來源:證券日報
當我們的日常生活越來越離不開手機時,如何防範手機里的信息被不合理使用,顯得異常重要。
2019年12月份,國家網絡安全通報中心通報有100款違法違規採集個人信息的APP被查處,其中多款金融類APP赫然在列。當月30日,國家網信辦、工信部、公安部、國家市場監管總局聯合發布《APP違法違規收集使用個人信息行為認定方法》(以下簡稱《認定方法》),明確了六大違規行為。
《證券日報》記者注意到,《認定方法》發布後,在上述100款被點名的APP中,一些金融類APP陸續更新隱私條約,收斂信息採集範圍或開始新增用戶服務提示,在收集和使用用戶信息方面更加規範。
一位銀行業人士對《證券日報》記者表示,監管部門和金融機構應該聯合制定一套嚴格規範的流程和制度,專門針對APP軟體的安全問題進行管控,包括從軟體的開發、使用到維護等全部生命周期的覆蓋,確保系統平穩運行。同時,對泄露個人信息的人員應進行嚴厲處罰,對相應的金融科技公司也要有更加完善的考核機制。
被點名金融類APP
已陸續更新隱私條款
近年來,隨著網際網路和新技術的不斷發展,科技已深入生活的方方面面。但是在帶給人們便捷的同時,也潛在很多風險。在大數據時代,個人信息的安全尤為重要。
《證券日報》記者對上述100款APP中的金融類APP進行查詢後發現,《認定方法》發布後,部分銀行類APP迅速予以回應。
例如,在《認定方法》發布的第二天,被點名的某銀行APP發布的最新手機銀行用戶隱私政策已經非常詳實,對銀行將如何收集個人信息,收集信息的範圍有哪些,將如何使用用戶個人信息,如何使用Cookie和同類技術,如何共享、轉讓、公開披露個人信息,如何保護、存儲個人信息等與銀行收集與使用個人信息的方方面面進行了非常細緻的描述。並對在辦理業務時,每一類業務將要涉及到收集的信息內容以加粗字體的形式著重顯示。與此前的隱私政策相比,在手機用戶信息的收集範圍上明顯縮減。
另一個被點名的某地方性銀行,近期進行了多次「更新」。在蘋果APP Store中,該行曾在1個月前被點名時發布新版本,更新客戶隱私協議內容;在3周前,新增APP隱私政策授權提示;今年1月2日,也就是《認定方法》發布的3天後,更新版本新增用戶服務協議提示。此外,該行的APP用戶隱私政策也對如何收集及使用,轉讓和公開披露,存儲和保護、管理個人信息以及保護未成年人信息等進行了詳細描述。
總體來看,此次被「點名」的銀行都在APP上更新或發布了手機銀行用戶隱私政策。同時,還有多個在線貸款類APP,也在被點名後更新了用戶隱私政策。但相對於銀行因各種業務會涉及需求不同的信息,在線貸款類APP隱私政策的更新相對更簡單。
金融類APP
成信息泄露重災區
在各類APP過度收集使用用戶信息的通報中,包括銀行在內的金融類APP都是常客,其中不乏大型銀行和網際網路金融行業的頭部公司。
中國金融智庫研究員、高級網際網路金融經濟師趙永新對《證券日報》記者表示,「金融類APP不同於其他APP,此類APP涉及到個人信息的採集通常更為全面和嚴格,因此金融類APP也是信息泄露的重災區。」
很多相關案例可能就發生在自己身邊,接受《證券日報》記者採訪的用戶田先生就遭遇了信息泄露的困擾:「我剛註冊完知名的理財APP,沒過兩天就有房產銷售給我打電話。我問他們如何知道我的信息,他們說是隨機播打的,我懷疑我的信息已被APP平台泄露了。」
田先生表示:「現在很多金融服務都可以在線上完成,帶來了極大的方便。在線上辦理業務會要求個人錄入信息,甚至包括面部識別和指紋。一旦這些信息被泄露,拿去做不法的事情,那後果真是不敢想像。」
中國信息通信研究院日前發布的《2019金融行業移動APP安全觀測報告》顯示,截至2019年9月11日,該報告團隊從232個安卓應用市場中收錄了133327款金融行業APP,其中,面向個人用戶的消費金融類APP數量最多,占觀測總數的36.74%。根據上述報告,發現有70.22%的金融行業APP存在高危漏洞,攻擊者可利用這些漏洞竊取用戶數據、進行APP仿冒、植入惡意程序、攻擊服務等,對APP安全具有嚴重威脅。其中排名前三的高危漏洞均存在導致APP數據泄露的風險。
區塊鏈技術
可解決個人信息被盜問題
清華大學客座教授李記有對《證券日報》記者表示,要防止銀行信息不被泄露,還需要技術與監管雙管齊下。既然有信息的買方,就會有不法分子為此盜取信息。無論是技術上的保障,還是從業人員的監管,都必須配套更完善的措施。
央行科技司司長李偉在2019年12月份表示,2019年底對金融類APP開展標準測評和認證後,注意到幾部委開展的對APP風險的整治,其中銀行類APP是風險重災區,所以將加快推進有關工作,切實防範化解風險。李偉同時宣布成立國家金融科技測評中心,致力於開展金融科技應用測評、風險監測以及監管科技與合規科技建設。
李偉稱,目前央行正積極推動現金、機具等方面強制性國家標準出台,抓緊研究涉及人工智慧、區塊鏈、大數據、雲計算等領域17項行業標準。他特別提到,今年9月央行發布的《移動金融客戶端應用軟體安全管理規範》,就是一個推薦性的標準,從風險防控、信息保護、實名備案、監督處置等方面,提出了針對性的要求。
寶新金融首席經濟學家鄭磊博士對《證券日報》記者表示:「區塊鏈技術或許可以解決目前金融類APP信息泄露的問題。不過,一旦技術落地,如何限制使用或有償使用,需要設計者另外確定一套商業規則。就目前來看,還有待發展。」
鄭磊表示,區塊鏈技術可以很好地解決個人信息被盜問題,因為這是區塊鏈的主要功能之一,也就是確定權屬關係。「比如,信息所有權是誰?這個信息是帶有時間戳的,不能隨意篡改,每次使用都有記錄。」
通過給數據和信息確權,不僅可以防範個人信息泄露這樣的安全事件,也使信息數據變成了個人財產。當這些數據被用於經濟活動,比如交易、消費者畫像等,會產生價值,這個價值在區塊鏈確權後就歸屬於明確的產權人,不能被商家隨意占有。即使目前還未有相關的應用平台出現,但相信未來會被不斷發展和應用。「信息確權對數字經濟時代來說,是一個革命性的功能。」鄭磊表示。見習記者 余俊毅