振兴银行遭工信部通报 银行App侵害个人信息为何难禁止

2021-11-12 10:47:45 来源: 城市金融报

近日,工业和信息化部通报17款侵害用户权益App,辽宁振兴银行位列其中。部分银行为何会出现整而不改的现象?《个人信息保护法》正式施行后,银行该如何加快App的规范和整改,其中要注意哪些问题?

刚领百万罚单的辽宁振兴银行旗下App又遭到点名。近日,工信部发布《关于App超范围索取权限、过度收集用户个人信息等问题“回头看”的通报》指出,近期,针对用户反映强烈的App超范围、高频次索取权限,非服务场景所必需收集用户个人信息,欺骗误导用户下载等违规行为进行了检查,共发现38款App存在问题。各通信管理局按照工信部统筹部署,积极开展App技术检测,截至目前尚有17款App未按时限要求完成整改。其中,在辽宁省通信管理局通报存在问题的应用软件名单中,辽宁振兴银行被点名。

振兴银行遭工信部通报

此次被通报的辽宁振兴银行App应用来源于“小米应用商店”,应用版本为“1.15.7”,所涉问题包括违规收集个人信息,App强制、频繁、过度索取权限。

从工信部的通报中可以看到,辽宁振兴银行属于尚未按时限要求完成整改的情况,为何出现整而不改问题?易观高级分析师苏筱芮认为,尚未整改的主要原因有两点,第一是机构合规意识不够强,对待整改工作未有足够重视;第二是机构水平不足,对监管要求的理解及技术能力还有待提升。

天眼查显示,辽宁振兴银行为辽宁省首家法人民营银行,注册资本20亿元,于2017年9月28日注册成立,并于11月24日正式对外营业。

今年以来,辽宁振兴银行频繁的高管变动也颇受关注。日前,该行第二任董事长刚正式上任。9月18日,辽宁振兴银行发布公告指出,自当日起,文远华就任辽宁振兴银行董事长,为该行法定代表人。

从该行具体的人员变动情况来看,自5月份王锋行长资格获批之后,又上任了一批新的管理人员。6月至8月,辽宁银保监局先后核准徐国华、王立军、贺颖杰、陈晓东、秦晴等人分别担任辽宁振兴银行的内审部门负责人、独立董事、董事、行长助理、风险总监。

值得一提的是,新董事长正式上任仅一周,该行就领到百万级罚单。9月24日,银保监会网站披露罚单显示,辽宁振兴银行因重大关联交易管理不规范、个人贷款业务审批管理不严等四项违法违规行为被处罚款140万元,另有一名相关责任人被罚。

多款银行App侵害用户权益

个人金融信息收集成为银行违规的高发地带,调查发现,今年以来已有辽宁振兴银行、永隆银行、华商银行、大连银行、锦州银行、四川天府银行、绵阳市商业银行、广东南粤银行在内的多家银行因App存在违规问题被通报。

从违规缘由来看,大连银行、锦州银行、永隆银行深圳分行、华商银行、四川天府银行、绵阳市商业银行、广东南粤银行均存在违规收集个人信息问题。除了违规收集个人信息之外,华商银行还存在强制用户使用定向推送功能;绵阳市商业银行存在超范围收集个人信息;广东南粤银行存在App强制、频繁、过度索取权限等情况。

对于整改情况,广东南粤银行方面表示,此次该行被通报的App为手机银行5.3.2版本,涉及问题主要是没有在隐私政策等公示文本中逐一列明App的相关信息,在获得用户授权时提示不足,该行已组织内部力量开展App的迭代升级工作将问题一一修复,在更新版本的同时,也通过公开途径向客户做了更新版本的提示。

在苏宁金融研究院金融科技研究中心研究员孙扬看来,App收集信息会和后台的风控系统、埋点系统、营销系统相关联,也会和风控服务提供方相关,收集的信息可能被用于信贷风控决策,账户反欺诈,用于营销画像产品推荐,这些用途可能和一些产品流程相关联,目前一些机构的科技系统很多都是采购的,很多App也都是委托外包公司开发,很多银行对于产品细节和数据细节了解得不是很深入,对于数据的用途缺乏深刻的研究。

存储、披露加强管理

当下个人信息保护越来越受到监管重视,11月1日开始,《个人信息保护法》正式施行,法规明确收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。违反该法规定处理个人信息者,将由相关部门责令改正给予警告,并没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务。

个人信息保护法的实施也对App个人信息的收集、使用提出更高的要求。对于如何加快银行App的规范和整改,孙扬建议,银行应建立专门的数据团队,分析在风控、营销等场景研究收集用户信息的必要性,制定各个场景下需要收集信息的规范,并对所有产品进行约束,包括银行主App、贷款App或者直销银行App等。其次,要有能力用“小数据”,做好银行业务支撑的能力,而不能盲目追求“大数据”,多依赖隐私计算等先进技术,做到用数据,不存数据;用数据,不看数据;用数据,不泄露数据的目的。

“个人信息保护的工作完善流程并非一蹴而就,各商业机构及其合作伙伴应该从数据的采集、存储、加工、传输、披露等环节规范用户个人信息管理,例如采集前需征求用户同意,必要时应采取去标识化原则等,通过制度及流程的梳理来加强内部管控,遵循‘用户授权、最小够用、专事专用、全程防护’原则,对于其中的不规范信息管理行为及时纠偏。”苏筱芮称。(宋亦桐)

热点推荐