銀行APP數據治理難,誰來守護客戶的隱私?
最近,因置換房子但資金不足,家住上海市閔行區的畢方(化名)向一家股份制銀行申請辦理住房貸款,在手機銀行APP端完成該項操作,沒想到,很快他又接到不少自稱是貸款中介和銀行機構的推銷的電話。“短信、電話都有,一天好幾條。”畢方說,即便反映給貸款銀行,這個問題也未被解決。
像畢方一樣通過手機銀行APP辦理業務,導致個人信息泄露的情況不在少數,屢屢發生的現象引起監管的關注。近日,國家計算機病毒應急處理中心通報兩款金融類APP的違規行爲,分別是天津農商銀行APP及捷信金融APP。
業內人士認爲,信息化、數字化、智能化給金融消費者帶來便利的同時,個人信息被侵害的現象屢屢發生。銀行等金融機構數據治理面臨着諸多難題,成爲銀行業金融科技發展的掣肘。建議銀行要建立標準化的數據結構、引進隱私計算等技術、培養複合型人才以應對挑戰。
金融類APP“窘境”
近日,國家計算機病毒應急處理中心通報兩款金融類APP的違規行爲,分別是天津農商銀行APP及捷信金融APP。
通報提及,天津農商銀行APP的違規行爲涉及兩個原因:一是隱私政策未逐一列出收集使用個人信息的目的、方式、範圍等,涉嫌隱私不合規;二是頻繁自啓動和關聯啓動。
捷信金融APP被通報的原因是,個人信息處理者處理不滿十四周歲未成年人個人信息的,未制定專門的個人信息處理規則,涉嫌隱私不合規。
隨着金融行業數字化轉型升級提速,金融數據安全問題也逐漸暴露,個人信息被侵害的情況屢屢發生,金融類APP是存在隱私不合規行爲的“重災區”。
從近年來的違規案例來看,侵害金融消費者權益主要涉及:違規收集個人信息,APP強制、頻繁、過度索取權限,未明示個人信息處理規則等方面。包括交通銀行、浙江泰隆商業銀行、重慶銀行、吉林銀行、山西銀行、晉商銀行等多家銀行APP均曾被監管點名通報。
記者打開多家商業銀行的手機APP,均會在首次打開時出現彈窗申請,詢問是否同意手機銀行APP用戶隱私政策條款,收集的個人信息包括:姓名、出生日期、身份證號碼、通訊聯繫方式、住址、賬戶信息、財產狀況、銀行賬號、徵信信息、交易信息等等。
同時,在某些特定使用場景下,還將由第三方服務商收集用戶的必要信息,若拒絕授予權限,則無法使用相關功能。
若記者選擇“不同意隱私政策”,多數軟件則彈窗“須同意該行隱私政策,才能使用軟件中的產品和服務”,否則,只有退出這一選項。
被監管通報後,金融機構纔會對違規行爲“打補丁”。針對被點名一事,天津農商行迴應稱,“已修訂完善了用戶隱私條款並更新,對手機銀行客戶端程序進行了優化,相關問題已整改。”
此外,記者注意到,捷信消金也於日前更新了捷信金融APP隱私政策。
“窘境”背後的數據治理現狀
屢屢被監管通報、要求整改,折射出金融類APP發展中的數據治理“窘境”。接受記者採訪的業內人士稱,金融機構旗下APP屢屢侵犯個人隱私,主要原因在於銀行等金融機構在收集客戶個人信息時責任意識的缺失及數字化轉型下銀行對繁雜數據處理能力的不足。
郵儲銀行研究員婁飛鵬認爲,銀行等金融機構在收集客戶個人信息時,存在諸多問題,比如對個人明確告知工作不到位,違規使用個人信息,可能存在信息收集過多,沒有有效做好信息保護等問題。
業內人士告訴記者,金融數據具有巨大的價值潛力,得益於數字技術的助力,銀行等金融機構能快速聚集海量的客戶數據,但以銀行爲代表的金融機構與金融消費者存在信息權利不對等的現象,後者處於弱勢地位。
“爲了增加信息優勢,銀行等金融機構存在過度收集數據和違規使用客戶數據等現象,後者作爲數據主體因信息不對稱,證據不充分,較難維權;同時,即便被告知APP收集信息隱私政策/協議,個人數據主體通常不閱讀繁瑣條款,即便閱讀也難以完全理解法律風險。”曾在某股份行信息科技中心從事開發業務的人士對記者說。
這背後體現的是銀行數據治理能力的不足。業內人士分析稱,在數字化轉型過程中,銀行等金融收集了海量客戶數據,涉及業務場景較多,業務流程的數據存量極大,如何重新規範以提高利用率成爲治理的堵點,導致現有銀行數據治理探索存在關鍵數據標準研製流程不暢、標準化意識缺失、管理職責不到位等問題。
究其根本,是因爲銀行等金融機構業務數據散落於各個條線的業務系統,各部門之間缺乏聯動,由於歷史遺留問題,數據採集和存儲都未採用標準化的形式,對於歷史悠久的銀行來說,新舊數據標籤不一致的問題更爲複雜,中小銀行因資金實力有限,難以自建信息技術體系,這都導致銀行等金融機構的數據質量不高。
前述開發人士進一步說,銀行自身數據治理體系的不完善,還會給第三方技術或數據服務機構留下對客戶數據進行價值挖掘、過度利用的口子,而這也是像畢方一樣的銀行客戶受到第三方機構電信騷擾的背後原因。記者嘗試聯繫多家貸款中介,從業者告訴記者,不少貸款中介通過大數據手段獲取商業銀行收集的客戶信息,也有的稱銀行系統中“有漏洞可找”,收集到客戶數據後,再一個個打電話“碰”客戶。
“數據清洗、數據分析能力不足,底層數據失真後影響後期數據價值發現,或者數據管理部門員工對數據治理重要性認識不足,導致數據準確性不高或數據治理成效難達預期。”前述人士進一步說道。
數據治理重要性日益凸顯
近日,金融監管總局就《銀行保險機構數據安全管理辦法》公開徵求意見,擬規定健全數據安全技術保護體系。要求銀行保險機構建立針對大數據、雲計算、移動互聯網、物聯網等多元異構環境下的數據安全技術保護體系,建立數據安全技術架構,明確數據保護策略方法,採取技術手段保障數據安全。
央行在《金融科技發展規劃2022~2025》也提出,要深刻認識數據要素重要價值,制定企業級數據規劃和發展戰略,明確數據工作機制、基本目標、主要任務、實施路徑等,推動數據工作高效有序開展。
在監管的要求下,保護個人隱私及提升銀行等金融機構的數據治理的重要性越發凸顯。
“銀行應該及時更新App版本確保個人信息採集合規。”博通諮詢金融行業資深分析師王蓬博認爲,未來隱私合規監管將會更加規範化、科技化,監管應該加大銀行APP的抽查力度,用戶則應保持對銀行App使用的敏感性,及時篩查自己使用的App是否存在過度索取個人信息的行爲。
對於銀行而言,銀行業資深觀察人士蘇筱芮認爲,應從數據的採集、存儲、加工、傳輸、披露等環節規範用戶個人信息管理,例如採集前需徵求用戶同意,必要時應採取去標識化原則等,通過制度及流程的梳理來加強內部管控,遵循“用戶授權、最小夠用、專事專用、全程防護”原則,對於其中的不規範信息管理行爲及時糾偏。
這背後離不開數據體系的建設,有股份行信息科技部相關人士稱,要從數據、技術和管理三個方面出發,打造全域數據分析體系,落實數據清洗、採集、傳輸、存儲、使用、交換、清理、銷燬等全生命週期的元數據標準,解決數據孤島的問題;同時,引進隱私計算通過將數據方、計算方和結果方進行分離,實現數據在流通和融合過程中的“可用不可見”。
“最後,聚焦人才驅動,加大複合型人才培養引進力度,提高自身在數字化轉型經營管理決策方面的科學性。”前述人士稱。