本报记者 徐晓梅 冉学东 北京报道
近日,《华夏时报》记者注意到,招商银行APP登录页面有一个提示,页面下方新增一个勾选项,是否同意《招商银行APP服务协议》以及《招商银行APP用户隐私政策》,版本发布及生效日期为2020年10月20日。
招商银行表示,为了保证用户的个人隐私信息合法、合理、适度的收集、使用,并在安全、可控的情况下进行传输、存储,该行制定并会按照《招商银行APP用户隐私政策》收集、存储、使用以及对外共享用户的个人信息。
值得一提的是,就在第二天,中国人大网就公布了《中华人民共和国个人信息保护法(草案)》(以下简称“《个人信息保护法(草案)》”)全文,并对其公开征求意见。该文件对“个人信息处理一般规定”、“敏感个人信息的处理规则”、“个人信息跨境提供的规则”等做了详细的说明。若该文件正式下发,将成为第一部保护个人信息的法律条款。
事实上,无论是公司层面,还是政策层面都采取积极措施以保护个人信息安全。金融作为个人信息泄露频发的领域,其重视程度也都是看得见的。
金融数据乱象频发
随着互联网技术的不断发展与进步,个人信息已经没有隐私可言,关于个人信息买卖、暴露等事件层出不穷,在金融行业更为突出。
个人信息包括姓名、出生日期、身份证件信息(身份证、护照等)、个人生物识别信息、通信通讯联系方式、住址、账户信息、财产状况、位置信息等。个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等信息,主要包括身份证件信息(身份证、护照等)、个人生物识别信息、银行账号、征信信息、财产信息、交易信息、位置信息、健康生理信息等。
麻袋研究院高级研究员苏筱芮对《华夏时报》记者表示,金融领域存在两个数据安全乱象:第一个是数据范围,有一些数据与业务无关,非必要提供给第三方的,某些商业机构不作为,没有采取保护措施,例如今年315晚会提到的“SDK”就存在这种问题。目前,已有一些公司在隐私协议中披露SDK合作伙伴名单,也有公司在工信部通报后积极整改,控制住外部机构的访问权限。
第二个是数据内容,金融领域涉及到个人信息相当敏感,而有一些数据的处理是非必要原样照搬提供给第三方的,因此,数据的加密传输以及匿名化,也就是去标识化,成为了当前的一个重要议题;另外还涉及公司自身的信息安全保护水平,部分公司风控水平低下,防护措施形同虚设,或被钓鱼网站、仿冒APP等侵害,同样会导致问题和乱象。
就在前几日,几家国有大行分行被央行开出罚单,都是因为侵害了消费者个人信息保护的权力。如建行东营分行因存在侵害消费者个人信息依法得到保护的权利的违法行为,被罚514万元;中国银行石嘴山市分行因存在侵害消费者个人信息依法得到保护权利的违法违规行为,被罚411万元。
大数据时代,很多个人信息都处于“裸奔”状态, 隐私泄露已经成为一个“顽疾”,金融领域也存在不少数据安全乱象,此前就有大量国内银行的金融数据包括姓名、地址、电话号码、身份证号、存款金额、所办业务等被放在网上公开出售。
2019年三季度,多家大数据公司接连被查并暂停业务,而有些征信公司也牵扯其中,被警方带走配合调查,而这和“爬虫”信息滥用有关。
苏筱芮认为,金融机构及其合作伙伴应该从数据的采集、存储、加工、传输、披露等环节规范用户个人信息管理,如采集前需征求用户同意,必要时应采取去标识化原则等。通过制度及流程的梳理来加强内部管控,遵循“用户授权、最小够用、专事专用、全程防护”原则,对于其中的不规范信息管理行为及时纠偏。
政策加持,个人信息得到保护
从去年开始,监管在数据安全以及信息保护方面更是下足了功夫。2019年1月,中央网信办、工业和信息化部、公安部、市场监管总局四部门联合发布《关于开展APP违法违规收集使用个人信息专项治理的公告》,在全国范围组织开展APP违法违规收集使用个人信息专项治理,并成立APP违法违规收集使用个人信息专项治理工作组。
APP专项治理工作组发布的《APP违法违规收集使用个人信息专项治理报告》显示,移动互联网应用商店上架推广的APP近400万款,用户每天在各类APP上平均花费近5个小时,但APP强制授权、过度索权、超范围手机个人信息的现象普遍存在,未制定并公开隐私政策、未经用户同意收集个人信息、未提供注销账号功能等不规范行为屡见不鲜,个人信息泄露、滥用等情形时有发生。
数据显示,截至20 19年12月,微信公众号“APP个人信息举报”共收到网民举报信息超过1.2万条,涉及2300余款APP,涉及问题包括超范围收集与功能无关个人信息、强制或频繁索要无关权限等、无法注销账号、默认捆绑功能、存在不合理免责条款等。
工信部开展的“APP侵害用户权益行为专项整治行动”,重点整治违规手机使用用户个人信息等8类问题行为,已经发布多批关于侵害用户权益行为的APP。其中,2020年7月,工信部发布的58款违规APP中金融理财类是重灾区,12款是理财、小贷APP,小鹅花钱、还呗等多个金融类APP被点名。违规APP涉及的问题无外乎私自、超范围收集个人信息,过度索取权限,私自共享给第三方等。
从被点名的APP可以看出,金融数据确实存在大量的问题。此前一家征信机构涉嫌非法提供身份证返照查询9800多万次,获利3800万元。值得一提的是,个人信息被私下贩卖还有可能陷入“套路贷”犯罪、电信诈骗、暴力催收等陷阱。金融数据以及个人信息安全至关重要,整改也迫在眉睫。
央行副行长范一飞在近日举办的论坛上公开表示,数据安全保护刻不容缓,金融业作为数据密集型行业,要积极落实党中央、国务院决策部署,深刻认识数据重要意义、深化研究数据管理机制、深度挖掘数据内在价值、深入做好数据安全保护,为金融装上数据引擎,实现多向赋能。
今年9月,央行发布的《金融消费者权益保护实施办法》中也提出消费者金融信息保护,从消费者金融信息安全权角度进一步强化了信息知情权和信息自主选择权。
《个人信息保护法(草案)》更是将个人信息保护打到公屏上,让个人信息泄露无处遁形,让数据安全更有保障。
麻袋研究院高级研究员苏筱芮对《华夏时报》记者表示,《个人信息保护法(草案)》进入征求意见稿阶段,意味着我国个人信息保护的顶层建设工作正在提速。但就我国金融领域而言,个人信息保护的纲领性、针对性规范仍有缺失,从国际视角来看,发达国家存有值得借鉴的先进经验,例如银行等金融机构的隐私政策页面均显著标明了个人信息保护相关咨询投诉渠道,包括监管部门、自律协会等。
目前来看,金融数据和信息安全已经成为监管的重点,《个人信息保护法(草案)》也仅仅是信息安全治理的第一步。苏筱芮预计,伴随着顶层制度的不断完善,金融业的数据治理工作将迈入常态化阶段,上级部门将加大对金融机构信息安全工作的监督管理,关于信息保护的罚单或更加频繁。
责任编辑:孟俊莲 主编:冉学东
