央行還發(fā)布了《移動(dòng)金融APP應(yīng)用軟件安全管理規(guī)范》���,對(duì)2012年出臺(tái)的《中國金融移動(dòng)支付客戶端技術(shù)規(guī)范》相關(guān)技術(shù)標(biāo)準(zhǔn)進(jìn)行了完善,其中包括將“人機(jī)交互安全”改成“身份認(rèn)證安全”�。
違規(guī)APP查處整改風(fēng)波���,正迅速蔓延至銀行領(lǐng)域�。
近日,國家網(wǎng)絡(luò)安全通報(bào)中心稱����,集中查處整改了100款違法違規(guī)APP及其運(yùn)營的互聯(lián)網(wǎng)企業(yè)�����,其中包括光大銀行(601818,股吧)、天津銀行等金融機(jī)構(gòu)旗下手機(jī)銀行����,主要違規(guī)問題集中在缺乏隱私協(xié)議���、收集使用個(gè)人信息范圍描述不清�、超范圍采集個(gè)人信息和非必要采集個(gè)人信息等情形�����。
這也令眾多銀行驟然感到“風(fēng)聲鶴唳”��。
“近日總行高層已要求對(duì)手機(jī)銀行APP開展自查���,尤其對(duì)是否超范圍采集個(gè)人信息�����,將個(gè)人信息用于用戶授權(quán)以外范疇進(jìn)行重點(diǎn)核查�����,一經(jīng)發(fā)現(xiàn)迅速暫停相關(guān)操作�������!币患页巧绦蠭T部門負(fù)責(zé)人向21世紀(jì)經(jīng)濟(jì)報(bào)道記者透露���。
業(yè)界人士認(rèn)為,一些金融機(jī)構(gòu)APP之所以被“點(diǎn)名”整改���,很可能是因?yàn)樗麄兪占褂脗(gè)人信息范圍描述不清�。
“我們也存在類似問題�����!鼻笆龀巧绦腥耸刻寡���,比如當(dāng)用戶消費(fèi)貸款償還逾期后,銀行內(nèi)部會(huì)根據(jù)其在APP端留存的手機(jī)號(hào)或家庭地址進(jìn)行催收���,但個(gè)別用戶因此投訴銀行“濫用”個(gè)人信息��,原因是他們沒有授權(quán)銀行采用這些信息用于催收�����。
值得注意的是����,在針對(duì)銀行APP違規(guī)行為進(jìn)行查處整改同時(shí),央行相關(guān)部門也啟動(dòng)首批金融業(yè)移動(dòng)金融客戶端應(yīng)用軟件(下稱“移動(dòng)金融APP”)備案試點(diǎn)工作�,包括16家銀行、4家證券基金保險(xiǎn)類金融機(jī)構(gòu)�,3家非銀支付機(jī)構(gòu)已參與備案試點(diǎn)的相關(guān)資料申報(bào)。
一位正在參與備案試點(diǎn)的股份制銀行人士透露�����,目前銀行內(nèi)部已準(zhǔn)備了大量備案申請(qǐng)資料���,包括機(jī)構(gòu)基本信息登記���、APP信息登記、APP軟件所有項(xiàng)目材料等�,但備案申請(qǐng)能否盡早通過驗(yàn)收,主要取決于央行科技司���、金融消費(fèi)權(quán)益保護(hù)局與中國互聯(lián)網(wǎng)金融協(xié)會(huì)的審核流程����。
蘇寧金融研究院研究員孫揚(yáng)認(rèn)為����,隨著移動(dòng)金融APP備案試點(diǎn)啟動(dòng),此前金融APP無序競(jìng)爭(zhēng)��、缺乏治理的局面將被打破�,未來金融機(jī)構(gòu)在獲取、保存�、使用、流轉(zhuǎn)用戶信息方面的各項(xiàng)操作都將納入監(jiān)管范疇���,無疑對(duì)金融機(jī)構(gòu)合規(guī)操作提出更高的要求��。
銀行個(gè)人信息采集的灰色地帶�?
“光大�����、天津銀行旗下手機(jī)銀行被點(diǎn)名查處整改���,也讓我們驚出一身冷汗��������!鄙鲜龀巧绦蠭T部門負(fù)責(zé)人直言��,為此���,銀行內(nèi)部迅速啟動(dòng)銀行APP自查工作,包括對(duì)強(qiáng)制用戶授權(quán)���、用戶過度授權(quán)����、超范圍采集使用個(gè)人信息等狀況迅速“暫停操作”��。
由于銀行APP作為居民理財(cái)���、存款�����、匯款以及辦理各項(xiàng)零售銀行業(yè)務(wù)的重要載體���,因此銀行除了需要用戶上傳個(gè)人金融信息,還會(huì)根據(jù)自身業(yè)務(wù)特點(diǎn)與技術(shù)能力����,額外要求用戶上傳“人臉”��、“指紋”等個(gè)人信息���,但這些信息保存是否存在安全隱患�,或銀行是否超范圍使用這些個(gè)人信息,主要取決于銀行自身的業(yè)務(wù)操作尺度�。
“我們?cè)谧圆檫^程也發(fā)現(xiàn),其中的確存在一些灰色地帶��������!彼嘎�,除了在用戶消費(fèi)貸款逾期后��,銀行零售部門根據(jù)APP端用戶留存的手機(jī)號(hào)進(jìn)行電話催收����,銀行理財(cái)部門還會(huì)根據(jù)用戶在APP端提交的個(gè)人金融信息,不定期發(fā)短信提供各類金融理財(cái)產(chǎn)品信息�����,盡管這些產(chǎn)品信息未必是用戶主動(dòng)想要獲得的。
這位城商行IT部門負(fù)責(zé)人表示�����,此前也有個(gè)別用戶對(duì)此進(jìn)行投訴���,直指銀行“濫用”個(gè)人信息��,但鑒于理財(cái)業(yè)務(wù)發(fā)展需要��,銀行內(nèi)部決定“睜一眼閉一眼”�����。但如今��,這些理財(cái)產(chǎn)品信息推送已被叫停��,避免成為下一個(gè)“被查處整改者”�����。
在他看來����,隨著相關(guān)部門從嚴(yán)規(guī)范各類APP的個(gè)人信息采集使用,未來如何合規(guī)采集使用個(gè)人信息���,將成為一門大學(xué)問���。
“我們內(nèi)部也有過討論,是否要參照當(dāng)前歐洲的個(gè)人信息保護(hù)法規(guī)����,即每使用一次用戶個(gè)人信息����,都要事先征得用戶同意并明示個(gè)人信息使用用途,等到下一次使用用戶個(gè)人信息時(shí)����,再去征求用戶同意并明確用途����!彼蛴浾咄嘎叮伺e絕對(duì)能滿足相關(guān)部門對(duì)個(gè)人信息規(guī)范采集使用的要求��,但令金融服務(wù)體驗(yàn)大幅下降。
“關(guān)于數(shù)據(jù)使用的邊界�����,不光是中國數(shù)字金融發(fā)展的問題�����,也是全世界都非常關(guān)注的重要問題����。”北京大學(xué)數(shù)字金融研究中心副主任黃卓指出����。在規(guī)范使用數(shù)據(jù)方面,需將數(shù)據(jù)使用與數(shù)據(jù)作為資產(chǎn)進(jìn)行交易進(jìn)行區(qū)分����,前者需符合在一定授權(quán)的基礎(chǔ)上,在合理范圍內(nèi)進(jìn)行使用����;后者則需更加嚴(yán)格的標(biāo)準(zhǔn),其中涉及數(shù)據(jù)所有權(quán)����,以及采集是否合規(guī)�����,利益如何分配等�����。
“此外�����,由于當(dāng)前很多銀行都在打造開放銀行平臺(tái)——積極與外部第三方場(chǎng)景開展合作并拓寬金融服務(wù)范疇�,在這個(gè)過程里如何有效保護(hù)個(gè)人信息����,如何與第三方場(chǎng)景在規(guī)范操作情況下共享個(gè)人部分信息����,同樣是一大挑戰(zhàn)�!币患毅y行業(yè)務(wù)創(chuàng)新部門負(fù)責(zé)人向記者透露,此前個(gè)別銀行手機(jī)銀行被查處整改�����,不排除是其與外部場(chǎng)景合作過程,“不小心”將個(gè)人信息泄露����,被外部場(chǎng)景用于其他業(yè)務(wù)謀取利益。
備案試點(diǎn)劃定個(gè)人金融信息四大紅線
值得注意的是���,在銀行APP遭遇查處整改同時(shí)���,央行相關(guān)部門已著手推進(jìn)移動(dòng)金融APP的備案試點(diǎn)工作。
早在9月底����,央行向部分金融機(jī)構(gòu)定向發(fā)布的“移動(dòng)金融APP應(yīng)用安全管理通知”(俗稱237號(hào)文),針對(duì)移動(dòng)金融APP的安全問題��,從提升安全防護(hù)���、加強(qiáng)個(gè)人金融信息保護(hù)�、提高風(fēng)險(xiǎn)監(jiān)測(cè)能力�、健全投訴處理機(jī)制、強(qiáng)化行業(yè)自律等5大方面進(jìn)行管理規(guī)范,并對(duì)個(gè)人金融信息保護(hù)劃定四大紅線:第一�����,在收集���、使用個(gè)人金融信息時(shí)���,央行要求各金融機(jī)構(gòu)不得以默認(rèn)、捆綁���、停止安裝使用等手段變相強(qiáng)迫用戶授權(quán)����,不得收集與其提供金融服務(wù)無關(guān)的個(gè)人金融信息�����;第二�����,金融機(jī)構(gòu)應(yīng)采取數(shù)據(jù)加密�����、訪問控制���、安全傳輸���、簽名認(rèn)證等措施,防止個(gè)人金融信息在傳輸����、存儲(chǔ)、使用等過程被非法竊取����、泄露或篡改;第三���,在信息使用結(jié)束后�,各金融機(jī)構(gòu)應(yīng)立即刪除敏感信息���,在客戶端軟件卸載后不得留存?zhèn)人金融信息���;第四,金融機(jī)構(gòu)不得違反法律法規(guī)與用戶約定,不得泄露�、非法出售或非法向他人提供個(gè)人金融信息。
與此同時(shí)����,央行還發(fā)布了《移動(dòng)金融APP應(yīng)用軟件安全管理規(guī)范》,對(duì)2012年出臺(tái)的《中國金融移動(dòng)支付客戶端技術(shù)規(guī)范》相關(guān)技術(shù)標(biāo)準(zhǔn)進(jìn)行了完善�。其中包括將“人機(jī)交互安全”改成“身份認(rèn)證安全”。即身份認(rèn)證��,認(rèn)證信息安全�����,密碼設(shè)定與重置三部分安全要求����,此外還增加了“不收集與所提供服務(wù)無關(guān)的個(gè)人金融信息,收集個(gè)人金融信息前需經(jīng)用戶明示同意�����,不得變相強(qiáng)迫用戶授權(quán)��,不得違反收集使用個(gè)人金融信息等要求”����。
“目前,中國互聯(lián)網(wǎng)金融協(xié)會(huì)也作為重要參與方���,對(duì)首批參與移動(dòng)金融APP備案試點(diǎn)的金融機(jī)構(gòu)進(jìn)行相關(guān)現(xiàn)場(chǎng)���、非現(xiàn)場(chǎng)驗(yàn)收審核與資料收集等工作��!鄙鲜稣趨⑴c備案試點(diǎn)的股份制銀行人士向21世紀(jì)經(jīng)濟(jì)報(bào)道記者透露���,目前他所在的銀行已根據(jù)備案試點(diǎn)相關(guān)要求及上述政策條款規(guī)定����,準(zhǔn)備了相關(guān)備案申請(qǐng)材料�����,選擇提交2款資金交易類APP進(jìn)行備案�����。
他透露��,按照規(guī)劃,年底前����,銀行機(jī)構(gòu)將完成試點(diǎn)備案申請(qǐng),明年一季度有望完成相關(guān)備案審核工作����。
“目前央行相關(guān)部門主要先針對(duì)持牌金融機(jī)構(gòu)開展備案試點(diǎn),等到相關(guān)備案流程完善后�����,可能會(huì)制定統(tǒng)一的行業(yè)標(biāo)準(zhǔn)與備案規(guī)則���,要求其他類型金融機(jī)構(gòu)參與備案���。”他直言�,這也意味著所有金融機(jī)構(gòu)的個(gè)人信息采集使用,都將納入相關(guān)部門的規(guī)范監(jiān)管范疇內(nèi)���。
央行科技司司長(zhǎng)李偉此前指出���,針對(duì)當(dāng)前一些金融機(jī)構(gòu)客戶端軟件存在的安全防護(hù)能力參差不齊���、超范圍收集個(gè)人信息���、仿冒釣魚現(xiàn)象突出等問題����,各金融機(jī)構(gòu)要建立客戶端軟件安全管理全程覆蓋機(jī)制���,相關(guān)部門也將建立健全客戶端軟件監(jiān)督處置機(jī)制����。
(責(zé)任編輯:李顯杰 )
最新評(píng)論