過度收集用戶個人信息 又一家銀行被點名
超范圍索取權限、過度收集用戶個人信息……11月4日,北京商報記者梳理發現,自公布首批侵害用戶權益行為App通報以來,已有包括遼寧振興銀行、永隆銀行、華商銀行、大連銀行、錦州銀行、四川天府銀行、綿陽市商業銀行、廣州農商行、廣東南粵銀行在內的多家銀行App因違規收集個人信息等問題被工信部點名。當前,被點名的銀行整改情況如何?北京商報記者從多家上述被點名的銀行處獲悉,目前已有多家銀行完成了整改,部分銀行也通過公開途徑向客戶做出提示。
又一家銀行被點名
11月3日,工信部發布《關于App超范圍索取權限、過度收集用戶個人信息等問題“回頭看”的通報》指出,近期,針對用戶反映強烈的App超范圍、高頻次索取權限,非服務場景所必需收集用戶個人信息,欺騙誤導用戶下載等違規行為進行了檢查,共發現38款App存在問題。各通信管理局按照工信部統籌部署,積極開展App技術檢測,截至目前尚有17款App未按時限要求完成整改。其中,在遼寧省通信管理局通報存在問題的應用軟件名單中,遼寧振興銀行被點名。
北京商報記者注意到,此次被通報的遼寧振興銀行App來自小米應用商店,軟件版本為1.15.7,主要存在的問題為“違規收集個人信息”“App強制、頻繁、過度索取權限”。工信部指出,上述App應在11月9日前完成整改,逾期不整改或整改不到位的,將依法依規進行處置并予以行政處罰。
遼寧振興銀行為遼寧省首家法人民營銀行,于2017年9月28日注冊成立,并于同年11月24日正式對外營業。北京商報記者下載遼寧振興銀行手機銀行App評測后發現,在登錄界面,用戶首先要閱讀《遼寧振興銀行App用戶隱私政策》,遼寧振興銀行表示,當用戶使用該行App服務過程中會收集用戶在使用服務過程中主動輸入或因使用服務而產生的信息。
例如,在進行注冊時,遼寧振興銀行會驗證用戶的姓名、身份證件信息、銀行卡信息;在接受網絡金融服務時,用戶需要向該行提供IP地址、MAC地址等信息,如不提供則無法進行轉賬匯款、明細查詢、產品購買等服務。當北京商報記者點擊拒絕用戶隱私政策時,被遼寧振興銀行提醒“若您拒絕,我們將無法為您提供全面優質的服務”,此時App也無法正常登錄使用。
從工信部的通報中可以看到,遼寧振興銀行屬于尚未按時限要求完成整改的情況,為何出現整而不改問題?易觀高級分析師蘇筱芮指出,尚未整改的主要原因有兩點,一是機構合規意識不夠強,對待整改工作未有足夠重視;二是機構水平不足,對監管要求的理解及技術能力還有待提升。針對后續整改計劃,北京商報記者嘗試致電遼寧振興銀行進行采訪,但截至發稿未收到回復。
多款銀行App侵害用戶權益
個人金融信息收集成為銀行違規的高發地帶,11月4日,北京商報記者梳理發現,今年以來已有遼寧振興銀行、永隆銀行、華商銀行、大連銀行、錦州銀行、四川天府銀行、綿陽市商業銀行、廣州農商行、廣東南粵銀行在內的多家銀行因App存在違規問題被通報。
從違規緣由來看,大連銀行、錦州銀行、永隆銀行深圳分行、華商銀行、四川天府銀行、綿陽市商業銀行、廣州農商行、廣東南粵銀行均存在違規收集個人信息問題。除了違規收集個人信息之外,華商銀行還存在強制用戶使用定向推送功能;綿陽市商業銀行存在超范圍收集個人信息;廣東南粵銀行存在App強制、頻繁、過度索取權限等情況。
當前,被點名的銀行整改情況如何?北京商報記者從廣東南粵銀行方面獲悉,此次該行被通報的App為手機銀行5.3.2版本,涉及問題主要是沒有在隱私政策等公示文本中逐一列明App的相關信息,在獲得用戶授權時提示不足,該行已組織內部力量開展App的迭代升級工作將問題一一修復,在更新版本的同時,也通過公開途徑向客戶做了更新版本的提示。
四川天府銀行相關負責人也在回應北京商報記者時稱,本次通報的問題App,是委托中國信通院于2021年1月通過聯想樂商店內抓取的4.0.0.5版本進行檢測分析,但通報App版本為4.0.0.6,未說明具體原因。早在2021年3月8日,該行已對4.0.0.5版本進行整改升級,并于3月10日在各公開渠道發布了4.0.0.6版本。
“6月9日,我行收到四川省通信管理局委托中國信通院于6月2日復測的天府手機銀行《App違法違規收集使用個人信息合規評估報告》,報告顯示天府手機銀行(4.0.0.6)各項檢測項均合規,符合相關法律和規范性文件要求,并不存在通報中的問題。”上述四川天府銀行相關負責人說道。另有一家銀行相關人士也向北京商報記者透露稱,“已按照要求完成整改”。
在蘇寧金融研究院金融科技研究中心研究員孫揚看來,App收集信息會和后臺的風控系統、埋點系統、營銷系統相關聯,也會和風控服務提供方相關,收集的信息可能被用于信貸風控決策,賬戶反欺詐,用于營銷畫像產品推薦,這些用途可能和一些產品流程相關聯,目前一些機構的科技系統很多都是采購的,很多App也都是委托外包公司開發,很多銀行對于產品細節和數據細節了解得不是很深入,對于數據的用途缺乏深刻的研究。
存儲、披露加強管理
當下個人信息保護越來越受到監管重視,11月1日開始,《個人信息保護法》正式施行,法規明確收集個人信息,應當限于實現處理目的的最小范圍,不得過度收集個人信息。違反該法規定處理個人信息者,將由相關部門責令改正給予警告,并沒收違法所得,對違法處理個人信息的應用程序,責令暫?;蛘呓K止提供服務。
在近日舉行的2021年香港金融科技周上,央行行長易綱也提出,建立健全法律法規和監管體系是實現個人信息保護的基礎。個人信息保護的最終目的是促進數據的合理使用。要在充分保護個人信息的前提下,探索實現更加精確的數據確權,更加便捷的數據交易,更合理的數據使用,激發市場主體活力和科技創新能力。
個人信息保護法的實施也對App個人信息的收集、使用提出更高的要求。對于如何加快銀行App的規范和整改,孫揚建議稱,銀行應建立專門的數據團隊,分析在風控、營銷等場景研究收集用戶信息的必要性,制定各個場景下需要收集信息的規范,并對所有產品進行約束,包括銀行主App、貸款App或者直銷銀行App等。其次,要有能力用“小數據”,做好銀行業務支撐的能力,而不能盲目追求“大數據”,多依賴隱私計算等先進技術,做到用數據,不存數據;用數據,不看數據;用數據,不泄露數據的目的。
“個人信息保護的工作完善流程并非一蹴而就,各商業機構及其合作伙伴應該從數據的采集、存儲、加工、傳輸、披露等環節規范用戶個人信息管理,例如采集前需征求用戶同意,必要時應采取去標識化原則等,通過制度及流程的梳理來加強內部管控,遵循‘用戶授權、最小夠用、專事專用、全程防護’原則,對于其中的不規范信息管理行為及時糾偏。”蘇筱芮說道。(記者 宋亦桐)