21世紀經濟報道

訂閱

發行量:2398 

六銀行App遭點名拷問隱私邊界 監管開出罕見數據治理罰單

金融數據治理正走在一個十字路口。一方面,網際網路使得銀行等金融機構對個人和小微企業展業,App等成為銀行「大零售」轉型載體。

2020-01-16 02:33 / 0人閱讀過此篇文章  

金融數據治理正走在一個十字路口。

一方面,網際網路使得銀行等金融機構對個人和小微企業展業,App等成為銀行「大零售」轉型載體。另一方面,數據治理的邊界在哪裡,也正在拷問業內。

近期,多家銀行App被密集點名,解開了銀行以App為代表的數據治理的冰山一角。

1月13日,國家計算機病毒應急處理中心點名25款應用,其中22款「未向用戶明示申請的全部隱私權限,涉嫌隱私不合規」。在金融領域有6款應用被點名,民生銀行、興業銀行兩家股份制銀行,以及內蒙古三家銀行和海峽銀行。

在被點名後,21世紀經濟報導記者實測發現,興業銀行、內蒙古銀行和鄂爾多斯銀行於1月13日當日立刻更新其用戶隱私政策。民生銀行也於翌日更新其隱私政策。

不過,在合規之外,如何解決數據治理的邊界,正在拷問業內人士。

一位華南資深銀行業內人士表示,未來的數據隱私保護要求越來越高。問題在於,如果說數據形成一個個孤島,又沒有辦法去開展政府、企業間的合作。「既不可能把所有人的數據放在一起,又要把跨機構的數據層面的合作跑起來,同時也能夠兼顧到隱私保護的要求。」該人士表示,這不僅需要金融機構在合規性方面有所動作,更要在金融科技領域能夠處理這一問題。

銀行迅即更新隱私政策

「對於數據隱私的保護部分,很重要的就是用戶的授權。但是授權管理我覺得還是有一點比較粗放的。」一位金融科技人士表示,並非到某一個網站、手機App打鉤,後台資料庫有一個數據就表示授權完成了。

興業銀行表示,其收集的個人信息包括:證件類型、證件號碼、銀行卡號、手機號等。此外,該行用戶隱私保護條款顯示,該行會使用證件類型、證件號碼、手機號、設備型號、作業系統、唯一設備標識符、登錄IP位址、操作日誌、位置信息、面部圖像(視頻)、聲音用於風險防範和詐騙監測等。收集用戶手機銀行的頻率、總體使用情況、性能數據以便改善使用體驗。

民生銀行的隱私政策披露,會收集用戶在使用服務過程中產生的相關信息,以判斷帳戶風險以及控制信貸風險、保障正常提供服務、對於系統問題進行分析、統計流量,並在發送異常信息時予以排查。

1月15日,對此,興業銀行回應21世紀經濟報導記者查詢時表示,經緊急核查,確認該問題為手機銀行安卓客戶端(5.0.4版本)為強化互動功能,便於客戶通過客戶端一鍵撥打業務諮詢電話與客戶經理交流溝通,在系統安裝時向手機作業系統申請了與「撥打電話」相關的權限。客戶在向客戶經理撥打電話前,手機銀行客戶端還會再次向客戶詢問是否允許「撥打電話」,並未通過該功能額外獲取任何用戶隱私信息。

興業銀行表示,已經第一時間與國家計算機病毒應急處理中心聯繫,在其指導下現已修訂完善了用戶隱私條款並更新,並對手機銀行客戶端App程序進行了優化。

15日晚,民生銀行再次回應稱,經第一時間溝通排查,確認是手機銀行(5.12版)存在部分隱私條款有待補充完善之處。為嚴格落實監管機構關於客戶隱私保護的要求,手機銀行最新版本(5.2版)更新了隱私政策,進一步完善了攝像頭、位置等客戶信息相關內容,明確了設備權限使用場景以及獲取客戶信息範圍和使用目的。

數據治理首個罰單

除App被點名,銀行業內出現首個因數據治理被處罰的案例。

1月9日,銀保監會披露的罰單信息顯示,安徽鳳陽農商銀行被罰25萬元,被罰原因為「未能根據要求有效開展數據治理工作,數據治理存在嚴重缺陷,嚴重違反審慎經營規則」。

此前,關於「銀行數據治理」的罰單很少見,且均為上報監管數據不合規所致。例如,河南省方城縣農村信用合作聯社去年12月被罰70萬元,原因是違反《關於印發銀行業金融機構數據治理指引的通知》等規定,信貸資產質量不真實;未按規定報送非現場監管報表,經責令整改後,仍出現錯報;以貸收息、以貸收貸。

安徽鳳陽農商銀行是目前所見第一單因數據治理被處罰的銀行,但尚不清楚該行被處罰的具體原因。

此前2019年10月,一些大數據公司被曝出存在「違規爬蟲」,銀行與第三方大數據公司、金融科技類公司合作也引起廣泛關注。部分銀行也開始自查數據治理問題。

「我們首先是斷掉一些可能涉嫌不合規的數據接口,並自查大數據來源。」一位股份行人士指出,目前機構對一些非持牌的大數據公司合作比較謹慎。

銀行數據一般分為內部數據治理及外部數據治理。內部數據治理問題涉及到客戶隱私泄漏、過度營銷等。外部數據治理問題涉及到信息採集的不合理、不合法,如非法爬蟲等。

監管正在對數據治理進行規範,2018年5月,銀保監會發布《銀行業金融機構數據治理指引》,從數據治理架構、數據管理、數據質量控制、數據價值實現、監督管理等方面規範銀行業金融機構的數據管理活動。這標誌著銀保監會首次將數據治理提高到銀行常規管理的戰略高度。

去年12月26日,銀保監會發布《現場檢查辦法(試行)》,銀行業和保險業機構應當按照銀保監會及其派出機構要求,加強數據治理,按照監管數據標準要求,完成檢查分析系統所需數據整理、報送等工作,保證相關數據的全面、真實、準確、規範和及時。銀保監會及其派出機構應當加強對銀行業和保險業機構信息科技外包服務等工作的監督檢查。

監管沙盒強化數據合規性

值得注意的是,金融科技監管沙盒試點已經注意到這一問題。

1月14日,中國人民銀行營業管理部披露2020年第一批金融科技創新監管試點應用,6個應用擬納入金融科技創新監管試點,並向社會公開徵求意見。

21世紀經濟報導記者注意到,金融科技監管沙盒均有提及數據隱私的合規性評估、技術安全評估和風險提示。

例如,工商銀行試點「基於物聯網的物品溯源認證管理與供應鏈金融」,基於物聯網技術採集產品的生產製造、質檢、庫存、物流、銷售等全生命周期特徵數據,不可篡改地記錄在區塊鏈上,並接入物聯網服務平台及企業智能管理系統(ECSP)。

該項目由於涉及企業內部供應鏈數據,工行在合法合規性評估中指出,該項目採集的涉及企業核心生產經營信息不向第三方提供,數據存儲和保護機制可防範相關信息被竊取、篡改、破壞等惡意行為的發生,符合國家關於用戶數據隱私保護等相關法律法規。在技術安全性評估方面,相關NFC晶片加密技術符合標籤安全等級EAL4。

此外,銀聯、小米數科、京東數科合作的試點項目「手機POS創新應用」,其合法合規性評估也指出,手機POS在數據收集和使用方面的設計方案可防範收單過程中支付數據和用戶敏感信息被竊取、篡改、破壞等惡意行為的發生,符合國家關於用戶數據隱私保護、持卡人權益保護等相關法律法規。

更多內容請下載21財經APP





文章標籤: