跳动百科

外包银行APP隐私违规频发,自研就能解决吗?|钛媒体金融

郑凡斌
导读 近期,多家银行因移动应用隐私不合规问题被国家计算机病毒应急处理中心点名批评,其中包括“甘肃农信”和“华金期货”在内的13款应用,据钛...

近期,多家银行因移动应用隐私不合规问题被国家计算机病毒应急处理中心点名批评,其中包括“甘肃农信”和“华金期货”在内的13款应用,据钛媒体APP统计,今年以来,已有近10家银行因APP收集个人信息上不合规、客户信息保护管理薄弱等原因遭通报。

在愈加重视对个人隐私保护的时代,银行APP的被通报无疑暴露了移动金融领域在个人信息保护方面的短板,同时引发了公众对于金融机构数据安全性的担忧。

年内多个银行APP被通报,主要均涉及过度收集用户个人信息

据公开消息显示,国家计算机病毒应急处理中心依据《网络安全法》《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规及相关国家标准要求,近期通过互联网监测发现13款移动App存在隐私不合规行为,这些App检测时间为2024年8月1日至9月13日。

9月25日,国家计算机病毒应急处理中心通报13款违规移动应用,其中包含2款金融App,为甘肃农信App和华金期货App。甘肃农信App涉及2项问题:一是“隐私政策难以访问、未声明App运营者的基本情况、未声明隐私政策时效”; 二是“处理敏感个人信息未取得个人的单独同意”。

华金期货App则涉及三项问题:一是“隐私政策未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等”。二是“App客户端向第三方提供个人信息,未经过用户同意,未做匿名化处理;个人信息处理者向其他个人信息处理者提供其处理的个人信息的,未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,未取得个人的单独同意”。三是“通过自动化决策方式向个人进行信息推送、商业营销,未提供不针对其个人特征的选项,或者未向个人提供便捷的拒绝方式;隐私政策未声明收集的用户个人信息用于定向推送、精准营销;隐私政策明示存在定向推送功能,页面中未见显著区分个性化推送服务”。

此外,早在今年初2月1日至3月1日的检测中,天津农商银行App(应用来源为应用宝,版本为6.5.0)被指存在两个问题:一是隐私政策未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等,涉嫌隐私不合规;二是App频繁自启动和关联启动。

3月29日,东莞农商银行App被广东省通信管理局通报,所涉问题有2项,为“违规收集个人信息”、“App强制、频繁、过度索取权限”。

6月7日,湖北省通信管理局通报了6款侵害用户权益行为的APP名单,其中湖北银行同名App、湖北省农村信用社联合社的APP“湖北农信”在列,所涉问题均为“违规收集个人信息”。

7月10日,喇沁玉龙村镇银行App、固阳蒙商村镇银行App、化德蒙商村镇银行App、达尔罕茂明安联合旗蒙商村镇银行旗下的达茂蒙商村镇银行App被内蒙古通信管理局通报,均涉及“违规收集个人信息”“超范围收集个人信息”两项问题。

综上所述的银行App存在的问题大多与信息安全有关,原因都是App强制、频繁、过度索取权限或获取个人隐私信息。互联网专家告诉钛媒体APP,很多APP过度索取他人信息主要源于监管缺失和商业利益驱动,在监管漏洞中,App开发者通过收集用户的个人信息,不仅可以快速优化产品功能,还可能将数据出售给第三方获得盈利,但随着现在用户越发注重个人信息隐私,监管机构也开始“被动”升级监管细则。

对中小银行APP的监管加强,未来将扩散至整个金融系APP

甘肃农信APP只是农信社问题APP中的冰山一角,有些农信APP虽然没有被通报,但不少都遭到网友的吐槽,例如近期有人反映,湖南农信APP无法统计账单明细,也没有筛选功能,APP上甚至无法进行留言反馈;还有人吐槽广西农信app,办理了6个小时依旧无法完成系统的人脸识别功能,网友表示没有金刚钻别揽瓷器活,没有能力进行人脸识别登陆就按部就班用短信验证或者密码登陆的方式,别非要学大行“玩转”各种科技,实际上没有任何科技基础。

业内人士向钛媒体APP表示,当前金融App领域仍面临五大风险挑战:第一是银行APP之间差异化较大,由于中国银行大到国有银行小到农村银行,区域、认知等跨度较大,因此从业机构对网络安全、个人信息保护等领域相关的法律制度和标准规范理解存在一定偏差,这导致设计出来的APP也存在颗粒度不对齐的情况;第二是APP侧重领域不同导致用户体验感差异问题,例如一些金融App存在重技术开发轻日常运营、重注册用户轻活跃用户或者重产品部署轻用户体验的问题,这会导致用习惯一种类型APP的用户无法快速适应另一类型APP,从而导致用户放弃接触其他类型的APP,这有悖于机构APP的设计初衷;第三是大模型和小模型之间的摩擦,很明显,大模型并不适合中小银行,他们没有足够的参数规模、数据、计算资源、时间物资成本等,因此盲目学习大行开发大模型是不现实的,但他们仅仅使用小模型就会出现不够智能化的问题,降低用户的体验感;第四是开源合规的问题,部分金融App集成开源组件,就要面临开源许可证兼容性、合规性等问题;第五是数据隐私和数据安全问题,随着金融APP往智能化、云上化和平台化发展,对于涉及客户数据、交易数据、资金流动、资金安全等信息,监管机构对金融App的业务合规、系统性能、网络安全有了更高的要求,从而给数据安全和数据隐私带来了严苛的挑战。

平安银行经理向钛媒体APP表示,银行App是向用户提供数字金融服务的重要渠道,很多时候可以说获取客户是“相识”,开通手机银行并进行使用才是“相知”,因此银行APP可以说是固客的一大利器,很多客户因为习惯了使用本家银行APP的界面和功能,就会有更多意愿存大额资金或者推荐给亲朋好友。他表示,一部分银行的APP“不过关”,体现得很直观,从使用感受来说,除了必要的身份信息(包括身份证、电话、住址、面部指纹特征等),如果APP索要额外的信息(如地理位置、通讯录信息、相册信息等),就超出了银行APP应涉及的内容,这种情况下,用户有权拒绝进行授权。

9月14日,国家金融监督管理总局印发了《关于加强银行业保险业移动互联网应用程序管理的通知》,正如银保行业移动应用新规出炉,猎头涨薪1.5倍网罗风控与技术人才|钛媒体金融中提及,《通知》从四方面提出18条工作要求:一是加强统筹管理,要求金融机构明确移动应用管理牵头部门、建立移动应用台账、完善准入退出机制、控制移动应用数量;二是加强全生命周期管理,要求金融机构规范移动应用的需求分析、设计开发、测试验证、上架发布、监控运行等环节,强化移动应用与运行环境的兼容性、适配性管理;三是落实风险管理责任,要求金融机构落实移动应用备案、网络安全、数据安全、外包管理、业务连续性及个人信息保护等监管要求;四是加强监督管理,要求金融监管总局各级派出机构加强移动应用监管工作,文章中提及这次《通知》的整改目标主要是针对中小金融机构,随后迎来的便是对甘肃农信APP的整改批评。

交行后台人员向钛媒体APP表示,其实整个互联网行业都充斥着对个人隐私的“侵犯”,但是中国在这部分上的重视和监管远不如西方国家,因此相关的法规较为落后,银行业作为和百姓的钱最紧密相连的一线平台,它的数据库不仅汇集海量市场数据、客户交易数据,还包含了所有用户的隐私信息和识别特征信息,然而这些信息通过互联网是很容易被复制和盗取的,并且这关系到用户的个人和资产的安全,一旦发生事故都是后果严重且难以挽回的事件,因此监管机构更愿意将风险控制在预先状态中,从而不断加强监管标准。但是她表示,很多小银行,例如农信社或者农商行在这方面重视不足,农商行APP外包已经是业内公开的消息,因此不乏存在外包公司为了赚钱在软件中加入别家公司插件的情况,此外,获取的数据信息最终也是第三方公司进行处理的,大大增加了隐私泄露的风险。她认为,信息安全风险不是自研软件就能解决的,部分中型银行使用自主研发软件,数据库掌握在银行内网中,也同样可能发生泄漏风险,这是因为这些银行机构对信息安全缺乏重视,以为依靠公司内部研发部门就可以高枕无忧,然而正是因为从业者的忽视、监管者的松懈导致APP的防火墙能力不足,出现漏洞的可能性成倍增加,导致中小银行APP安全问题愈发突出。

最后,对于目前已然被通报留痕的银行,是否会影响其未来的声誉和客流,钛媒体APP询问了多位银行人士,他们表示,“短期内肯定是会影响用户的使用量和客户的增量,因为客户也不傻,明知道你出事了还坚定用,产生犹疑心里是正常的;从中长期来看,中小银行被通报后会进行相应的整改,即使整改后也会被列为一段时间的重点监察对象,因此几乎不太会再犯,而中小银行深耕于地方必然有其过人之处,因此长期看影响较小,用户不会因为银行APP遭通报就放弃它能带来的优势,只不过会权衡便利和盈利之间的取舍。”(作者|李婧滢,编辑|刘洋雪)