数款APP未完成整改遭点名,工信部:29日前不改将被处置(2)

　　今年2月,广东省通信管理局通报被责令限期整改的215款APP中,金融理财类有12款。而在此次通报中,有7款前期通报整改但未整改或整改不彻底的APP,包括小赢科技摇钱花、顺丰金融、中邮钱包、万联e万通等4款金融类APP。
　　2020年12月,国家计算机病毒应急处理中心在“净网2020”专项行动中,通过互联网监测发现,兴业银行、内蒙古农信、内蒙古银行、海峡银行、鄂尔多斯银行等6家银行的APP因“未向用户明示申请的全部隐私权限,涉嫌隐私不合规”而被点名。
　　“不是只有金融领域,不仅仅是金融类APP,在整个互联网行业,都经常有金融类、生活服务类、游戏娱乐类APP涉嫌违规采集甚至交易用户个人信息的风险事件发生。从2019年开始,监管部门针对用户个人信息安全屡出重拳,从定规矩、颁法令到落地执行,这也是从法规到执行层面逐步完善过程的必经阶段。”一家业内知名反欺诈科技公司的资深安全产品经理告诉证券时报记者。
　　在他看来,相比其他信息,“用户的金融要素信息,如身份证号、手机号、账户信息、财产信息等,不仅涉敏,而且往往和个人金融安全高度相关,如果被别有用心的不法分子盗用来作为交易资源的话,它的‘商业价值’是最高的,也因此会被重点关注。”
　　涉敏金融信息有哪些?
　　北京大学数字金融研究中心副主任黄卓告诉证券时报记者,关于数据使用的边界,不光是中国数字金融发展的问题,也是全世界都非常关注的重要问题。相对来说,在发达国家或者欧美市场,相关立法和政策规定相对完善一点。但是,在大数据的使用中,把数据作为资产进行交易,涉及到的数据所有权、采集合规、利益分配等问题,是全世界正在探索中却尚无定论的问题。
　　在业内人士看来,金融行业APP关于信息使用的安全规范并非一朝一夕之事,需监管方、各类APP应用商店运营者、APP运营方及机构多方参与治理。但也要看到,监管层对于个人信息安全的保护力度正在不断加强,尤其是个人金融信息保护领域,经历过去两年的金融科技大数据公司整顿风暴之后,相关信息保护法规正在完善。
　　此前,央行就对移动金融APP安全问题发文,从提升安全防护、加强个人金融信息保护、提高风险监测能力、健全投诉处理机制、强化行业自律等五个方面进行了管理规范,并对备受关注的个人金融信息保护划定了四大红线。
　　央行在发布《商业银行法(修改建议稿)》并公开征求意见时,新增了“客户权益保护”章节,对商业银行营销、信息披露、风险分级与适当性管理、个人信息保护、收费管理等客户保护规范作出了具体规定。比如,“商业银行不得收集与业务无关的个人信息或者采取不正当方式收集个人信息,不得篡改、倒卖、违法使用个人信息。”同时,“商业银行应当保障个人信息安全,防止个人信息泄露和滥用。商业银行将个人信息处理外包给第三方的,应当确保第三方遵守个人信息保护规定,并采取有效措施保障个人信息安全。”
　　对于个人金融信息的保护,在《个人信息保护法》草案的通用性规定之外,2019年年底施行的《中国人民银行金融消费者权益保护实施办法》,以及去年初出台的《个人金融信息保护技术规范》都规定了个人金融信息保护的特殊之处。
　　“个人金融信息保护技术规范的扩大适用,除了持牌金融机构,对于‘涉及个人金融信息处理的相关机构’,比如金融机构委托处理个人信息的科技公司也需要受到规制。”中国银行法学研究会理事肖飒介绍,C3类别+C2类别信息均为敏感信息。
　　这之中,C3类别信息主要为用户鉴别信息,包括银行卡芯片有效信息、卡片有效期、银行卡密码、网银交易密码、查询密码、交易密码、登录密码、个人生物识别信息;所谓C2类别信息则主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息,以及用于金融产品与服务的关键信息,包括支付账号、手机号、证件类识别信息、登录用户名、动态口令、短信验证码、密码提示问题、个人财产信息、借贷信息、交易信息、KYC过程中留存的照片、音频视频、家庭住址等。