近日,工業(yè)和信息化部通報17款侵害用戶權益App,遼寧振興銀行位列其中。部分銀行為何會出現(xiàn)整而不改的現(xiàn)象?《個人信息保護法》正式施行后,銀行該如何加快App的規(guī)范和整改,其中要注意哪些問題?
剛領百萬罰單的遼寧振興銀行旗下App又遭到點名。近日,工信部發(fā)布《關于App超范圍索取權限、過度收集用戶個人信息等問題“回頭看”的通報》指出,近期,針對用戶反映強烈的App超范圍、高頻次索取權限,非服務場景所必需收集用戶個人信息,欺騙誤導用戶下載等違規(guī)行為進行了檢查,共發(fā)現(xiàn)38款App存在問題。各通信管理局按照工信部統(tǒng)籌部署,積極開展App技術檢測,截至目前尚有17款App未按時限要求完成整改。其中,在遼寧省通信管理局通報存在問題的應用軟件名單中,遼寧振興銀行被點名。
振興銀行遭工信部通報
此次被通報的遼寧振興銀行App應用來源于“小米應用商店”,應用版本為“1.15.7”,所涉問題包括違規(guī)收集個人信息,App強制、頻繁、過度索取權限。
從工信部的通報中可以看到,遼寧振興銀行屬于尚未按時限要求完成整改的情況,為何出現(xiàn)整而不改問題?易觀高級分析師蘇筱芮認為,尚未整改的主要原因有兩點,第一是機構合規(guī)意識不夠強,對待整改工作未有足夠重視;第二是機構水平不足,對監(jiān)管要求的理解及技術能力還有待提升。
天眼查顯示,遼寧振興銀行為遼寧省首家法人民營銀行,注冊資本20億元,于2017年9月28日注冊成立,并于11月24日正式對外營業(yè)。
今年以來,遼寧振興銀行頻繁的高管變動也頗受關注。日前,該行第二任董事長剛正式上任。9月18日,遼寧振興銀行發(fā)布公告指出,自當日起,文遠華就任遼寧振興銀行董事長,為該行法定代表人。
從該行具體的人員變動情況來看,自5月份王鋒行長資格獲批之后,又上任了一批新的管理人員。6月至8月,遼寧銀保監(jiān)局先后核準徐國華、王立軍、賀穎杰、陳曉東、秦晴等人分別擔任遼寧振興銀行的內審部門負責人、獨立董事、董事、行長助理、風險總監(jiān)。
值得一提的是,新董事長正式上任僅一周,該行就領到百萬級罰單。9月24日,銀保監(jiān)會網(wǎng)站披露罰單顯示,遼寧振興銀行因重大關聯(lián)交易管理不規(guī)范、個人貸款業(yè)務審批管理不嚴等四項違法違規(guī)行為被處罰款140萬元,另有一名相關責任人被罰。
多款銀行App侵害用戶權益
個人金融信息收集成為銀行違規(guī)的高發(fā)地帶,調查發(fā)現(xiàn),今年以來已有遼寧振興銀行、永隆銀行、華商銀行、大連銀行、錦州銀行、四川天府銀行、綿陽市商業(yè)銀行、廣東南粵銀行在內的多家銀行因App存在違規(guī)問題被通報。
從違規(guī)緣由來看,大連銀行、錦州銀行、永隆銀行深圳分行、華商銀行、四川天府銀行、綿陽市商業(yè)銀行、廣東南粵銀行均存在違規(guī)收集個人信息問題。除了違規(guī)收集個人信息之外,華商銀行還存在強制用戶使用定向推送功能;綿陽市商業(yè)銀行存在超范圍收集個人信息;廣東南粵銀行存在App強制、頻繁、過度索取權限等情況。
對于整改情況,廣東南粵銀行方面表示,此次該行被通報的App為手機銀行5.3.2版本,涉及問題主要是沒有在隱私政策等公示文本中逐一列明App的相關信息,在獲得用戶授權時提示不足,該行已組織內部力量開展App的迭代升級工作將問題一一修復,在更新版本的同時,也通過公開途徑向客戶做了更新版本的提示。
在蘇寧金融研究院金融科技研究中心研究員孫揚看來,App收集信息會和后臺的風控系統(tǒng)、埋點系統(tǒng)、營銷系統(tǒng)相關聯(lián),也會和風控服務提供方相關,收集的信息可能被用于信貸風控決策,賬戶反欺詐,用于營銷畫像產品推薦,這些用途可能和一些產品流程相關聯(lián),目前一些機構的科技系統(tǒng)很多都是采購的,很多App也都是委托外包公司開發(fā),很多銀行對于產品細節(jié)和數(shù)據(jù)細節(jié)了解得不是很深入,對于數(shù)據(jù)的用途缺乏深刻的研究。
存儲、披露加強管理
當下個人信息保護越來越受到監(jiān)管重視,11月1日開始,《個人信息保護法》正式施行,法規(guī)明確收集個人信息,應當限于實現(xiàn)處理目的的最小范圍,不得過度收集個人信息。違反該法規(guī)定處理個人信息者,將由相關部門責令改正給予警告,并沒收違法所得,對違法處理個人信息的應用程序,責令暫停或者終止提供服務。
個人信息保護法的實施也對App個人信息的收集、使用提出更高的要求。對于如何加快銀行App的規(guī)范和整改,孫揚建議,銀行應建立專門的數(shù)據(jù)團隊,分析在風控、營銷等場景研究收集用戶信息的必要性,制定各個場景下需要收集信息的規(guī)范,并對所有產品進行約束,包括銀行主App、貸款App或者直銷銀行App等。其次,要有能力用“小數(shù)據(jù)”,做好銀行業(yè)務支撐的能力,而不能盲目追求“大數(shù)據(jù)”,多依賴隱私計算等先進技術,做到用數(shù)據(jù),不存數(shù)據(jù);用數(shù)據(jù),不看數(shù)據(jù);用數(shù)據(jù),不泄露數(shù)據(jù)的目的。
“個人信息保護的工作完善流程并非一蹴而就,各商業(yè)機構及其合作伙伴應該從數(shù)據(jù)的采集、存儲、加工、傳輸、披露等環(huán)節(jié)規(guī)范用戶個人信息管理,例如采集前需征求用戶同意,必要時應采取去標識化原則等,通過制度及流程的梳理來加強內部管控,遵循‘用戶授權、最小夠用、專事專用、全程防護’原則,對于其中的不規(guī)范信息管理行為及時糾偏。”蘇筱芮稱。(宋亦桐)