超范围索取权限、过度收集用户个人信息……11月4日,北京商报记者梳理发现,自公布首批侵害用户权益行为App通报以来,已有包括辽宁振兴银行、永隆银行、华商银行、大连银行、锦州银行、四川天府银行、绵阳市商业银行、广州农商行、广东南粤银行在内的多家银行App因违规收集个人信息等问题被工信部点名。当前,被点名的银行整改情况如何?北京商报记者从多家上述被点名的银行处获悉,目前已有多家银行完成了整改,部分银行也通过公开途径向客户做出提示。
又一家银行被点名
11月3日,工信部发布《关于App超范围索取权限、过度收集用户个人信息等问题“回头看”的通报》指出,近期,针对用户反映强烈的App超范围、高频次索取权限,非服务场景所必需收集用户个人信息,欺骗误导用户下载等违规行为进行了检查,共发现38款App存在问题。各通信管理局按照工信部统筹部署,积极开展App技术检测,截至目前尚有17款App未按时限要求完成整改。其中,在辽宁省通信管理局通报存在问题的应用软件名单中,辽宁振兴银行被点名。
北京商报记者注意到,此次被通报的辽宁振兴银行App来自小米应用商店,软件版本为1.15.7,主要存在的问题为“违规收集个人信息”“App强制、频繁、过度索取权限”。工信部指出,上述App应在11月9日前完成整改,逾期不整改或整改不到位的,将依法依规进行处置并予以行政处罚。
辽宁振兴银行为辽宁省首家法人民营银行,于2017年9月28日注册成立,并于同年11月24日正式对外营业。北京商报记者下载辽宁振兴银行手机银行App评测后发现,在登录界面,用户首先要阅读《辽宁振兴银行App用户隐私政策》,辽宁振兴银行表示,当用户使用该行App服务过程中会收集用户在使用服务过程中主动输入或因使用服务而产生的信息。
例如,在进行注册时,辽宁振兴银行会验证用户的姓名、身份证件信息、银行卡信息;在接受网络金融服务时,用户需要向该行提供IP地址、MAC地址等信息,如不提供则无法进行转账汇款、明细查询、产品购买等服务。当北京商报记者点击拒绝用户隐私政策时,被辽宁振兴银行提醒“若您拒绝,我们将无法为您提供全面优质的服务”,此时App也无法正常登录使用。
从工信部的通报中可以看到,辽宁振兴银行属于尚未按时限要求完成整改的情况,为何出现整而不改问题?易观高级分析师苏筱芮指出,尚未整改的主要原因有两点,一是机构合规意识不够强,对待整改工作未有足够重视;二是机构水平不足,对监管要求的理解及技术能力还有待提升。针对后续整改计划,北京商报记者尝试致电辽宁振兴银行进行采访,但截至发稿未收到回复。
多款银行App侵害用户权益
个人金融信息收集成为银行违规的高发地带,11月4日,北京商报记者梳理发现,今年以来已有辽宁振兴银行、永隆银行、华商银行、大连银行、锦州银行、四川天府银行、绵阳市商业银行、广州农商行、广东南粤银行在内的多家银行因App存在违规问题被通报。
从违规缘由来看,大连银行、锦州银行、永隆银行深圳分行、华商银行、四川天府银行、绵阳市商业银行、广州农商行、广东南粤银行均存在违规收集个人信息问题。除了违规收集个人信息之外,华商银行还存在强制用户使用定向推送功能;绵阳市商业银行存在超范围收集个人信息;广东南粤银行存在App强制、频繁、过度索取权限等情况。
当前,被点名的银行整改情况如何?北京商报记者从广东南粤银行方面获悉,此次该行被通报的App为手机银行5.3.2版本,涉及问题主要是没有在隐私政策等公示文本中逐一列明App的相关信息,在获得用户授权时提示不足,该行已组织内部力量开展App的迭代升级工作将问题一一修复,在更新版本的同时,也通过公开途径向客户做了更新版本的提示。
四川天府银行相关负责人也在回应北京商报记者时称,本次通报的问题App,是委托中国信通院于2021年1月通过联想乐商店内抓取的4.0.0.5版本进行检测分析,但通报App版本为4.0.0.6,未说明具体原因。早在2021年3月8日,该行已对4.0.0.5版本进行整改升级,并于3月10日在各公开渠道发布了4.0.0.6版本。
“6月9日,我行收到四川省通信管理局委托中国信通院于6月2日复测的天府手机银行《App违法违规收集使用个人信息合规评估报告》,报告显示天府手机银行(4.0.0.6)各项检测项均合规,符合相关法律和规范性文件要求,并不存在通报中的问题。”上述四川天府银行相关负责人说道。另有一家银行相关人士也向北京商报记者透露称,“已按照要求完成整改”。
在苏宁金融研究院金融科技研究中心研究员孙扬看来,App收集信息会和后台的风控系统、埋点系统、营销系统相关联,也会和风控服务提供方相关,收集的信息可能被用于信贷风控决策,账户反欺诈,用于营销画像产品推荐,这些用途可能和一些产品流程相关联,目前一些机构的科技系统很多都是采购的,很多App也都是委托外包公司开发,很多银行对于产品细节和数据细节了解得不是很深入,对于数据的用途缺乏深刻的研究。
存储、披露加强管理
当下个人信息保护越来越受到监管重视,11月1日开始,《个人信息保护法》正式施行,法规明确收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。违反该法规定处理个人信息者,将由相关部门责令改正给予警告,并没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务。
在近日举行的2021年香港金融科技周上,央行行长易纲也提出,建立健全法律法规和监管体系是实现个人信息保护的基础。个人信息保护的最终目的是促进数据的合理使用。要在充分保护个人信息的前提下,探索实现更加精确的数据确权,更加便捷的数据交易,更合理的数据使用,激发市场主体活力和科技创新能力。
个人信息保护法的实施也对App个人信息的收集、使用提出更高的要求。对于如何加快银行App的规范和整改,孙扬建议称,银行应建立专门的数据团队,分析在风控、营销等场景研究收集用户信息的必要性,制定各个场景下需要收集信息的规范,并对所有产品进行约束,包括银行主App、贷款App或者直销银行App等。其次,要有能力用“小数据”,做好银行业务支撑的能力,而不能盲目追求“大数据”,多依赖隐私计算等先进技术,做到用数据,不存数据;用数据,不看数据;用数据,不泄露数据的目的。
“个人信息保护的工作完善流程并非一蹴而就,各商业机构及其合作伙伴应该从数据的采集、存储、加工、传输、披露等环节规范用户个人信息管理,例如采集前需征求用户同意,必要时应采取去标识化原则等,通过制度及流程的梳理来加强内部管控,遵循‘用户授权、最小够用、专事专用、全程防护’原则,对于其中的不规范信息管理行为及时纠偏。”苏筱芮说道。(宋亦桐)