超范围索取权限,过度收集用户个人信息...11月4日,《北京商报》记者发现,自首批侵犯用户权益的App公告发布以来,辽宁已经振兴银行永隆银行、华商银行、大连银行、锦州银行、四川天府银行、绵阳商业银行、广州农村商业银行、广东南岳银行等多家银行App因非法收集个人信息被工业和信息化部点名。目前被点名的银行整改情况如何?《北京商报》记者从上述被点名的几家银行了解到,目前已有多家银行完成整改,部分银行也通过公开渠道向客户提示。自11月1日起,《个人信息保护法》正式实施。后续银行如何从数据采集、存储、传输、披露等方面规范用户个人信息管理还有待进一步观察。
另一家银行因为App违被点名
另一家银行App因侵犯用户权益被通报。11月3日,工业和信息化部发布《关于App超范围索取权限、过度收集用户个人信息等问题的通知》,指出近日,对用户反映强烈的App超范围、高频索取权限、非服务场景必须收集用户个人信息、欺骗误导用户下载等违法行为进行了检查,共发现38款App存在问题。根据工业和信息化部的统筹部署,各通信管理局积极开展App技术检测。到目前为止,还有17款App没有按时限完成整改。其中,辽宁振兴银行在辽宁省通信管理局通报存在问题的应用软件名单中被点名。
《北京商报》记者注意到,此次报道的辽宁振兴银行App来自小米应用商店,软件版本为1.15.7,主要问题是非法收集个人信息App强制,频繁,过度索取权限。工业和信息化部指出,上述App应在11月9日前完成整改,逾期不整改或整改不到位的,将依法依规处置,并给予行政处罚。
辽宁振兴银行是辽宁省第一家法人民营银行,于2017年9月28日注册成立,同年11月24日正式开业。《北京商报》记者下载辽宁振兴银行手机银行App评估后发现,用户首先要阅读《辽宁振兴银行App用户隐私政策》。辽宁振兴银行表示,用户在使用该行App服务时,会收集用户在使用服务过程中主动输入或使用服务产生的信息。
比如注册时,辽宁振兴银行会对用户姓名、身份证件信息、银行卡信息进行验证;用户在接受网络金融服务时,需要向银行提供IP地址、MAC地址等信息,如果不提供,则无法提供转账汇款、详细查询、产品购买等服务。在北京商报记者点击拒绝用户隐私政策时,被辽宁振兴银行提醒如果您拒绝,我们将无法为您提供全面优质的服务,此时App也无法正常登陆使用。
从工业和信息化部的通知可以看出,辽宁振兴银行尚未按时限完成整改。为什么会出现整改而不改变的问题?易观高级分析师苏晓瑞指出,尚未整改的主要原因有两个。一是机构合规意识不够强,对整改工作重视不够;二是机构水平不足,对监管要求的理解和技术能力有待提高。针对后续整改计划,《北京商报》记者试图致电辽宁振兴银行进行采访,截至发布,未收到回复。
多银行App侵犯用户权益
11月4日,北京商报记者梳理发现,今年已有辽宁振兴银行、永隆银行、华商银行、大连银行、锦州银行、四川天府银行、绵阳市商业银行、广州农商银行、广东南粤银行等多家银行因App违规行为被通报。
从违规原因来看,大连银行、锦州银行、永隆银行深圳分行、华商银行、四川天府银行、绵阳商业银行、广州农村商业银行、广东南粤银行都存在非法收集个人信息的问题。华商银行除了非法收集个人信息外,还具有强制用户使用定向推送功能;绵阳商业银行有超范围收集个人信息的情况;广东南粤银行存在App强制、频繁、权限过度索取等情况。
目前被点名的银行整改情况如何?《北京商报》记者从广东南粤银行了解到,本行上报的App是手机银行5.3.2版,涉及的问题主要是没有在隐私政策等公示文本中逐一列出App的相关信息,在获得用户授权时提示不足,本行已组织内部力量开展App迭代升级工作,逐一修复问题,在更新版本的同时,还通过公开渠道向客户提示更新版本。
四川省天府银行相关负责人也在回应《北京商报》记者时表示,此次通报的问题App,是委托中国信通院于2021年1月通过联想乐商店抓取的4.0.0.5版本进行检测分析,但通报App版本为4.0.0.6,没有说明具体原因。早在2021年3月8日,该行就对4.0.0.5版本进行了整改升级,并于3月10日在各公开渠道发布了4.0.0.6版本。
6月9日,我行收到四川省通信管理局委托中国信通院于6月2日复试的天府手机银行《App非法收集使用个人信息合规评估报告》。报告显示,天府手机银行(4.0.0.6)所有检测项目均符合相关法律和规范性文件要求,通知中不存在问题。上述四川天府银行相关负责人表示。另一家银行的相关人士也向《北京商报》记者透露,整改已按要求完成。
在苏宁金融研究所研究员孙杨表示,应用程序收集的信息将与后台风险控制系统、埋点系统和营销系统有关,也将与风险控制服务提供商有关。收集的信息可能用于信用风险控制决策、账户反欺诈和营销画像产品推荐。这些用途可能与一些产品流程有关。目前,一些机构的许多技术系统都是购买的,许多应用程序也是由外包公司开发的。许多银行对产品细节和数据细节了解不深,对数据用途缺乏深入研究。
从存储、披露等环节加强管理
目前,个人信息保护越来越受到监管的重视。自11月1日起,《个人信息保护法》正式实施。法律法规明确规定,收集个人信息应限于处理目的的最小范围,不得过度收集个人信息。违反法律法规处理个人信息的,有关部门将责令改正并给予警告,没收违法所得,责令暂停或终止非法处理个人信息的应用提供服务。
在最近举行的2021年香港金融科技周上,央行行长易纲还指出,建立和完善法律法规和监管体系是实现个人信息保护的基础。个人信息保护的最终目的是促进数据的合理使用。在充分保护个人信息的前提下,探索实现更准确的数据确认、更便捷的数据交易和更合理的数据使用,激发市场参与者的活力和科技创新能力。
《个人信息保护法》的实施也对App信息的收集和使用提出了更高的要求。关于如何加快银行App的规范和整改,孙杨建议银行应建立专门的数据团队,分析研究在风险控制、营销等场景下收集用户信息的必要性,制定每个场景下收集信息的规范,限制所有产品,包括银行主App。贷款App或直销银行App等。其次,要有能力用小数据支撑银行业务,而不是盲目追求大数据,依靠隐私计算等先进技术,使用数据,不存储数据;使用数据,不看数据;使用数据,不泄露数据。
个人信息保护的完善过程不是一蹴而就的。各商业机构及其合作伙伴应从数据采集、存储、处理、传输和披露等方面规范用户的个人信息管理。比如采集前需要征得用户同意,必要时采用去标识化原则。通过梳理系统和流程,加强内部控制,遵循‘用户授权、最小足够、专业专用、全程保护’的原则,及时纠正不规范的信息管理行为。苏晓瑞说。
