银行APP数据治理难,谁来守护客户的隐私?
最近,因置换房子但资金不足,家住上海市闵行区的毕方(化名)向一家股份制银行申请办理住房贷款,在手机银行APP端完成该项操作,没想到,很快他又接到不少自称是贷款中介和银行机构的推销的电话。“短信、电话都有,一天好几条。”毕方说,即便反映给贷款银行,这个问题也未被解决。
像毕方一样通过手机银行APP办理业务,导致个人信息泄露的情况不在少数,屡屡发生的现象引起监管的关注。近日,国家计算机病毒应急处理中心通报两款金融类APP的违规行为,分别是天津农商银行APP及捷信金融APP。
业内人士认为,信息化、数字化、智能化给金融消费者带来便利的同时,个人信息被侵害的现象屡屡发生。银行等金融机构数据治理面临着诸多难题,成为银行业金融科技发展的掣肘。建议银行要建立标准化的数据结构、引进隐私计算等技术、培养复合型人才以应对挑战。
金融类APP“窘境”
近日,国家计算机病毒应急处理中心通报两款金融类APP的违规行为,分别是天津农商银行APP及捷信金融APP。
通报提及,天津农商银行APP的违规行为涉及两个原因:一是隐私政策未逐一列出收集使用个人信息的目的、方式、范围等,涉嫌隐私不合规;二是频繁自启动和关联启动。
捷信金融APP被通报的原因是,个人信息处理者处理不满十四周岁未成年人个人信息的,未制定专门的个人信息处理规则,涉嫌隐私不合规。
随着金融行业数字化转型升级提速,金融数据安全问题也逐渐暴露,个人信息被侵害的情况屡屡发生,金融类APP是存在隐私不合规行为的“重灾区”。
从近年来的违规案例来看,侵害金融消费者权益主要涉及:违规收集个人信息,APP强制、频繁、过度索取权限,未明示个人信息处理规则等方面。包括交通银行、浙江泰隆商业银行、重庆银行、吉林银行、山西银行、晋商银行等多家银行APP均曾被监管点名通报。
记者打开多家商业银行的手机APP,均会在首次打开时出现弹窗申请,询问是否同意手机银行APP用户隐私政策条款,收集的个人信息包括:姓名、出生日期、身份证号码、通讯联系方式、住址、账户信息、财产状况、银行账号、征信信息、交易信息等等。
同时,在某些特定使用场景下,还将由第三方服务商收集用户的必要信息,若拒绝授予权限,则无法使用相关功能。
若记者选择“不同意隐私政策”,多数软件则弹窗“须同意该行隐私政策,才能使用软件中的产品和服务”,否则,只有退出这一选项。
被监管通报后,金融机构才会对违规行为“打补丁”。针对被点名一事,天津农商行回应称,“已修订完善了用户隐私条款并更新,对手机银行客户端程序进行了优化,相关问题已整改。”
此外,记者注意到,捷信消金也于日前更新了捷信金融APP隐私政策。
“窘境”背后的数据治理现状
屡屡被监管通报、要求整改,折射出金融类APP发展中的数据治理“窘境”。接受记者采访的业内人士称,金融机构旗下APP屡屡侵犯个人隐私,主要原因在于银行等金融机构在收集客户个人信息时责任意识的缺失及数字化转型下银行对繁杂数据处理能力的不足。
邮储银行研究员娄飞鹏认为,银行等金融机构在收集客户个人信息时,存在诸多问题,比如对个人明确告知工作不到位,违规使用个人信息,可能存在信息收集过多,没有有效做好信息保护等问题。
业内人士告诉记者,金融数据具有巨大的价值潜力,得益于数字技术的助力,银行等金融机构能快速聚集海量的客户数据,但以银行为代表的金融机构与金融消费者存在信息权利不对等的现象,后者处于弱势地位。
“为了增加信息优势,银行等金融机构存在过度收集数据和违规使用客户数据等现象,后者作为数据主体因信息不对称,证据不充分,较难维权;同时,即便被告知APP收集信息隐私政策/协议,个人数据主体通常不阅读繁琐条款,即便阅读也难以完全理解法律风险。”曾在某股份行信息科技中心从事开发业务的人士对记者说。
这背后体现的是银行数据治理能力的不足。业内人士分析称,在数字化转型过程中,银行等金融收集了海量客户数据,涉及业务场景较多,业务流程的数据存量极大,如何重新规范以提高利用率成为治理的堵点,导致现有银行数据治理探索存在关键数据标准研制流程不畅、标准化意识缺失、管理职责不到位等问题。
究其根本,是因为银行等金融机构业务数据散落于各个条线的业务系统,各部门之间缺乏联动,由于历史遗留问题,数据采集和存储都未采用标准化的形式,对于历史悠久的银行来说,新旧数据标签不一致的问题更为复杂,中小银行因资金实力有限,难以自建信息技术体系,这都导致银行等金融机构的数据质量不高。
前述开发人士进一步说,银行自身数据治理体系的不完善,还会给第三方技术或数据服务机构留下对客户数据进行价值挖掘、过度利用的口子,而这也是像毕方一样的银行客户受到第三方机构电信骚扰的背后原因。记者尝试联系多家贷款中介,从业者告诉记者,不少贷款中介通过大数据手段获取商业银行收集的客户信息,也有的称银行系统中“有漏洞可找”,收集到客户数据后,再一个个打电话“碰”客户。
“数据清洗、数据分析能力不足,底层数据失真后影响后期数据价值发现,或者数据管理部门员工对数据治理重要性认识不足,导致数据准确性不高或数据治理成效难达预期。”前述人士进一步说道。
数据治理重要性日益凸显
近日,金融监管总局就《银行保险机构数据安全管理办法》公开征求意见,拟规定健全数据安全技术保护体系。要求银行保险机构建立针对大数据、云计算、移动互联网、物联网等多元异构环境下的数据安全技术保护体系,建立数据安全技术架构,明确数据保护策略方法,采取技术手段保障数据安全。
央行在《金融科技发展规划2022~2025》也提出,要深刻认识数据要素重要价值,制定企业级数据规划和发展战略,明确数据工作机制、基本目标、主要任务、实施路径等,推动数据工作高效有序开展。
在监管的要求下,保护个人隐私及提升银行等金融机构的数据治理的重要性越发凸显。
“银行应该及时更新App版本确保个人信息采集合规。”博通咨询金融行业资深分析师王蓬博认为,未来隐私合规监管将会更加规范化、科技化,监管应该加大银行APP的抽查力度,用户则应保持对银行App使用的敏感性,及时筛查自己使用的App是否存在过度索取个人信息的行为。
对于银行而言,银行业资深观察人士苏筱芮认为,应从数据的采集、存储、加工、传输、披露等环节规范用户个人信息管理,例如采集前需征求用户同意,必要时应采取去标识化原则等,通过制度及流程的梳理来加强内部管控,遵循“用户授权、最小够用、专事专用、全程防护”原则,对于其中的不规范信息管理行为及时纠偏。
这背后离不开数据体系的建设,有股份行信息科技部相关人士称,要从数据、技术和管理三个方面出发,打造全域数据分析体系,落实数据清洗、采集、传输、存储、使用、交换、清理、销毁等全生命周期的元数据标准,解决数据孤岛的问题;同时,引进隐私计算通过将数据方、计算方和结果方进行分离,实现数据在流通和融合过程中的“可用不可见”。
“最后,聚焦人才驱动,加大复合型人才培养引进力度,提高自身在数字化转型经营管理决策方面的科学性。”前述人士称。