近日,工信部发布的《关于侵害用户权益行为的APP通报(2021年第5批总第14批)》显示,尚有291款侵害用户权益APP未完成整改。其中,在四川省通信管理局通报存在问题的应用软件名单中,四川天府银行以及绵阳市商业银行旗下应用软件均在列。
此外,在工信部通报的83款未完成整改的APP中,也包括银行旗下的非手机银行APP,涉及违规收集个人信息等问题。通报中指出,上述APP应在6月16日前完成整改落实工作。逾期不整改的,工信部将依法依规组织开展相关处置工作。
今年以来银行APP用户量不断增长。根据易观千帆数据,截至2021年一季度,手机银行APP用户规模已达58466.01万,同比增长达23.8%。在规模不断扩张的同时,过度收集用户信息、违规收集用户信息等问题也不断暴露,部分银行在推广APP使用过程中,存在不合理行为频被投诉。此外,银行APP作为一种获客渠道也被不法分子盯上,伪造假冒APP进行犯罪行为。银行应如何做好合规与个人信息保护等工作值得思考。
检查力度加强
工信部关于侵害用户权益行为的APP通报(2021年第5批总第14批)显示,依据《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,按照《关于开展纵深推进APP侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164号)工作部署,工信部近期组织第三方检测机构对手机应用软件进行检查。截至6月8日,天津市、上海市、江苏省、浙江省、广东省、四川省通信管理局检查发现仍有208款APP未完成整改,工信部表示,上述APP应在6月16日前完成整改落实工作。逾期不整改的,将依法依规组织开展相关处置工作。
从披露具体信息看,四川天府银行的应用软件“天府手机银行”所涉问题包括违规收集个人信息以及超范围收集个人信息。绵阳市商业银行的应用软件“绵阳市商业银行”存在三项问题,包括违规收集个人信息、超范围收集个人信息以及强制用户使用定向推送功能。
四川天府银行相关负责人在回应《中国经营报》记者时表示,6月9日我行收到四川省通信管理局委托中国信通院测评的天府手机银行APP(4.0.06)的个人信息合规评估报告,报告显示该版本个人信息合规,不存在风险项。
绵阳市商业银行相关负责人对记者表示,该行已完成手机银行APP升级改造。“我行长期以来一致致力于利用互联网技术,通过网上银行、手机银行等功能性产品,为客户提供便利的业务办理渠道,不断提升银行客户体验。近期,为了进一步丰富手机银行APP业务功能,提升手机银行客户端安全性,我行完成了手机银行APP升级改造工作。”
绵阳市商业银行相关负责人表示,该行手机银行APP的升级改造,除进一步丰富了手机银行APP的业务功能以外,还有针对性地结合监管部门在公民个人电子信息安全保护、支付安全等方面的监管要求进行了系统优化,进一步提升了对客户隐私的保护能力。据了解,升级后APP采用1.3.0版本,该版本在应用功能丰富程度、界面交互性、系统安全性等各个方面均达到历史最高水平。
记者了解到,5月以来,随着国家互联网信息办公室等四部门联合发布的《常见类型移动互联网应用程序必要个人信息范围规定》的正式实施,以及在国家互联网信息办公室的统筹指导下,工信部会同公安部、市场监管总局起草的《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》结束意见反馈,多家银行已开始结合最新的政策法规,对APP进行调整优化。
某城商行管理人士告诉记者:“随着银行业务线上化趋势加强,网络信息安全检查越来越频繁,除上级监管部门对我们的监管外,行内部也会组织定期或不定期的自查工作。”
某民营银行管理人士告诉记者,该行对手机APP进行了自查,在保证交易安全及用户信息安全、满足金融行业监管政策有关要求的前提下,合理收集和使用用户信息。且该行已经通过中国网络安全审查技术与认证中心的检查和认证。
安全系数待升
记者了解到,不同银行APP在信息收集方面有所差异,比如部分银行APP首次打开,需要获取用户存储权限、设备状态、位置权限、读取权限以及读取已安装列表,但部分银行却不要求。
有银行信息科技部人士告诉记者,当用户使用账户查询、转账、购买财富产品等功能时,有银行APP需要获取用户存储权限、设备状态、位置权限以及读取已安装列表等,用于对手机APP的交易风险进行控制,保证账号登录、用户信息以及资金交易的安全性。
金融科技专家苏筱芮表示:“银行业机构及其合作伙伴应该从数据的采集、存储、加工、传输、披露等环节规范用户个人信息管理,例如采集前需征求用户同意,必要时应采取去标识化原则等,通过制度及流程的梳理来加强内部管控,遵循‘用户授权、最小够用、专事专用、全程防护’原则,对于其中的不规范信息管理行为及时纠偏。”
此外,记者在采访中了解到,银行APP在宣传推广过程中,也有用户质疑侵犯自主选择权和个人隐私权,从而对银行APP评价负面。
前述某城商行管理人士表示:“利用APP做银行业务宣传推广,不经用户同意或在用户不知情的情况下,强制下载安装APP,或业务‘捆
