当我们的日常生活越来越离不开手机时,如何防范手机里的信息被不合理使用,显得异常重要。
2019年12月份,国家网络安全通报中心通报有100款违法违规采集个人信息的APP被查处,其中多款金融类APP赫然在列。当月30日,国家网信办、工信部、公安部、国家市场监管总局联合发布《APP违法违规收集使用个人信息行为认定方法》(以下简称《认定方法》),明确了六大违规行为。
《证券日报》记者注意到,《认定方法》发布后,在上述100款被点名的APP中,一些金融类APP陆续更新隐私条约,收敛信息采集范围或开始新增用户服务提示,在收集和使用用户信息方面更加规范。
一位银行业人士对《证券日报》记者表示,监管部门和金融机构应该联合制定一套严格规范的流程和制度,专门针对APP软件的安全问题进行管控,包括从软件的开发、使用到维护等全部生命周期的覆盖,确保系统平稳运行。同时,对泄露个人信息的人员应进行严厉处罚,对相应的金融科技公司也要有更加完善的考核机制。
被点名金融类APP
已陆续更新隐私条款
近年来,随着互联网和新技术的不断发展,科技已深入生活的方方面面。但是在带给人们便捷的同时,也潜在很多风险。在大数据时代,个人信息的安全尤为重要。
《证券日报》记者对上述100款APP中的金融类APP进行查询后发现,《认定方法》发布后,部分银行类APP迅速予以回应。
例如,在《认定方法》发布的第二天,被点名的某银行APP发布的最新手机银行用户隐私政策已经非常详实,对银行将如何收集个人信息,收集信息的范围有哪些,将如何使用用户个人信息,如何使用Cookie和同类技术,如何共享、转让、公开披露个人信息,如何保护、存储个人信息等与银行收集与使用个人信息的方方面面进行了非常细致的描述。并对在办理业务时,每一类业务将要涉及到收集的信息内容以加粗字体的形式着重显示。与此前的隐私政策相比,在手机用户信息的收集范围上明显缩减。
另一个被点名的某地方性银行,近期进行了多次“更新”。在苹果APP Store中,该行曾在1个月前被点名时发布新版本,更新客户隐私协议内容;在3周前,新增APP隐私政策授权提示;今年1月2日,也就是《认定方法》发布的3天后,更新版本新增用户服务协议提示。此外,该行的APP用户隐私政策也对如何收集及使用,转让和公开披露,存储和保护、管理个人信息以及保护未成年人信息等进行了详细描述。
总体来看,此次被“点名”的银行都在APP上更新或发布了手机银行用户隐私政策。同时,还有多个在线贷款类APP,也在被点名后更新了用户隐私政策。但相对于银行因各种业务会涉及需求不同的信息,在线贷款类APP隐私政策的更新相对更简单。
金融类APP
成信息泄露重灾区
在各类APP过度收集使用用户信息的通报中,包括银行在内的金融类APP都是常客,其中不乏大型银行和互联网金融行业的头部公司。
中国金融智库研究员、高级互联网金融经济师赵永新对《证券日报》记者表示,“金融类APP不同于其他APP,此类APP涉及到个人信息的采集通常更为全面和严格,因此金融类APP也是信息泄露的重灾区。”
很多相关案例可能就发生在自己身边,接受《证券日报》记者采访的用户田先生就遭遇了信息泄露的困扰:“我刚注册完知名的理财APP,没过两天就有房产销售给我打电话。我问他们如何知道我的信息,他们说是随机播打的,我怀疑我的信息已被APP平台泄露了。”
田先生表示:“现在很多金融服务都可以在线上完成,带来了极大的方便。在线上办理业务会要求个人录入信息,甚至包括面部识别和指纹。一旦这些信息被泄露,拿去做不法的事情,那后果真是不敢想象。”
中国信息通信研究院日前发布的《2019金融行业移动APP安全观测报告》显示,截至2019年9月11日,该报告团队从232个安卓应用市场中收录了133327款金融行业APP,其中,面向个人用户的消费金融类APP数量最多,占观测总数的36.74%。根据上述报告,发现有70.22%的金融行业APP存在高危漏洞,攻击者可利用这些漏洞窃取用户数据、进行APP仿冒、植入恶意程序、攻击服务等,对APP安全具有严重威胁。其中排名前三的高危漏洞均存在导致APP数据泄露的风险。
区块链技术
可解决个人信息被盗问题
清华大学客座教授李记有对《证券日报》记者表示,要防止银行信息不被泄露,还需要技术与监管双管齐下。既然有信息的买方,就会有不法分子为此盗取信息。无论是技术上的保障,还是从业人员的监管,都必须配套更完善的措施。
央行科技司司长李伟在2019年12月份表示,2019年底对金融类APP开展标准测评和认证后,注意到几部委开展的对APP风险的整治,其中银行类APP是风险重灾区,所以将加快推进有关工作,切实防范化解风险。李伟同时宣布成立国家金融科技测评中心,致力于开展金融科技应用测评、风险监测以及监管科技与合规科技建设。
李伟称,目前央行正积极推动现金、机具等方面强制性国家标准出台,抓紧研究涉及人工智能、区块链、大数据、云计算等领域17项行业标准。他特别提到,今年9月央行发布的《移动金融客户端应用软件安全管理规范》,就是一个推荐性的标准,从风险防控、信息保护、实名备案、监督处置等方面,提出了针对性的要求。
宝新金融首席经济学家郑磊博士对《证券日报》记者表示:“区块链技术或许可以解决目前金融类APP信息泄露的问题。不过,一旦技术落地,如何限制使用或有偿使用,需要设计者另外确定一套商业规则。就目前来看,还有待发展。”
郑磊表示,区块链技术可以很好地解决个人信息被盗问题,因为这是区块链的主要功能之一,也就是确定权属关系。“比如,信息所有权是谁?这个信息是带有时间戳的,不能随意篡改,每次使用都有记录。”
通过给数据和信息确权,不仅可以防范个人信息泄露这样的安全事件,也使信息数据变成了个人财产。当这些数据被用于经济活动,比如交易、消费者画像等,会产生价值,这个价值在区块链确权后就归属于明确的产权人,不能被商家随意占有。即使目前还未有相关的应用平台出现,但相信未来会被不断发展和应用。“信息确权对数字经济时代来说,是一个革命性的功能。”郑磊表示。(见习记者 余俊毅)