12月17日訊(記者 金磊)12月17日,中國互聯(lián)網(wǎng)金融協(xié)會(huì)通報(bào)了違規(guī)移動(dòng)金融App的自律檢查情況。
通報(bào)顯示,今年9月,協(xié)會(huì)組織對(duì)10款A(yù)pp開展了非現(xiàn)場檢查,發(fā)現(xiàn)了一些問題和風(fēng)險(xiǎn)。相關(guān)App運(yùn)營機(jī)構(gòu)高度重視,及時(shí)研究制定整改措施,并積極組織落實(shí)。從通報(bào)情況看,其中涉及多家銀行運(yùn)營的APP。
從涉及銀行的APP整改進(jìn)展來看,截至12月16日,本溪銀行、黑龍江農(nóng)信、黃河銀行已完成整改,寧夏銀行、哈密市商業(yè)銀行基本完成整改,僅韓亞銀行一家仍在整改中。
協(xié)會(huì)要求,請(qǐng)尚未完成整改的App運(yùn)營機(jī)構(gòu)盡快按照要求完成整改。
協(xié)會(huì)還表示將常態(tài)化開展App自律檢查工作,聚焦個(gè)人信息保護(hù)、安全防護(hù)、數(shù)據(jù)安全等方面的突出問題,通過定期檢查、專項(xiàng)檢查等方式,進(jìn)一步提升行業(yè)安全合規(guī)水平。
問題清單涵蓋三大領(lǐng)域
隨著銀行業(yè)數(shù)字化轉(zhuǎn)型的深入,手機(jī)銀行APP已成為重要的業(yè)務(wù)承載渠道。然而,金融APP業(yè)務(wù)范圍變得越來越廣,給金融業(yè)帶來了一系列安全合規(guī)風(fēng)險(xiǎn)挑戰(zhàn)。
從《自律檢查發(fā)現(xiàn)問題清單》來看,問題分類一共涵蓋了三塊,包括個(gè)人信息保護(hù)、安全防護(hù)以及數(shù)據(jù)安全。
注意到,安全防護(hù)中的身份認(rèn)證安全問題存在較多問題,主要表現(xiàn)為App已登錄狀態(tài)下姓名、銀行卡號(hào)未屏蔽展示,App在輸入密碼時(shí)未提供即時(shí)防護(hù)功能。
根據(jù)《移動(dòng)金融客戶端應(yīng)用軟件安全管理規(guī)范》中安全輸入基本要求:客戶端應(yīng)用軟件應(yīng)提供客戶輸入銀行卡支付密碼和網(wǎng)絡(luò)支付支付密碼的即時(shí)防護(hù)功能,客戶端應(yīng)提供以下安全控制措施,或其他經(jīng)攻擊測試無法獲取明文的安全防護(hù)措施。a)采取替換輸入框原文;b)逐字符加密、字符加密;c)防范鍵盤竊聽;d)采用自定義軟鍵盤。
此外,處于已登錄狀態(tài)時(shí),對(duì)于銀行卡號(hào)、客戶法定名稱、手機(jī)號(hào)碼、證件類或其他識(shí)別標(biāo)識(shí)信息等可以直接或組合后確定信息主體的信息應(yīng)進(jìn)行屏蔽展示,或由用戶選擇是否屏蔽展示,如需完整展示,應(yīng)履行客戶端身份驗(yàn)證,并做好此類信息管理,防范此類信息泄露風(fēng)險(xiǎn)。
在個(gè)人信息保護(hù)也是重災(zāi)區(qū),包括未經(jīng)用戶同意收集使用個(gè)人信息、違反必要原則,收集與其提供的服務(wù)無關(guān)的個(gè)人信息、未按法律規(guī)定提供刪除或更正個(gè)人信息功能或未公布投訴、舉報(bào)方式等信息等問題。
移動(dòng)金融APP合規(guī)持續(xù)強(qiáng)監(jiān)管
去年3月,國家金融監(jiān)管總局發(fā)布《銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)安全管理辦法(征求意見稿)》,要求銀行保險(xiǎn)機(jī)構(gòu)按照"明確告知、授權(quán)同意"原則處理個(gè)人信息,收集個(gè)人信息應(yīng)限于最小范圍,不得過度收集。截至目前,不少銀行已更新手機(jī)銀行隱私政策。
據(jù)不完全統(tǒng)計(jì),2024年以來已有超20家銀行因移動(dòng)應(yīng)用隱私不合規(guī)問題被國家計(jì)算機(jī)病毒應(yīng)急處理中心通報(bào),包括樂山商業(yè)銀行、昆山農(nóng)商銀行、蘇州農(nóng)商銀行、江蘇長江商業(yè)銀行、湖北銀行、湖北農(nóng)信等等,違規(guī)的銀行機(jī)構(gòu)主要聚集在中小銀行中。
就原因來看,幾乎都與個(gè)人信息保護(hù)搜集相關(guān),例如APP未向用戶明示未經(jīng)用戶同意,且無合理的使用場景,存在頻繁自啟動(dòng)或關(guān)聯(lián)啟動(dòng)的行為;隱私政策難以訪問、未聲明APP運(yùn)營者的基本情況、未聲明隱私政策時(shí)效;處理敏感個(gè)人信息未取得個(gè)人的單獨(dú)同意等等。
對(duì)于金融機(jī)構(gòu)而言,需高度重視移動(dòng)金融APP的合規(guī)工作,建立起系統(tǒng)化的移動(dòng)金融應(yīng)用合規(guī)管理架構(gòu),認(rèn)真落實(shí)風(fēng)控合規(guī),從源頭為用戶的財(cái)產(chǎn)安全與信息安全保駕護(hù)航。
作為用戶,必須認(rèn)真閱讀其用戶協(xié)議和隱私政策說明,不隨意開放和同意不必要的隱私權(quán)限,不隨意輸入個(gè)人隱私信息,定期維護(hù)和清理相關(guān)數(shù)據(jù),避免個(gè)人隱私信息被泄露。
京公網(wǎng)安備 11011402013531號(hào)