原標題:大限逼近 金融App回應整改進展

來源:北京商報

對於金融類App違規收集個人信息行爲,監管正持續亮劍。近日,工信部通報了最新一批侵害用戶權益行爲的App名單,其中,包括暢捷通、廣州農商行、廣東南粵銀行、微衆銀行等多家涉及金融類App被點名存在侵害用戶權益且未及時完成整改。工信部強調,違規機構應在4月29日前完成整改落實。

據工信部官網通報,按照《關於開展縱深推進App侵害用戶權益專項整治行動的通知》(工信部信管函〔2020〕164號)工作部署,工信部近期組織第三方檢測機構對手機應用軟件進行檢查,截至目前,尚有93款App未完成整改;另據廣東省通信管理局檢查發現,仍有45款App未完成整改。

從工信部披露的違規企業名單來看,大多爲遊戲類、工具類App,不過也有數家金融類App被點名。北京商報記者注意到,93款未完成整改名單中,由暢捷通信息技術股份有限公司開發的“好生意”App名列其中。另在45款未完成整改App中,廣州農商行開發的“珠江直銷銀行”App,被點名存在違規收集個人信息;廣東南粵銀行開發的App,存在違規收集個人信息,App強制、頻繁、過度索取權限情形;而微衆銀行開發的“微衆企業愛普”,也存在“違規收集個人信息、超範圍收集個人信息”問題。

對於前述違規App,工信部也下了“最後通牒”,強調機構應在4月29日前完成整改落實工作。逾期不整改的,工業和信息化部將依法依規組織開展相關處置工作。

就最新整改情況,北京商報記者對前述企業一一進行了採訪。其中,微衆銀行回應稱,獲悉廣東省通信管理局提出的整改意見後,微衆銀行第一時間與相關部門進行情況瞭解和緊急溝通,並對存在問題立即進行了認真整改,微衆銀行將依法合規堅決、用心維護用戶個人信息安全及其合法權益;此外,廣東南粵銀行亦回應稱,目前該行已經按照工信部要求進行整改,新的App版本已經上架,用戶可以更新下載新的App版本。

不過,關於廣州農商行、暢捷通App整改情況,截至發稿,北京商報記者未收到進一步回應。

針對金融App違規收集個人信息且部分“整而未改”等問題,金融科技專家蘇筱芮告訴北京商報記者,一方面,主要是因部分機構合規意識淡薄,尚未建立起個人信息保護、數據安全相關的專業技術團隊;另一方面,部分機構在個人信息保護的工作方面水平低下,對整改內容理解不透徹、不到位,因此影響到後續的整改效果。

App侵害用戶權益問題由來已久,其中,金融類App安全問題尤引業內關注。一知情人士向北京商報記者說道:“金融理財借貸類用戶價值比較高,用戶的個人信息也成爲平臺進行客戶運營或者風控的依據,因此,平臺會傾向於儘可能收集個人信息,甚至出現過度收集的情況。”

事實上,根據北京商報記者多期評測以及相關部門通報來看,目前,確實有不少機構腳踩紅線,其中一大痼疾就是違規收集個人信息。

例如,用戶在金融App上申請信貸的過程中,就不乏有超範圍收集信息的情況,甚至通過捆綁概括、捆綁式授權勾選,違規向第三方共享用戶個人信息;此外,還有在用戶明確表示不同意收集某類個人信息的情況下,仍有App通過其他途徑違規收集,或干擾用戶正常使用的情況。

此外,前述知情人士也提到,目前,金融領域信息安全、隱私保護領域仍存亂象,例如違規收集與使用信息,強制、頻繁、過度索取用戶權限,超範圍收集信息,欺騙誤導用戶主體下載App等。儘管金融機構保護個人信息的意識正在逐漸增強,但仍存在超範圍收集個人信息、未按規定使用和儲存個人信息等問題。

爲何金融App規範個人信息收集如此之難?北京市中聞律師事務所律師李亞告訴北京商報記者:“目前,侵犯用戶個人信息保護權益且不完成整改,很大程度是由於違規成本比不上違規產生的收益,許多平臺正是基於其過度收集的個人信息來進行用戶畫像和精準營銷,用這種運營方式獲利,相關機構在接受‘重擊’之前自然不肯輕易放棄。”

針對個人金融信息收集成爲金融機構違規高發區問題,蘇寧金融研究院金融科技研究中心主任孫揚同樣稱,一是因爲侵害用戶權益獲得用戶數據可以用於營銷,金融機構不願放棄這個營銷數據來源;二是機構很多貸款風控決策可能與這些數據相關,如果獲取不到這些數據,將影響風控決策;三是也不乏有機構目前還不具備專業人才來根據法律規定,有效進行全行的數據治理。

不過,隨着金融App治理逐步進入深水區,在多方監管加碼及法律武器的有力震懾下,後續金融違規收集信息的亂象有望進一步改善。對於金融機構來說,後續又該如何整治頑疾?

李亞稱,金融機構應當充分重視個人信息保護和數據規範使用,在制度制定、規範執行和自我監督等多層面進行落實,嚴格遵守“權責一致、目的明確、選擇同意、最少夠用、公開透明、確保安全、主體參與”的安全基本原則。

蘇筱芮則指出,個人信息保護的工作完善流程並非一蹴而就,各金融機構及其合作伙伴應該從數據的採集、存儲、加工、傳輸、披露等環節規範用戶個人信息管理,例如採集前需徵求用戶同意,必要時應採取去標識化原則等,通過制度及流程的梳理來加強內部管控,對於其中的不規範信息管理行爲及時糾偏。此外,相關法律法規的審覈修訂是一個與時俱進的過程,機構需要保持對監管要求的最新關注與跟進,安排專人開展研究並及時做出業務方面的合規調整。 北京商報記者 嶽品瑜 劉四紅

相關文章