监管持续亮剑App违规收集个人信息行为 金融App回应整改进展

  • 来源:北京商报
  • 时间:2021-04-27 13:46:03

对于金融类App违规收集个人信息行为,监管正持续亮剑。近日,工信部通报了最新一批侵害用户权益行为的App名单,其中,包括畅捷通、广州农商行、广东南粤银行、微众银行等多家涉及金融类App被点名存在侵害用户权益且未及时完成整改。工信部强调,违规机构应在4月29日前完成整改落实。

据工信部官网通报,按照《关于开展纵深推进App侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164号)工作部署,工信部近期组织第三方检测机构对手机应用软件进行检查,截至目前,尚有93款App未完成整改;另据广东省通信管理局检查发现,仍有45款App未完成整改。

从工信部披露的违规企业名单来看,大多为游戏类、工具类App,不过也有数家金融类App被点名。北京商报记者注意到,93款未完成整改名单中,由畅捷通信息技术股份有限公司开发的“好生意”App名列其中。另在45款未完成整改App中,广州农商行开发的“珠江直销银行”App,被点名存在违规收集个人信息;广东南粤银行开发的App,存在违规收集个人信息,App强制、频繁、过度索取权限情形;而微众银行开发的“微众企业爱普”,也存在“违规收集个人信息、超范围收集个人信息”问题。

对于前述违规App,工信部也下了“最后通牒”,强调机构应在4月29日前完成整改落实工作。逾期不整改的,工业和信息化部将依法依规组织开展相关处置工作。

就最新整改情况,北京商报记者对前述企业一一进行了采访。其中,微众银行回应称,获悉广东省通信管理局提出的整改意见后,微众银行第一时间与相关部门进行情况了解和紧急沟通,并对存在问题立即进行了认真整改,微众银行将依法合规坚决、用心维护用户个人信息安全及其合法权益;此外,广东南粤银行亦回应称,目前该行已经按照工信部要求进行整改,新的App版本已经上架,用户可以更新下载新的App版本。

不过,关于广州农商行、畅捷通App整改情况,截至发稿,北京商报记者未收到进一步回应。

针对金融App违规收集个人信息且部分“整而未改”等问题,金融科技专家苏筱芮告诉北京商报记者,一方面,主要是因部分机构合规意识淡薄,尚未建立起个人信息保护、数据安全相关的专业技术团队;另一方面,部分机构在个人信息保护的工作方面水平低下,对整改内容理解不透彻、不到位,因此影响到后续的整改效果。

App侵害用户权益问题由来已久,其中,金融类App安全问题尤引业内关注。一知情人士向北京商报记者说道:“金融理财借贷类用户价值比较高,用户的个人信息也成为平台进行客户运营或者风控的依据,因此,平台会倾向于尽可能收集个人信息,甚至出现过度收集的情况。”

事实上,根据北京商报记者多期评测以及相关部门通报来看,目前,确实有不少机构脚踩红线,其中一大痼疾就是违规收集个人信息。

例如,用户在金融App上申请信贷的过程中,就不乏有超范围收集信息的情况,甚至通过捆绑概括、捆绑式授权勾选,违规向第三方共享用户个人信息;此外,还有在用户明确表示不同意收集某类个人信息的情况下,仍有App通过其他途径违规收集,或干扰用户正常使用的情况。

此外,前述知情人士也提到,目前,金融领域信息安全、隐私保护领域仍存乱象,例如违规收集与使用信息,强制、频繁、过度索取用户权限,超范围收集信息,欺骗误导用户主体下载App等。尽管金融机构保护个人信息的意识正在逐渐增强,但仍存在超范围收集个人信息、未按规定使用和储存个人信息等问题。

为何金融App规范个人信息收集如此之难?北京市中闻律师事务所律师李亚告诉北京商报记者:“目前,侵犯用户个人信息保护权益且不完成整改,很大程度是由于违规成本比不上违规产生的收益,许多平台正是基于其过度收集的个人信息来进行用户画像和精准营销,用这种运营方式获利,相关机构在接受‘重击’之前自然不肯轻易放弃。”

针对个人金融信息收集成为金融机构违规高发区问题,苏宁金融研究院金融科技研究中心主任孙扬同样称,一是因为侵害用户权益获得用户数据可以用于营销,金融机构不愿放弃这个营销数据来源;二是机构很多贷款风控决策可能与这些数据相关,如果获取不到这些数据,将影响风控决策;三是也不乏有机构目前还不具备专业人才来根据法律规定,有效进行全行的数据治理。

不过,随着金融App治理逐步进入深水区,在多方监管加码及法律武器的有力震慑下,后续金融违规收集信息的乱象有望进一步改善。对于金融机构来说,后续又该如何整治顽疾?

李亚称,金融机构应当充分重视个人信息保护和数据规范使用,在制度制定、规范执行和自我监督等多层面进行落实,严格遵守“权责一致、目的明确、选择同意、最少够用、公开透明、确保安全、主体参与”的安全基本原则。

苏筱芮则指出,个人信息保护的工作完善流程并非一蹴而就,各金融机构及其合作伙伴应该从数据的采集、存储、加工、传输、披露等环节规范用户个人信息管理,例如采集前需征求用户同意,必要时应采取去标识化原则等,通过制度及流程的梳理来加强内部管控,对于其中的不规范信息管理行为及时纠偏。此外,相关法律法规的审核修订是一个与时俱进的过程,机构需要保持对监管要求的最新关注与跟进,安排专人开展研究并及时做出业务方面的合规调整。( 岳品瑜 刘四红)