国家计算机病毒应急处理中心近日通过互联网监测发现14款手机app存在隐私违规行为,天津农商银行、捷信金融两款金融app被通报。记者梳理发现,自去年以来,交通银行太平洋信用卡中心、天津农商银行、东莞农商银行、山西银行、晋商银行、山西证券、江海证券等多家金融机构的app均出现问题。,已被通知隐私方面的不合规行为、非法收集个人信息、过度请求许可等。,而个人信息保护的困境仍有待解决。
自去年以来,许多金融机构的app都被点名。
天津农商银行App(申请来源为应用宝,6.5.0版本)被指存在两个问题:一是隐私政策未列明App(包括委托第三方或嵌入第三方代码和插件)收集和使用个人信息的目的、方式和范围,涉嫌不合规;第二,App频繁自启动和关联启动。捷信金融(应用来源:应用宝,版本:34.46.0)未制定专门的个人信息处理规则,原因是“个人信息处理者处理14周岁以下未成年人的个人信息”。疑似隐私不合规”进行了通知。
“鉴于国家计算机病毒应急处理中心近期开展监测并发现我行App(天津农商银行6.5.0版应用宝)存在隐私违规行为,我行第一时间与国家计算机病毒应急处理中心取得联系,明确了此次事件的主要原因。首先,客户隐私协议中一些条款的措辞不够明确;第二,为了实时监控客户的网络状态,提示弱网络环境,保持服务流畅,我行远程视频银行控制在后台运行时会不断获取网络状态。”天津农商银行随后回应称,在国家计算机病毒应急处理中心的指导下,已对用户隐私条款进行了修订更新,并对手机银行客户端程序进行了优化,相关问题已整改完毕。“上述问题对我们手机银行App的安全性没有危害,客户的资金、交易和信息安全不会受到影响。"
3月29日,广东省通信管理局公开通报18款未按要求整改的App,东莞农村商业银行App(应用来源为“应用宝”)因“违规收集个人信息”和“App强制、频繁、过度请求权限”被点名。
记者根据公开信息发现,去年以来,多家银行、证券等金融机构被通报隐私不合规。
工信部去年11月底发布的《关于App(SDK)侵害用户权益行为的通报》(2023年第八批,共第三十四批)点名22款App和SDK(第三方软件开发工具包)存在侵害用户权益行为,其中包括浙江泰隆银行的“泰惠收”(应用来源为三星App Store,1.9.7版本)其中,浙江泰隆银行的“泰惠收”涉及违规收集个人信息江海证券“江海金龙综合版”涉及App强制、频繁、过度请求权限。工信部3月发布的《关于app(SDK)侵害用户权益行为的通报》(2023年第2批,共第28批)点名了55款App和SDK,其中包括吉林银行的App(应用来源为华为应用市场,5.2.0版本),涉及的问题也是“App存在强制、频繁、过度索取权限的行为”。
此外,2023年4月至9月,上海市网信办对下载量大、投诉量多的46款app开展了个人信息收集使用情况专项检查,发现问题160余个。交通银行太平洋信用卡中心“买单”(申请来源为华为应用市场,6.1.1、6.4.0版本)被点名,涉及强制收集非必要个人信息、未向用户提供主动查看服务协议、隐私政策不完整、超范围收集个人信息等4个问题。据悉,经过通报和后续指导,被点名的App运营单位均已完成问题整改。
去年5月,山西省通信管理局公开通报了12款未按要求整改的app。其中,山西银行App(3 . 4 . 2版本)涉及“在用户同意隐私政策前私自收集用户个人信息”,山西省农村信用社联合社“乐享生活”App(4 . 1 . 04版本)和晋商银行App(5 . 0 . 0版本)均存在“未在隐私政策中逐一列举第三方SDK对个人的收集和使用”。山西证券的“汇通启赋”(版本为6.7.4.1)被点名是因为“该应用程序未向用户明示存在未经用户同意或合理使用场景下的频繁自启动或关联启动”。
数据安全和隐私保护面临挑战。
用户在使用APP进行金融交易、获取金融服务和产品时,也会被记录大量个人数据。随着应用更加深入场景和生态,用户的隐私保护也面临更多挑战。
中国互联网金融协会近日发布《2023年金融APP市场治理与发展报告》(简称《报告》),指出当前金融App领域仍面临一些不容忽视的风险挑战:部分从业人员对网络安全、个人信息保护等领域的法律制度和标准理解存在一定偏差,执行不到位;部分金融app存在重技术开发、轻日常运营、重注册用户、轻活跃用户、重产品部署、轻用户体验的问题;部分金融app集成开源组件,面临开源许可证兼容性、合规性等风险;金融智能化、云化、平台化的发展趋势对金融App的业务合规性、系统性能和网络安全提出了更高的要求;金融App涉及客户数据、交易数据、资金流向等敏感信息。场景和生态趋势给数据安全和隐私保护带来挑战。
中国互联网金融协会表示,金融App是从业者提供数字化金融服务的重要渠道,是推动数字化转型的一把钥匙。加强自律备案管理有助于提高金融App的安全性,引导和督促从业人员更加重视数据安全和隐私保护,提高金融消费者使用金融App的信任度和安全性。截至2023年底,协会已完成3112家机构、共计2429款金融app的备案(含相关备案)。在金融app备案过程中,发现并督促整改隐患6万余项。通过审核评估、风险监测、违规公示等自律管理手段,2023年数据安全问题、安全保护问题和个人信息收集使用问题平均数量分别下降33.6%、29.8%和5.9%,单个app平均权限申请量呈逐年下降趋势。
有业内人士指出,银行APP数据库汇集海量市场数据和客户交易数据,属于机构核心竞争资产,尤其是个人身份信息,极易被复制,泄露后难以恢复,对个人隐私和财产造成严重危害。一些银行机构对此缺乏重视,一方面缺乏对从业人员的监管,另一方面缺乏对App网络的防御,面对科技的快速发展,安全问题已经越来越突出。
全力推进金融App合规发展。
目前电信和互联网行业尚未出台专门针对金融服务app个人信息保护的指导文件,现有标准规范难以完全满足金融服务app开发和安全合规的需要,金融服务app运营使用相关业务中个人信息的收集、使用和处理缺乏统一规范。在此背景下,国家金融监督管理局重庆监管局、重庆市地方金融管理局、重庆市通信管理局近日联合印发《关于推动提升金融服务App个人信息保护合规运营能力的通知》(以下简称《通知》),建立联合监管机制,并以现行法律法规为基础,结合金融行业特点,梳理《重庆市金融服务移动互联网应用个人信息保护合规指南(V1.0版)》,为辖内银行保险机构提供指导。
《通知》进一步压实了银行保险机构、地方金融组织和相关App运营者的个人信息保护主体责任。根据《普通移动互联网应用程序必要个人信息范围规定》定义的点对点借贷、投资理财、手机银行和网络支付四类金融服务App,涵盖兼职从事金融管理、证券交易、信用卡、保险、业务查询、消费金融、金融信息、商品投资、外汇查询、投资理财、彩票服务等。》,从金融服务App个人信息保护的九个方面梳理了具体参考和实务指南,明确了机构在个人金融信息收集、存储、使用、处理等方面的规范和流程,以推动形成辖内金融行业个人信息保护长效机制,持续提升金融服务App合规性。同时,《通知》明确三部门要建立联合监管机制,及时开展专项检查,并依据职权对金融服务app违规收集使用个人信息行为开展协同治理和联合监管,形成监管合力,整治金融服务app违规收集使用泄露个人信息等突出问题。
国家金融监督管理局重庆监管局表示,下一步,将会同有关部门继续聚焦个人信息保护重点问题,加大机构违规问题排查整治力度,推动行业个人信息保护和治理水平持续提升。
中国互联网金融协会也表示,将继续做好金融app自律备案管理工作。一是将探索将金融相关app纳入自律备案管理范围,实现市场治理全覆盖,并进一步优化备案评价方式,降低从业人员合规成本;二是将备案管理从技术安全审查延伸到App的部分业务内容合规领域,进一步加强自律检查;三是探索建立自律协调机制,推动上下游企业在金融App开发、运营、分销、运营等方面的合作,实现全链条治理;四是组织报送金融App相关数据并定期发布App市场监测报告;五是完善移动金融可信公共服务平台,实现金融App产品查询、综合信息披露等功能,促进金融App安全合规可持续发展。
(文章来源:经济参考报)
