 "。
6 月 7 日,湖北省通信管理局通報了 6 款侵害用户權益行為的 APP 名單,其中湖北銀行同名 App、湖北省農村信用社聯合社的 APP" 湖北農信 " 在列,所涉問題均為 " 違規收集個人信息 "。
7 月 10 日,喇沁玉龍村鎮銀行 App、固陽蒙商村鎮銀行 App、化德蒙商村鎮銀行 App、達爾罕茂明安聯合旗蒙商村鎮銀行旗下的達茂蒙商村鎮銀行 App 被内蒙古通信管理局通報,均涉及 " 違規收集個人信息 "" 超範圍收集個人信息 " 兩項問題。
綜上所述的銀行 App 存在的問題大多與信息安全有關,原因都是 App 強制、頻繁、過度索取權限或獲取個人隐私信息。互聯網專家告訴钛媒體 APP,很多 APP 過度索取他人信息主要源于監管缺失和商業利益驅動,在監管漏洞中,App 開發者通過收集用户的個人信息,不僅可以快速優化產品功能,還可能将數據出售給第三方獲得盈利,但随着現在用户越發注重個人信息隐私,監管機構也開始 " 被動 " 更新監管細則。
對中小銀行 APP 的監管加強,未來将擴散至整個金融系 APP
甘肅農信 APP 只是農信社問題 APP 中的冰山一角,有些農信 APP 雖然沒有被通報,但不少都遭到網友的吐槽,例如近期有人反映,湖南農信 APP 無法統計賬單明細,也沒有篩選功能,APP 上甚至無法進行留言反饋;還有人吐槽廣西農信 app,辦理了 6 個小時依舊無法完成系統的人臉識别功能,網友表示沒有金剛鑽别攬瓷器活,沒有能力進行人臉識别登陸就按部就班用短信驗證或者密碼登陸的方式,别非要學大行 " 玩轉 " 各種科技,實際上沒有任何科技基礎。
業内人士向钛媒體 APP 表示,當前金融 App 領網域仍面臨五大風險挑戰:第一是銀行 APP 之間差異化較大,由于中國銀行大到國有銀行小到農村銀行,區網域、認知等跨度較大,因此從業機構對網絡安全、個人信息保護等領網域相關的法律制度和标準規範理解存在一定偏差,這導致設計出來的 APP 也存在顆粒度不對齊的情況;第二是 APP 側重領網域不同導致用户體驗感差異問題,例如一些金融 App 存在重技術開發輕日常運營、重注冊用户輕活躍用户或者重產品部署輕用户體驗的問題,這會導致用習慣一種類型 APP 的用户無法快速适應另一類型 APP,從而導致用户放棄接觸其他類型的 APP,這有悖于機構 APP 的設計初衷;第三是大模型和小模型之間的摩擦,很明顯,大模型并不适合中小銀行,他們沒有足夠的參數規模、數據、計算資源、時間物資成本等,因此盲目學習大行開發大模型是不現實的,但他們僅僅使用小模型就會出現不夠智能化的問題,降低用户的體驗感;第四是開源合規的問題,部分金融 App 集成開源組件,就要面臨開源許可證兼容性、合規性等問題;第五是數據隐私和數據安全問題,随着金融 APP 往智能化、雲上化和平台化發展,對于涉及客户數據、交易數據、資金流動、資金安全等信息,監管機構對金融 App 的業務合規、系統性能、網絡安全有了更高的要求,從而給數據安全和數據隐私帶來了嚴苛的挑戰。
平安銀行經理向钛媒體 APP 表示,銀行 App 是向用户提供數字金融服務的重要渠道,很多時候可以説獲取客户是 " 相識 ",開通手機銀行并進行使用才是 " 相知 ",因此銀行 APP 可以説是固客的一大利器,很多客户因為習慣了使用本家銀行 APP 的界面和功能,就會有更多意願存大額資金或者推薦給親朋好友。他表示,一部分銀行的 APP" 不過關 ",體現得很直觀,從使用感受來説,除了必要的身份信息(包括身份證、電話、住址、面部指紋特征等),如果 APP 索要額外的信息(如地理位置、通訊錄信息、相冊信息等),就超出了銀行 APP 應涉及的内容,這種情況下,用户有權拒絕進行授權。
9 月 14 日,國家金融監督管理總局印發了《關于加強銀行業保險業移動互聯網應用程式管理的通知》,正如銀保行業移動應用新規出爐,獵頭漲薪 1.5 倍網羅風控與技術人才|钛媒體金融中提及,《通知》從四方面提出 18 條工作要求:一是加強統籌管理,要求金融機構明确移動應用管理牽頭部門、建立移動應用台賬、完善準入退出機制、控制移動應用數量;二是加強全生命周期管理,要求金融機構規範移動應用的需求分析、設計開發、測試驗證、上架發布、監控運行等環節,強化移動應用與運行環境的兼容性、适配性管理;三是落實風險管理責任,要求金融機構落實移動應用備案、網絡安全、數據安全、外包管理、業務連續性及個人信息保護等監管要求;四是加強監督管理,要求金融監管總局各級派出機構加強移動應用監管工作,文章中提及這次《通知》的整改目标主要是針對中小金融機構,随後迎來的便是對甘肅農信 APP 的整改批評。
交行後台人員向钛媒體 APP 表示,其實整個互聯網行業都充斥着對個人隐私的 " 侵犯 ",但是中國在這部分上的重視和監管遠不如西方國家,因此相關的法規較為落後,銀行業作為和百姓的錢最緊密相連的一線平台,它的數據庫不僅匯集海量市場數據、客户交易數據,還包含了所有用户的隐私信息和識别特征信息,然而這些信息通過互聯網是很容易被復制和盜取的,并且這關系到用户的個人和資產的安全,一旦發生事故都是後果嚴重且難以挽回的事件,因此監管機構更願意将風險控制在預先狀态中,從而不斷加強監管标準。但是她表示,很多小銀行,例如農信社或者農商行在這方面重視不足,農商行 APP 外包已經是業内公開的消息,因此不乏存在外包公司為了賺錢在軟體中加入别家公司插件的情況,此外,獲取的數據信息最終也是第三方公司進行處理的,大大增加了隐私泄露的風險。她認為,信息安全風險不是自研軟體就能解決的,部分中型銀行使用自主研發軟體,數據庫掌握在銀行内網中,也同樣可能發生泄漏風險,這是因為這些銀行機構對信息安全缺乏重視,以為依靠公司内部研發部門就可以高枕無憂,然而正是因為從業者的忽視、監管者的松懈導致 APP 的防火牆能力不足,出現漏洞的可能性成倍增加,導致中小銀行 APP 安全問題愈發突出。
最後,對于目前已然被通報留痕的銀行,是否會影響其未來的聲譽和客流,钛媒體 APP 詢問了多位銀行人士,他們表示," 短期内肯定是會影響用户的使用量和客户的增量,因為客户也不傻,明知道你出事了還堅定用,產生猶疑心裏是正常的;從中長期來看,中小銀行被通報後會進行相應的整改,即使整改後也會被列為一段時間的重點監察對象,因此幾乎不太會再犯,而中小銀行深耕于地方必然有其過人之處,因此長期看影響較小,用户不會因為銀行 APP 遭通報就放棄它能帶來的優勢,只不過會權衡便利和盈利之間的取舍。"(本文首發于钛媒體 APP,作者|李婧滢,編輯|劉洋雪)
更多宏觀研究幹貨,請關注钛媒體國際智庫公眾号: