金融App违规现象频发,2024年不完全统计就有超20家银行出现移动应用App违规收集个人信息等许多问题,仅2024年12月,就有6家银行的7款App被通报违规。
归纳银行App的违规原因可知,主要涉及违规收集个人信息、超范围收集个人信息和强制索取权限等许多问题。
对于银行App如何把握收集个人信息的合规界线,国家金融监督管理总局明确要求,银行保险机构处理个人信息应根据“明确告知、授权同意”的准则实施,并限于实现金融业务处理目的的最小范围,不得过度收集个人信息。
某银行信用卡App开发部人士对《中国经营报》记者表示:“目前在银行App的开发进程中,主要依据原则是收集的信息不能超出其提供服务所务必的信息范围。如银行的线上贷款业务中假如不涉及借款人近亲的担保,则收集近亲的个人信息属于过度收集。”
过度收集个人信息
2024年,江苏、河北、内蒙古、湖北等多个省份的通信管理局及央行分支机构公布了辖内金融App的违规情况,违规的银行机构主要聚集在中小银行中。
记者梳理银行App遭通报原因了解到,从所涉问题看,违规/超范围收集个人信息是出现次数最多的问题;强制、频繁、过度索取权限也是“重灾区”;另外,隐私政策未逐一列出App收集使用个人信息的目的、方式、范围,隐私政策难以访问,未声明App运营者的基本情况和未声明隐私政策时效等也是被通报的原因。
2025年1月13日,国家计算机病毒应急处理中心网站也公布了多款移动App存在隐私不合规行为,其中包含2款金融App。另外,2024年以来,包含甘肃农信在内的多家银行App也曾因隐私政策不合规、频繁自启动等许多问题被国家计算机病毒应急处理中心点名。
博通咨询首席分析师王蓬博对记者表示,银行App收集个人信息务必严格遵循相关法律法规,而且务必要遵守目的明确原则和最小必要原则。好比收集的个人信息应限制在实现业务目的的最小范围内,避免过度收集,且应透明公开,银行App内的隐私政策应完整地向用户说明个人信息的收集、使用、存储、共享等情况。
对于银行App频繁出现的违规操作,前述某银行信用卡App开发部人士指出,如银行App仅需要用户身份认证信息,却收集用户的位置信息、摄像头权限等不相关的权限,或是在非业务务必的情景下访问用户的通话记录,收集用户设备上的其它App列表或敏感文件等,这其实其实不是其核心功能所期望的信息。
对于银行风控和个人信息保护这两者之间需要如何平衡,王蓬博认为,首先,银行应强化 数据安全 保证措施,在进行风控的进程中,要确保所收集的个人信息得到严格的安全保护,采用加密、访问控制、数据脱敏等技术手段,防止信息泄露和被滥用;其次,银行应该将个人信息保护融入到风控的各个环节,充分尊重和保护客户的个人信息。
监管升级
金融监管机构一直关注银行金融科技相关的合规运营,不仅通过对银行违规的信息科技业务开罚单的形式强化监管,2024年还发布多个 数据安全 及移动应用相关的管理办法。
如2024年12月27日,江苏灌南农商银行7项犯罪行为中有2项涉及 数据安全 、隐私保护范畴,分别为“违反 数据安全 管理规定”“违反信用信息收集、提供、查询及相关管理规定”;2024年11月15日,昆明官渡农村合作银行存在“违反信用信息收集、提供、查询相关管理规定”等5项犯罪行为,被警告,并被罚款85.3万元;2024年9月25日,山西农商联合银行因“ 数据安全 管理较粗放,存在数据泄露风险”“对网上银行外包管理不到位造成发生二级 网络安全 事件”2项主要非法事实,被罚款60万元。
从金融监管处罚来看,2024年银行业机构涉及信息科技业务的罚没金额翻倍增长,此前信息科技业务的处罚数据显示2022年为848万元人民币,2023年为826万元人民币,2024年为1946万元人民币,处罚金额同比增长136%。
在金融监管发布的相关法律法规方面,日前国家金融监督管理总局发布《银行保险机构 数据安全 管理办法》,要求银行金融机构采取有效的管理和技术措施加强 数据安全 保护,确保客户信息和金融交易数据的安全。同时,监管职能部门还将以机构自查和监管职能部门现场检查相结合的形式对银行保险机构的信息 数据安全 启动专项治理。
2024年9月12日,国家金融监督管理总局发布《关于加强银行业保险业手机端应用程序管理的公告》要求,金融机构应当严格落实国家法律法规和监管要求,建立移动应用个人信息保护制度,规范个人信息管理,遵循“合法、正当、必要”原则收集个人信息,向用户告知收集个人信息的目的、使用和保护个人信息的形式,公布投诉渠道信息,及时处理信息泄露和隐私合规相关问题,保障消费者权益。并提出金融机构应当将移动应用风险并入全面风险管理,识别违规展业、侵害消费者权益等业务风险及 网络安全 漏洞等科技风险,健全风险防控措施,每年至少开展一次移动应用风险评估,每三年至少开展一次审计,发生重大移动应用风险事件时,应立即开展专项审计。
随着银行机构个人信息保护及 数据安全 适用的法律法规增多,多个领域的监察管理交叉也增加了法律适用难度。
对于银行App的线上监管都面临哪些挑战,王蓬博认为,首先,银行 App 的业务涉及多个领域和法律关系,如金融、 网络安全 、数据保护、消费者权益保护等,不同 的法律法规之间可能存在交叉,增加了监管职能部门在法律适用上的难度;其次,银行的业务创新肯定会造成一按时间的监察管理空白,好比银行不断推出新的金融产品和服务,后续就需要监管持续跟进;再次,金融科技不断发展,数据保护的难度也在不断增加,随着 大数据 、 人工智能 等技术在银行 App 中的广泛应用,数据的收集、存储、使用和共享变得更加频繁和复杂。