近日,工信部官网披露最新一期侵害用户权益行为的应用软件(APP)通报,其中广东省通信管理局通报存在问题的应用软件名单里,竟然有多家银行APP在列。
所涉问题包括有违规收集个人信息;APP强制、频繁、过度索取权限;超范围收集个人信息等问题。工信部等相关部门督促问题APP在规定时间内落实整改。
数位受访的业内人士表示,针对用户个人信息安全保护,监管近年频频重拳出击,从颁法令到落地执行的逐步完善过程中,不仅仅是金融类APP,还有生活服务类、游戏娱乐类APP涉嫌违规采集甚至交易用户个人信息被通告整改常有发生,这是个人信息保护走向规范的必经阶段。不过,涉及到金融类app,金融要素信息更加敏感,而且和个人财产安全高度相关,受市场关注度更大,监管对个人金融信息安全保护要求也必然等级更高。
多款银行APP侵害用户权益尚未整改
4月23日,由工信部官网披露《关于侵害用户权益行为的APP通报(2021年第4批总第13批)》中,涵盖生活社区、游戏娱乐、金融及科技等过个领域的93款APP上了通报榜单。
通告显示,依据《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,按照《关于开展纵深推进APP侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164号)工作部署,工业和信息化部近期组织第三方检测机构对手机应用软件进行检查,重点督促游戏类、工具类存在问题的企业进行整改。
截至目前,尚有93款APP未完成整改。各通信管理局按工业和信息化部APP整治行动部署,积极开展手机应用软件监督检查,广东省通信管理局检查发现仍有45款APP未完成整改。通告督促,上述APP应在4月29日前完成整改落实工作,逾期不整改的,将被处置。
券商中国记者注意到,在广东省通信管理局通报存在问题的应用软件名单中,广州农村商业银行的珠江直销银行APP、广东南粤银行的广东南粤银行APP、深圳前海微众银行的微众企业爱普APP在列。所涉问题分别为违规收集个人信息;违规收集个人信息、APP强制、频繁、过度索取权限;违规收集个人信息、超范围收集个人信息。
从通报情况看,一些手机应用商店等平台方的存量问题整改不彻底。
工信部披露,在2021年第一季度检测中,腾讯应用宝、小米应用商店、OPPO软件商店、华为应用市场和vivo应用商店发现问题数量分别占比14.22%、13.81%、12.80%、11.37%和11.17%。存在上架审核不严格,存量问题清理不彻底,登记核验APP开发运营者信息不准确,误导用户下载等问题。
个人金融信息保护为何屡屡“中招”?
近两年来,保护个人用户信息尤其是金融信息安全备受重视,工信部多次披露APP违规获取用户信息情况,而金融理财类APP屡屡上榜有名。
比如此次被通报的微众银行,去年其旗下的小鹅花钱已经因私自收集个人信息、账号注销难问题遭到通报。
彼时,工信部通报2020年第三批侵害用户权益的APP名单中区,共有12款理财、小贷APP名列其中,主要涉及的问题包括私自、超范围收集个人信息,过度索取权限,私自共享给第三方等情况。其中除了微众银行的小鹅花钱之外,还有比如:
天弘基金存在超范围收集个人信息的问题;
展恒基金存在过度索取权限、账号注销难的问题;汇添富基金旗下的现金宝存在过度索取权限的问题;
华夏基金管家存在私自收集个人信息、超范围收集个人信息、私自共享给第三方的问题;
好买基金旗下储蓄罐APP存在账号注销难的问题;博时基金存在不给权限不让用的问题;
小花钱包涉及私自收集个人信息、账号注销难的问题;
还呗存在私自共享给第三方的问题;
交行信用卡APP”买单吧”存在强制用户使用定向推送功能、不给权限不让使用、过度索取权限、账号注销难的问题;
和讯财经、和讯期货存在私自共享给第三方的问题。
今年3月12日,工信部公布《关于侵害用户权益行为的APP通报》中,我来数科被通报原因是违规收集个人信息。而我来数科是创办于香港的金融科技集团WeLab旗下平台,除了在内地、香港、印尼等地为用户提供消费信贷及经营贷款等金融服务,WeLab在中国香港拥有线上贷款平台WeLend和虚拟银行WeLab Bank牌照。
今年2月,广东省通信管理局通报了215款APP被责令限期整改。其中,金融理财类12款。而在此次通报中,有7款前期通报整改未整改或整改不彻底的APP,包括小赢科技摇钱花、顺丰金融、中邮钱包、万联e万通4款金融类APP。
2020年12月,国家计算机病毒应急处理中心在“净网2020”专项行动中通过互联网监测发现,兴业银行、内蒙古农信、内蒙古银行、海峡银行、鄂尔多斯银行6家银行APP因“未向用户明示申请的全部隐私权限,涉嫌隐私不合规”被点名。
“不是只有金融领域,不仅仅是金融类APP,甚至蔓延到整个互联网行业,都经常有金融类、生活服务类、游戏娱乐类APP涉嫌违规采集甚至交易用户个人信息的风险事件发生,从2019年开始,针对用户个人信息安全监管出重拳,从定规矩、颁法令到落地执行,这也是从法规到执行层面逐步完善过程的必经阶段。”一家业内知名反欺诈科技公司资深安全产品经理告诉记者。
在他看来,相比其他信息,“用户的金融要素信息,如身份证号手机号证件信息、账户信息、财产信息等,涉敏,而且往往和个人金融安全高度相关,也因此如果被有心分子盗用作为交易资源的话,它的‘商业价值’是最高的,所以会被重点关注。”
哪些个人金融信息“涉敏”?
北京大学数字金融研究中心副主任黄卓告诉券商中国记者,关于数据使用的边界,不光是中国数字金融发展的问题,也是全世界都非常关注的重要问题。相对来说,在发达国家或者欧美市场,相关立法和政策规定会完善一点就会相对严格。但是对大数据的使用、把数据作为资产进行交易,涉及到的数据所有权、采集合规、利益分配等问题,是全世界正在探索中、而尚无定论的问题。
尽管在业内人士看来,金融行业APP关于信息使用的安全规范并不是一朝一夕,需监管方、各类APP应用商店运营者、APP运营方及机构多方参与治理。但可以看到,监管层对于个人信息安全保护力度正在不断加强,尤其是个人金融信息保护领域,经历过去两年的金融科技大数据公司整顿风暴之后,相关信息保护规在完善。
此前,央行就对移动金融APP安全问题发文,从提升安全防护、加强个人金融信息保护、提高风险监测能力、健全投诉处理机制、强化行业自律5个方面进行了管理规范,并对备受关注的个人金融信息保护划定了四大红线。
央行在发布《商业银行法(修改建议稿)》并公开征求意见时,新增了“客户权益保护”章节,对商业银行营销、信息披露、风险分级与适当性管理、个人信息保护、收费管理等客户保护规范作出具体规定。包括:“商业银行不得收集与业务无关的个人信息或者采取不正当方式收集个人信息,不得篡改、倒卖、违法使用个人信息。”同时,“商业银行应当保障个人信息安全,防止个人信息泄露和滥用。商业银行将个人信息处理外包给第三方的,应当确保第三方遵守个人信息保护规定,并采取有效措施保障个人信息安全。”
对于个人金融信息的保护,在《个人信息保护法》草案的通用性规定之外,2019年年底施行的《中国人民银行金融消费者权益保护实施办法》,以及去年初出台的《个人金融信息保护技术规范》都规定了个人金融信息保护的特殊之处。
“个人金融信息保护技术规范的扩大适用,除了持牌金融机构,对于‘涉及个人金融信息处理的相关机构’,比如金融机构委托处理个人信息的科技公司也需要受到规制。”中国银行法学研究会理事肖飒介绍,C3类别+C2类别信息均为敏感信息。
这之中,C3类别信息主要为用户鉴别信息,包括银行卡芯片有效信息、卡片有效期、银行卡密码、网银交易密码、查询密码、交易密码、登录密码、个人生物识别信息;所谓C2类别信息主要为客识别特定个人金融信息主体身份与金融状况的个人金融信息,以及用于金融产品与服务的关键信息,包括支付账号、手机号、证件类识别信息、登录用户名、动态口令、短信验证码、密码提示问题、个人财产信息、借贷信息、交易信息、KYC过程中留存的照片、音频视频、家庭住址等。
介绍,根据个人信息保护法要求,“敏感信息处理更严格,要求取得个人单独授权或书面同意,还应当告知信息被采集人敏感信息对个人的影响。”