銀行APP迎來備案運營新階段。
5月19日,中國互聯網金融協會公示首批擬備案的移動金融客戶端應用軟件名單,包括工商銀行、民生銀行、平安銀行、招商銀行、中國銀行等多家銀行APP入選。
一位股份制銀行IT部門主管透露,為了躋身首批擬備案的銀行APP行列,他所在的銀行按照《移動金融客戶端應用軟件安全管理規范》(下稱《規范》)相關要求,一方面終止眾多第三方風控機構的數據采購合作,嚴格遵循合法、正當、必要的原則收集使用個人金融信息;另一方面在APP大量金融服務頁面明示個人信息的收集使用目的與范疇,不再以默認、捆綁等手段變相要求用戶授權。此外,銀行還持續加強完善內部風控機制,制定更規范的數據加密、訪問控制、安全傳輸、簽名認證等措施,防止其他部門“違規”使用個人信息。“所幸中國互聯網金融協會對此相當認可,很快通過了APP合規操作的驗收。”
值得注意的是,此前被國家網絡安全通報中心點名存在超范圍采集個人信息等情形的光大銀行、天津銀行等銀行機構APP,此次并未入選首批擬備案名單。
一位知情人士透露,當前這些銀行正對APP收集使用個人信息流程加強規范操作,未來擇機申請備案。
“當前眾多銀行都意識到,只有完成備案,APP才能穩步開展業務;否則銀行一旦遭遇個人數據保護不健全或違規采集使用個人信息等質疑,就將面臨處罰或業務叫停風險。”他指出。
在蘇寧金融研究院研究員孫揚看來,隨著越來越多金融機構APP申請備案運營,此前金融APP無需競爭、缺乏治理的局面將被打破。與此對應的是,金融機構APP如何在確實保障個人信息采集使用規范與金融服務便利化之間找到平衡點,儼然是一大挑戰。
多管齊下完成備案驗收
去年9月,多家銀行APP一度深陷超范圍收集使用個人信息的輿論漩渦。
當時國家網絡安全通報中心稱,集中查處整改了100款違法違規APP及其運營的互聯網企業,其中包括光大銀行、天津銀行等金融機構旗下手機銀行,主要違規問題集中在缺乏隱私協議、收集使用個人信息范圍描述不清、超范圍采集個人信息和非必要采集個人信息等情形。
上述股份制銀行IT部門主管坦言,一些銀行APP的確存在超范圍采集使用個人信息等狀況,比如當用戶貸款逾期后,銀行貸后管理部門會根據APP端用戶留存的手機號進行電話催收;有時銀行理財部門會根據用戶在APP端提交的個人金融信息,不定期發短信推薦購買各類金融理財產品,但此舉被不少客戶視為“騷擾行為”。
因此央行相關部門隨即發布《移動金融客戶端應用軟件安全管理規范》,要求金融機構采取有效措施加強客戶端軟件的個人金融信息保護,去年底中國互聯網金融協會則根據央行發布的《關于發布金融行業標準 加強移動金融客戶端軟件安全管理的通知》,啟動了移動金融APP實名備案工作。
前述這位股份制銀行IT部門主管表示,為了躋身首批備案行列,銀行內部在規范個人信息保護方面做了大量改進工作,一是對個人敏感信息的訪問及使用嚴格遵循“最小必須原則”及“權責對應原則”,銀行內部員工只能獲得其開展業務所需模塊的操作及訪問權限;二是將所有用戶終端數據集中部署到銀行核心區域,封禁非法拷貝、下載、存儲、外設連接等操作,實現個人敏感信息不在操作終端落地,杜絕不同部門員工“違規”獲取個人敏感信息開展業務;三是對離職、轉崗等員工及時變更訪問權限,避免他們接觸到不必要的個人敏感信息,并用于新的業務或公司;四是核查所有第三方大數據風控機構合作方的個人信息獲取收集來源,一旦發現存在不合規操作現象,立刻終止相關大數據合作。
“在驗收期間,中國互聯網金融協會人士提出一些完善意見。”他告訴記者,比如他們相當重視銀行APP是否存在默認、捆綁等手段要求用戶授權等行為,因此他所在的銀行又修改了APP相關理財產品在線購買業務相關流程,在頁面醒目位置明示銀行采集使用個人信息的范疇與目的。
在他看來,只要銀行APP確實做到客戶個人信息保護與規范采集使用,要通過備案驗收并非難事。
“現在我們遇到的最大難題,是如何在APP金融服務操作便利化與規范個人信息合規使用方面找到平衡點。”他指出。
艱難的平衡
“前些天銀行業務部門與合規部門又吵了一架。”一位城商行零售部門人士向記者表示。具體而言,業務部門認為APP眾多金融服務頁面都要跳出“個人信息采集使用范疇與目的”等相關條款,導致客戶在線辦理金融服務的流程更加繁瑣,會影響用戶體驗;合規部門則一再強調若撤銷上述步驟,銀行APP很可能會因為收集使用個人信息范圍描述不清而面臨新的處罰。
“在當前金融嚴監管的環境下,目前業務部門最終只能做出妥協。”他表示。
顯然,銀行要找到這個平衡點,難度不小。越來越多銀行正嘗試借助智能金融科技找到兩全其美的解決方案。
上述股份制銀行IT部門主管透露,目前他們對客戶在線認購APP理財產品的操作流程做了一些優化。若用戶已填寫了個人風險承受能力評估表格,當他在銀行APP端購買一款理財產品時,后臺會通過大數據與智能技術自動“識別”他是否適合投資相關理財產品,若理財產品契合用戶風險承受能力,銀行APP將快速辦理相關理財產品認購手續,反之銀行APP頁面則提示用戶投資偏好與這類理財產品“不符”,用戶是否重新輸入個人相關信息調整自己的風險承受能力。“此舉的最大好處,就是節省了用戶反復輸入個人相關信息評估個人承受能力的煩惱,當然這些敏感信息也不會因此泄露或挪作其他用途,觸發銀行超范圍使用個人信息風險。”
而且,個別銀行正借助智能大數據技術,對用戶以往的投資理財行為與投資偏好進行分析,主動推薦符合用戶理財訴求的相關金融產品,避免用戶在銀行APP留下大量“瀏覽”或“業務咨詢”數據信息,在不知情的情況下被其他部門員工采集使用。
“不過,盡管智能大數據技術能優化一些APP在線金融服務的辦理效率并提升客戶體驗,但在多數情況下,銀行仍需要在醒目位置明示個人信息采集使用目的與范疇,避免自身陷入違規操作風險。”上述城商行零售部門人士坦言。
作者:陳植
