個(gè)人信息保護(hù)是重災(zāi)區(qū)，互金協(xié)會(huì)通報(bào)部分中小銀行APP違規(guī)

　　近日，中國(guó)互聯(lián)網(wǎng)金融協(xié)會(huì)通報(bào)了違規(guī)移動(dòng)金融A(yíng)PP的自律檢查情況。

　　早在今年9月，協(xié)會(huì)已對(duì)10款移動(dòng)金融A(yíng)PP開(kāi)展非現(xiàn)場(chǎng)檢查，發(fā)現(xiàn)多家銀行運(yùn)營(yíng)的APP存在風(fēng)險(xiǎn)隱患。截至12月16日，本溪銀行、黑龍江農(nóng)信、黃河銀行已完成整改，寧夏銀行、哈密市商業(yè)銀行基本完成整改。

　　談及此類(lèi)風(fēng)險(xiǎn)爆發(fā)的原因，有業(yè)內(nèi)人士在接受《華夏時(shí)報(bào)》記者采訪(fǎng)時(shí)指出，核心在于部分機(jī)構(gòu)過(guò)度采集與不當(dāng)共享用戶(hù)數(shù)據(jù)，同時(shí)存在技術(shù)防護(hù)能力不足、內(nèi)部管理粗放、隱私保護(hù)意識(shí)薄弱等問(wèn)題，這暴露了行業(yè)在安全與隱私保護(hù)領(lǐng)域的系統(tǒng)性短板。

　　“破解當(dāng)前監(jiān)管加碼但問(wèn)題難消的行業(yè)困境，需從提升中小銀行技術(shù)投入與合規(guī)能力、強(qiáng)化監(jiān)管穿透力與常態(tài)化檢查、壓實(shí)機(jī)構(gòu)主體責(zé)任、推動(dòng)行業(yè)標(biāo)準(zhǔn)統(tǒng)一等層面協(xié)同突破。”上述業(yè)內(nèi)人士指出。

　　個(gè)人隱私問(wèn)題成“重災(zāi)區(qū)”

　　中國(guó)互聯(lián)網(wǎng)金融協(xié)會(huì)在此次通報(bào)中表示，“請(qǐng)各APP運(yùn)營(yíng)機(jī)構(gòu)認(rèn)真對(duì)照自律檢查發(fā)現(xiàn)的問(wèn)題清單，深入開(kāi)展自查自糾，堅(jiān)持舉一反三，進(jìn)一步強(qiáng)化金融A(yíng)PP安全管理與風(fēng)險(xiǎn)防控能力，切實(shí)防范化解潛在風(fēng)險(xiǎn)隱患?！?/p>

　　從本次《自律檢查發(fā)現(xiàn)問(wèn)題清單》來(lái)看，移動(dòng)金融客戶(hù)端應(yīng)用軟件在安全與隱私保護(hù)領(lǐng)域問(wèn)題集中，主要涵蓋個(gè)人信息保護(hù)、安全防護(hù)、數(shù)據(jù)安全三大類(lèi)別。其中安全防護(hù)中的身份認(rèn)證安全與個(gè)人信息保護(hù)兩大板塊問(wèn)題尤為突出，成為用戶(hù)投訴與監(jiān)管關(guān)注的焦點(diǎn)。

　　在安全防護(hù)層面，身份認(rèn)證安全漏洞已形成明顯風(fēng)險(xiǎn)隱患。檢查發(fā)現(xiàn)，部分APP在用戶(hù)已登錄狀態(tài)下，姓名、銀行卡號(hào)等核心身份信息未做屏蔽處理；在輸入支付密碼環(huán)節(jié)，也未提供符合安全標(biāo)準(zhǔn)的即時(shí)防護(hù)功能。

　　個(gè)人信息保護(hù)領(lǐng)域同樣是重災(zāi)區(qū)。檢查中發(fā)現(xiàn)的典型問(wèn)題包括未經(jīng)用戶(hù)明確同意擅自收集、使用個(gè)人信息；違反必要原則，超范圍收集與服務(wù)無(wú)關(guān)的信息；未按法律規(guī)定為用戶(hù)提供個(gè)人信息刪除或更正功能，或未公開(kāi)投訴舉報(bào)渠道等。這些問(wèn)題在用戶(hù)端已引發(fā)普遍不滿(mǎn)，多位受訪(fǎng)者也向記者吐槽了自身遭遇。

　　“想正常用手機(jī)銀行，就得把手機(jī)訪(fǎng)問(wèn)權(quán)限全打開(kāi)，不然很多核心功能直接用不了?！痹诒本氖?span id="bk_90.BK0740">教育行業(yè)的張女士向《華夏時(shí)報(bào)》記者無(wú)奈表示。她近期下載某銀行APP時(shí)，因拒絕授予通訊錄、位置信息等非必要權(quán)限，被限制使用轉(zhuǎn)賬、理財(cái)查詢(xún)等基礎(chǔ)服務(wù)，“感覺(jué)不是我在選服務(wù)，是APP在‘綁架’我的權(quán)限”。

　　從事互聯(lián)網(wǎng)行業(yè)的小王則對(duì)個(gè)人信息泄露問(wèn)題更為擔(dān)憂(yōu)?！艾F(xiàn)在在網(wǎng)上哪還有真正的隱私？刷臉支付、指紋支付的時(shí)候，APP相當(dāng)于把我們的生物信息、手機(jī)里的所有數(shù)據(jù)都看了個(gè)遍，說(shuō)‘裸奔’真的不夸張。”小王舉例稱(chēng)，自己從未在某消費(fèi)金融平臺(tái)注冊(cè)過(guò)賬號(hào)，卻頻繁收到該平臺(tái)的貸款推銷(xiāo)電話(huà)，“連我最近在關(guān)注裝修的事都知道，很難不懷疑個(gè)人信息早就被流轉(zhuǎn)出去了”。

　　另一企業(yè)職員李女士也補(bǔ)充道，“經(jīng)常接到銀行的理財(cái)推銷(xiāo)電話(huà)，問(wèn)起怎么知道我的聯(lián)系方式，對(duì)方要么含糊其辭，要么說(shuō)系統(tǒng)推薦。嘴上說(shuō)著保護(hù)個(gè)人信息，但實(shí)際感受不到安全感，不知道自己的信息到底被存在了多少個(gè)數(shù)據(jù)庫(kù)里。”

　　移動(dòng)金融A(yíng)PP持續(xù)加強(qiáng)監(jiān)管

　　記者注意到，2024年3月國(guó)家金融監(jiān)管總局發(fā)布《銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)安全管理辦法（征求意見(jiàn)稿）》，明確銀行保險(xiǎn)機(jī)構(gòu)處理個(gè)人信息需遵循“明確告知、授權(quán)同意”原則，收集個(gè)人信息限于最小范圍，不得過(guò)度收集。

　　同年9月，國(guó)家金融監(jiān)管總局再發(fā)通知，要求金融機(jī)構(gòu)建立移動(dòng)應(yīng)用個(gè)人信息保護(hù)制度，以“合法、正當(dāng)、必要”為原則收集信息，需主動(dòng)告知用戶(hù)信息收集目的、使用保護(hù)方式，并公布投訴渠道、及時(shí)處理隱私合規(guī)問(wèn)題。

　　盡管監(jiān)管要求不斷明確，中小銀行卻成為金融A(yíng)PP隱私違規(guī)的高發(fā)群體。

　　據(jù)國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心通報(bào)顯示，2024年以來(lái)已有樂(lè)山商業(yè)銀行、廈門(mén)銀行、福建農(nóng)商銀行、天津農(nóng)商銀行、甘肅農(nóng)信等近20家銀行，因移動(dòng)應(yīng)用隱私不合規(guī)被點(diǎn)名。

　　從通報(bào)內(nèi)容來(lái)看，這些銀行的違規(guī)行為集中在未明示或未獲同意即收集個(gè)人信息；隱私政策未完整披露信息處理目的、方式與范圍；未提供撤回同意或賬號(hào)注銷(xiāo)功能；未對(duì)敏感信息、未成年人信息實(shí)施單獨(dú)授權(quán)；未采取加密、去標(biāo)識(shí)化等安全技術(shù)措施等。

　　為何中小銀行合規(guī)問(wèn)題頻現(xiàn)？博通咨詢(xún)金融行業(yè)首席分析師王蓬博對(duì)《華夏時(shí)報(bào)》記者分析，一是不少平臺(tái)還是抱著流量至上的想法，過(guò)度采集數(shù)據(jù)，合規(guī)意識(shí)跟不上業(yè)務(wù)擴(kuò)張速度；二是新技術(shù)應(yīng)用下，隱形采集、數(shù)據(jù)流轉(zhuǎn)的環(huán)節(jié)變多，技術(shù)防護(hù)的漏洞沒(méi)補(bǔ)上；三是用戶(hù)往往被冗長(zhǎng)的隱私政策困住，要么看不懂要么沒(méi)得選。

　　“本質(zhì)上，多數(shù)機(jī)構(gòu)把合規(guī)當(dāng)‘事后補(bǔ)救’，未將數(shù)據(jù)安全嵌入業(yè)務(wù)全流程，尤其第三方合作環(huán)節(jié)管控薄弱?！蓖跖畈┍硎?。

　　對(duì)于這一現(xiàn)象，王蓬博也提出相應(yīng)建議：一方面，要給中小銀行量身定做可落地的合規(guī)指引，同時(shí)加大常態(tài)化檢查和精準(zhǔn)處罰的力度；另一方面，中小銀行自身也要補(bǔ)短板，明確數(shù)據(jù)安全的責(zé)任部門(mén)，別再把風(fēng)控外包當(dāng)成跟自己無(wú)關(guān)做甩手掌柜，嚴(yán)格落實(shí)最小授權(quán)原則。

　　在長(zhǎng)效治理上，王蓬博進(jìn)一步建議，制度層面需清晰劃分?jǐn)?shù)據(jù)權(quán)責(zé)邊界，隱私政策避免“文字游戲”，讓用戶(hù)看得懂、能維權(quán)；行業(yè)端要轉(zhuǎn)變思路，將安全評(píng)估嵌入產(chǎn)品設(shè)計(jì)初始環(huán)節(jié)，別等問(wèn)題發(fā)生再補(bǔ)救；技術(shù)上多推廣隱私計(jì)算等方案，同時(shí)加強(qiáng)用戶(hù)教育，便利投訴維權(quán)。

　　中國(guó)郵政儲(chǔ)蓄銀行研究員婁飛鵬也對(duì)《華夏時(shí)報(bào)》記者補(bǔ)充，長(zhǎng)遠(yuǎn)來(lái)看，金融機(jī)構(gòu)需在產(chǎn)品設(shè)計(jì)中嵌入隱私保護(hù)原則，平衡便利與安全，建立可審計(jì)、可追溯的合規(guī)機(jī)制，推動(dòng)技術(shù)、制度與文化協(xié)同演進(jìn)，進(jìn)一步構(gòu)筑用戶(hù)信賴(lài)的數(shù)據(jù)安全屏障。

（文章來(lái)源：華夏時(shí)報(bào)網(wǎng)）

(原標(biāo)題：個(gè)人信息保護(hù)是重災(zāi)區(qū)，互金協(xié)會(huì)通報(bào)部分中小銀行APP違規(guī))

(責(zé)任編輯：6)