銀行App違規屢禁不止 金融監管升級保護個人信息
本報記者 郭建杭 北京報道
金融App違規現象頻發,2024年不完全統計就有超20家銀行出現移動應用App違規收集個人信息等問題,僅2024年12月,就有6家銀行的7款App被通報違規。
歸納銀行App的違規原因可知,主要涉及違規收集個人信息、超範圍收集個人信息以及強制索取權限等問題。
對於銀行App如何把握收集個人信息的合規界線,國家金融監督管理總局明確要求,銀行保險機構處理個人信息應按照“明確告知、授權同意”的原則實施,並限於實現金融業務處理目的的最小範圍,不得過度收集個人信息。
某銀行信用卡App開發部人士對《中國經營報》記者表示:“目前在銀行App的開發過程中,主要依據原則是收集的信息不能超出其提供服務所必需的信息範圍。如銀行的線上貸款業務中如果不涉及借款人近親的擔保,則收集近親的個人信息屬於過度收集。”
過度收集個人信息
2024年,江蘇、河北、內蒙古、湖北等多個省份的通信管理局及央行分支機構公佈了轄內金融App的違規情況,違規的銀行機構主要聚集在中小銀行中。
記者梳理銀行App遭通報原因瞭解到,從所涉問題看,違規/超範圍收集個人信息是出現次數最多的問題;強制、頻繁、過度索取權限也是“重災區”;此外,隱私政策未逐一列出App收集使用個人信息的目的、方式、範圍,隱私政策難以訪問,未聲明App運營者的基本情況以及未聲明隱私政策時效等也是被通報的原因。
2025年1月13日,國家計算機病毒應急處理中心網站也公佈了多款移動App存在隱私不合規行爲,其中包括2款金融App。此外,2024年以來,包括甘肅農信在內的多家銀行App也曾因隱私政策不合規、頻繁自啓動等問題被國家計算機病毒應急處理中心點名。
博通諮詢首席分析師王蓬博對記者表示,銀行App收集個人信息必須嚴格遵循相關法律法規,而且一定要遵守目的明確原則和最小必要原則。比如收集的個人信息應限制在實現業務目的的最小範圍內,避免過度收集,且應透明公開,銀行App內的隱私政策應完整地向用戶說明個人信息的收集、使用、存儲、共享等情況。
對於銀行App頻繁出現的違規操作,前述某銀行信用卡App開發部人士指出,如銀行App僅需要用戶身份認證信息,卻收集用戶的位置信息、攝像頭權限等不相關的權限,或者是在非業務必需的情況下訪問用戶的通話記錄,收集用戶設備上的其他App列表或敏感文件等,這並不是其核心功能所需要的信息。
對於銀行風控和個人信息保護這兩者之間需要如何平衡,王蓬博認爲,首先,銀行應強化數據安全保護措施,在進行風控的過程中,要確保所收集的個人信息得到嚴格的安全保護,採用加密、訪問控制、數據脫敏等技術手段,防止信息泄露和被濫用;其次,銀行應該將個人信息保護融入到風控的各個環節,充分尊重和保護客戶的個人信息。
監管升級
金融監管機構一直關注銀行金融科技相關的合規運營,不僅通過對銀行違規的信息科技業務開罰單的方式強化監管,2024年還發布多個數據安全及移動應用相關的管理辦法。
如2024年12月27日,江蘇灌南農商銀行7項違法行爲中有2項涉及數據安全、隱私保護範疇,分別爲“違反數據安全管理規定”“違反信用信息採集、提供、查詢及相關管理規定”;2024年11月15日,昆明官渡農村合作銀行存在“違反信用信息採集、提供、查詢相關管理規定”等5項違法行爲,被警告,並被罰款85.3萬元;2024年9月25日,山西農商聯合銀行因“數據安全管理較粗放,存在數據泄露風險”“對網上銀行外包管理不到位導致發生二級網絡安全事件”2項主要違法違規事實,被罰款60萬元。
從金融監管處罰來看,2024年銀行業機構涉及信息科技業務的罰沒金額翻倍增長,此前信息科技業務的處罰數據顯示2022年爲848萬元,2023年爲826萬元,2024年爲1946萬元,處罰金額同比增長136%。
在金融監管發佈的相關法律法規方面,日前國家金融監督管理總局發佈《銀行保險機構數據安全管理辦法》,要求銀行金融機構採取有效的管理和技術措施加強數據安全保護,確保客戶信息和金融交易數據的安全。同時,監管部門還將以機構自查和監管部門現場檢查相結合的方式對銀行保險機構的信息數據安全啓動專項治理。
2024年9月12日,國家金融監督管理總局發佈《關於加強銀行業保險業移動互聯網應用程序管理的通知》要求,金融機構應當嚴格落實國家法律法規和監管要求,建立移動應用個人信息保護制度,規範個人信息管理,遵循“合法、正當、必要”原則收集個人信息,向用戶告知收集個人信息的目的、使用和保護個人信息的方式,公佈投訴渠道信息,及時處理信息泄露和隱私合規相關問題,保障消費者權益。並提出金融機構應當將移動應用風險納入全面風險管理,識別違規展業、侵害消費者權益等業務風險及網絡安全漏洞等科技風險,健全風險防控措施,每年至少開展一次移動應用風險評估,每三年至少開展一次審計,發生重大移動應用風險事件時,應立即開展專項審計。
隨着銀行機構個人信息保護及數據安全適用的法律法規增多,多個領域的監管交叉也增加了法律適用難度。
對於銀行App的線上監管都面臨哪些挑戰,王蓬博認爲,首先,銀行 App 的業務涉及多個領域和法律關係,如金融、網絡安全、數據保護、消費者權益保護等,不同的法律法規之間可能存在交叉,增加了監管部門在法律適用上的難度;其次,銀行的業務創新肯定會帶來一定時間的監管空白,比如銀行不斷推出新的金融產品和服務,後續就需要監管持續跟進;再次,金融科技不斷髮展,數據保護的難度也在不斷增加,隨着大數據、人工智能等技術在銀行 App 中的廣泛應用,數據的收集、存儲、使用和共享變得更加頻繁和複雜。
(編輯:朱紫雲 審覈:何莎莎 校對:顏京寧)