银行APP迎来备案运营新阶段。

5月19日,中国互联网金融协会公示首批拟备案的移动金融客户端应用软件名单,包括工商银行、民生银行、平安银行、招商银行、中国银行等多家银行APP入选。

一位股份制银行IT部门主管透露,为了跻身首批拟备案的银行APP行列,他所在的银行按照《移动金融客户端应用软件安全管理规范》(下称《规范》)相关要求,一方面终止众多第三方风控机构的数据采购合作,严格遵循合法、正当、必要的原则收集使用个人金融信息;另一方面在APP大量金融服务页面明示个人信息的收集使用目的与范畴,不再以默认、捆绑等手段变相要求用户授权。此外,银行还持续加强完善内部风控机制,制定更规范的数据加密、访问控制、安全传输、签名认证等措施,防止其他部门“违规”使用个人信息。“所幸中国互联网金融协会对此相当认可,很快通过了APP合规操作的验收。”

值得注意的是,此前被国家网络安全通报中心点名存在超范围采集个人信息等情形的光大银行、天津银行等银行机构APP,此次并未入选首批拟备案名单。

一位知情人士透露,当前这些银行正对APP收集使用个人信息流程加强规范操作,未来择机申请备案。

“当前众多银行都意识到,只有完成备案,APP才能稳步开展业务;否则银行一旦遭遇个人数据保护不健全或违规采集使用个人信息等质疑,就将面临处罚或业务叫停风险。”他指出。

在苏宁金融研究院研究员孙扬看来,随着越来越多金融机构APP申请备案运营,此前金融APP无需竞争、缺乏治理的局面将被打破。与此对应的是,金融机构APP如何在确实保障个人信息采集使用规范与金融服务便利化之间找到平衡点,俨然是一大挑战。

多管齐下完成备案验收

去年9月,多家银行APP一度深陷超范围收集使用个人信息的舆论漩涡。

当时国家网络安全通报中心称,集中查处整改了100款违法违规APP及其运营的互联网企业,其中包括光大银行、天津银行等金融机构旗下手机银行,主要违规问题集中在缺乏隐私协议、收集使用个人信息范围描述不清、超范围采集个人信息和非必要采集个人信息等情形。

上述股份制银行IT部门主管坦言,一些银行APP的确存在超范围采集使用个人信息等状况,比如当用户贷款逾期后,银行贷后管理部门会根据APP端用户留存的手机号进行电话催收;有时银行理财部门会根据用户在APP端提交的个人金融信息,不定期发短信推荐购买各类金融理财产品,但此举被不少客户视为“骚扰行为”。

因此央行相关部门随即发布《移动金融客户端应用软件安全管理规范》,要求金融机构采取有效措施加强客户端软件的个人金融信息保护,去年底中国互联网金融协会则根据央行发布的《关于发布金融行业标准 加强移动金融客户端软件安全管理的通知》,启动了移动金融APP实名备案工作。

前述这位股份制银行IT部门主管表示,为了跻身首批备案行列,银行内部在规范个人信息保护方面做了大量改进工作,一是对个人敏感信息的访问及使用严格遵循“最小必须原则”及“权责对应原则”,银行内部员工只能获得其开展业务所需模块的操作及访问权限;二是将所有用户终端数据集中部署到银行核心区域,封禁非法拷贝、下载、存储、外设连接等操作,实现个人敏感信息不在操作终端落地,杜绝不同部门员工“违规”获取个人敏感信息开展业务;三是对离职、转岗等员工及时变更访问权限,避免他们接触到不必要的个人敏感信息,并用于新的业务或公司;四是核查所有第三方大数据风控机构合作方的个人信息获取收集来源,一旦发现存在不合规操作现象,立刻终止相关大数据合作。

“在验收期间,中国互联网金融协会人士提出一些完善意见。”他告诉记者,比如他们相当重视银行APP是否存在默认、捆绑等手段要求用户授权等行为,因此他所在的银行又修改了APP相关理财产品在线购买业务相关流程,在页面醒目位置明示银行采集使用个人信息的范畴与目的。

在他看来,只要银行APP确实做到客户个人信息保护与规范采集使用,要通过备案验收并非难事。

“现在我们遇到的最大难题,是如何在APP金融服务操作便利化与规范个人信息合规使用方面找到平衡点。”他指出。

艰难的平衡

“前些天银行业务部门与合规部门又吵了一架。”一位城商行零售部门人士向记者表示。具体而言,业务部门认为APP众多金融服务页面都要跳出“个人信息采集使用范畴与目的”等相关条款,导致客户在线办理金融服务的流程更加繁琐,会影响用户体验;合规部门则一再强调若撤销上述步骤,银行APP很可能会因为收集使用个人信息范围描述不清而面临新的处罚。

“在当前金融严监管的环境下,目前业务部门最终只能做出妥协。”他表示。

显然,银行要找到这个平衡点,难度不小。越来越多银行正尝试借助智能金融科技找到两全其美的解决方案。

上述股份制银行IT部门主管透露,目前他们对客户在线认购APP理财产品的操作流程做了一些优化。若用户已填写了个人风险承受能力评估表格,当他在银行APP端购买一款理财产品时,后台会通过大数据与智能技术自动“识别”他是否适合投资相关理财产品,若理财产品契合用户风险承受能力,银行APP将快速办理相关理财产品认购手续,反之银行APP页面则提示用户投资偏好与这类理财产品“不符”,用户是否重新输入个人相关信息调整自己的风险承受能力。“此举的最大好处,就是节省了用户反复输入个人相关信息评估个人承受能力的烦恼,当然这些敏感信息也不会因此泄露或挪作其他用途,触发银行超范围使用个人信息风险。”

而且,个别银行正借助智能大数据技术,对用户以往的投资理财行为与投资偏好进行分析,主动推荐符合用户理财诉求的相关金融产品,避免用户在银行APP留下大量“浏览”或“业务咨询”数据信息,在不知情的情况下被其他部门员工采集使用。

“不过,尽管智能大数据技术能优化一些APP在线金融服务的办理效率并提升客户体验,但在多数情况下,银行仍需要在醒目位置明示个人信息采集使用目的与范畴,避免自身陷入违规操作风险。”上述城商行零售部门人士坦言。

推荐内容