随着移动互联网的发展,移动应用已成为商业银行对外维护客户的关键渠道。由于数据资源是银行维系运营的核心资源,随之客户个人信息保护和数据合规的重要性不言而喻。
近年来针对银行手机银行APP的通报、数据治理的罚单在增多,完善移动应用个人信息保护制度,防止个人信息泄露、增强数据治理和隐私合规等相关问题愈加凸显。同时,由于我国银行数量众多,在开发手机银行的提升客户便利性的同时,也存在银行相关APP功能重复、活跃度低等问题。
多家银行APP遭遇通报
今年以来多家银行的手机银行APP因涉个人信息等问题遭到通报。
9月25日,国家计算机病毒应急处理中心发布了于8月1日至9月13日监测发现的13款违规移动应用名单,其中“甘肃农信”(版本4.3.0,应用宝)因为涉及两项内容而“上榜”:一是涉及隐私政策难以访问、未声明App运营者的基本情况、未声明隐私政策时效;二是处理敏感个人信息未取得个人的单独同意。
自2024年以来,已有“天津农商银行”(版本6.5.0,应用宝)、“中德银行”(版本1.0.4,应用宝)等银行APP受到国家计算机病毒应急处理中心列入过违规移动应用名单。
其中,中德住房储蓄银行旗下APP“中德银行”在5月1日至6月1日检测时,未向用户明示未经用户同意,且无合理的使用场景,存在频繁自启动或关联启动的行为。
“天津农商银行”在2月1日至3月1日检测时,被发现隐私政策未逐一列出 App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等,涉嫌隐私不合规,App频繁自启动和关联启动。
国家计算机病毒应急处理中心表示,依据《网络安全法》《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规及相关国家标准要求,该中心通过互联网监测移动App存在隐私不合规行为。
此外,今年7月10日,内蒙古通信管理局发布了关于APP侵害用户权益问题的通报,其中包括四家村镇银行(喀喇沁玉龙村镇银行、固阳蒙商村镇银行、达茂蒙商村镇银行、化德蒙商村镇银行)的APP受到通报,所涉及问题主要为超范围或违规收集个人信息。
6月7日,湖北省通信管理局通报了6款侵害用户权益行为的APP名单,其中湖北银行同名App、湖北省农村信用社联合社的APP“湖北农信”在列,所涉问题均为“违规收集个人信息”。
5月30日,广东省通信管理局公开通报16款未按要求完成整改APP,海港人寿保险股份有限公司的APP“快乐海港”,因为违规收集个人信息被通报。
另据媒体报道,3月底,广东省通信管理局公开通报了18款未按要求完成整改APP,其中东莞农商银行APP在列,所涉问题包括违规收集个人信息以及APP强制、频繁、过度索取权限等。
9月中旬,国家金融监督管理总局发布了《关于加强银行业保险业移动互联网应用程序管理的通知》(以下简称《通知》,从四方面提出18条工作要求,其中数据安全、外包管理、业务连续性及个人信息保护等监管要求。
其中在个人信息保护方面,《通知》要求金融机构应建立移动应用个人信息保护制度,规范个人信息管理,遵循“合法、正当、必要”原则收集个人信息,向用户告知收集个人信息的目的、使用和保护个人信息的方式,公布投诉渠道信息,及时处理信息泄露和隐私合规相关问题,保障消费者权益。
数据安全愈加凸显
“《通知》针对当前存在的问题,要求金融机构加强统筹,将移动应用管理纳入全面风险管理体系,有效控制移动应用引发的风险,同时督促金融机构进一步加强服务,改善用户体验,有利于规范银行业保险业移动应用建设管理。”对于上述《通知》,国家金融监督管理总局有关司局负责人也强调了安全。
在数据安全方面,上述《通知》明确了“谁管业务、谁管业务数据、谁管数据安全”的原则,金融机构要压实业务管理部门数据管理职责,会同信息科技部门做好业务数据安全管理工作。
可以观察到,近两年有关数据安全、数据治理方面的银行罚单增多。
9月25日国家金融监督管理总局官网信息显示,山西农商联合银行因为“数据安全管理较粗放,存在数据泄露风险;对网上银行外包管理不到位导致发生二级网络安全事件”,被国家金融监督管理总局山西监管局处罚款60万元,这是山西农商联合银行自2023年获准开业后,监管对其开出的首张罚单。
国家金融监督管理总局官网6月披露的信息显示,交通银行因为“安全测试存在薄弱环节、运行管理存在漏洞、数据安全管理不足、灾备管理不足”四项违规,被处于罚款160万元。
此外,今年以来,浦发银行阿克苏分行、苏州银行、民生银行宁波分行、进出口银行宁波分行等银行因为数据治理不审慎、数据治理存在缺陷等原因被当地监管部门处以罚款。
值得注意的是,在对金融机构移动应用整合方面,《通知》要求金融机构应当加强移动应用统筹管理,建立移动应用台账,完善准入退出机制,统筹各业务部门及各分支机构的移动应用建设规划,合理控制移动应用数量。对用户活跃度低、体验差、功能冗余、安全合规风险隐患大的移动应用及时进行优化整合或终止运营。
当前,国内银行数量多达四千家,随之银行等金融机构上线的APP数量庞杂。根据中国互联网金融协会披露的数据,截至2023年底,协会完成3112家机构、共计2429款金融APP备案(含关联备案)。
券商中国记者梳理上市银行旗下APP数量发现,中国银行旗下APP数量最多,高达27款;民生银行的APP数量有8款;工商银行有7款。
其中,中国银行旗下的APP包括:BOC、e社区生活通、中国银行、中国银行企业、中国银行移动支付、中国银行缤纷生活、中行企业银行、中行手机银行、中银惠游、中银易商、便民缴费、养老宝、出国金融、在线金融超市、外币宝典、江西中银惠、金融易管家等。
具体而言,BOC是中国银行手机银行(境外版)为客户提供多国家、多语言的移动金融服务;e社区生活通是为该行个人客户提供物业管理类服务、便民缴费、生活服务、银行金融服务、微贷产品、找银行、找ATM等功能;中银易商是中国银行打造的聚合多种金融应用,提供便利支付方式,快速查找中行网点、优惠商户、ATM信息的金融应用。
民生银行旗下APP包括民生银行、民生信用卡、民生小微银行、民生直销银行、乐收银、快乐收、民生企业银行、民生优享。
中国互联网金融协会在2023年开展金融APP备案过程中累计发现并督促整改漏洞隐患6万余项。通过审核评估、风险监测、违规公示等自律管理手段,2023年单款APP平均发现数据安全方面的问题同比下降33.6%,安全防护方面的问题同比下降29.8%,个人信息收集使用方面的问题同比下降5.9%,单款APP平均权限申请数量呈现逐年下降态势。
当前金融APP领域仍然面临一些不容忽视的风险挑战。中国互联网金融协会于今年3月发布的《2023年金融APP市场治理与发展报告》指出:部分从业机构对网络安全、个人信息保护等领域法律制度和标准规范的理解存在一定偏差且贯彻落实不到位的情况;一些金融APP存在重技术开发、轻日常运营,重注册用户、轻活跃用户,重产品部署、轻用户体验的问题;有的金融APP集成开源组件,面临开源许可证兼容性、合规性等风险;智能化、云上化和平台化金融发展趋势对金融APP的业务合规、系统性能、网络安全提出更高要求;金融APP涉及客户数据、交易数据、资金流动等敏感信息,场景化和生态化趋势给数据安全和隐私保护带来挑战。