银行APP合规持续强监管,龙江银行、乌海银行、海峡银行因违法违规收集使用个人信息被通报
蓝鲸新闻6月20日讯(记者 金磊)6月18日,国家网络安全通报中心发布消息称,经国家计算机病毒应急处理中心检测,发现64款移动应用存在违法违规收集使用个人信息的情况。
随着银行业数字化转型的深入,手机银行APP已成为重要的业务承载渠道。然而,金融APP业务范围变得越来越广,给金融业带来了一系列安全合规风险挑战,个人信息保护问题也日益凸显。
龙江银行、乌海银行、海峡银行三家被通报
在这64款被通报的移动应用中,其中包括了龙江银行、乌海银行、海峡银行这3家银行,分别是《乌海银行》(版本5.0.1,华为应用市场)、《海峡银行》(版本4.0.0,VIVO应用商店)、《龙江银行》(版本2.00.03,9663安卓网)。
从具体原因来看,龙江银行APP存在隐私政策未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等;个人信息处理者向其他个人信息处理者提供其处理的个人信息的,未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意;未向用户提供撤回同意收集个人信息的途径、方式;个人信息处理者未提供便捷的撤回同意的方式,共计三项问题。
海峡银行、乌海银行也存在个人信息处理者向其他个人信息处理者提供其处理的个人信息的,未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意,这一条是三家被通报银行共同的问题。
此外,乌海银行移动应用还存在未提供有效的更正、删除个人信息及注销用户账号功能;虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内完成核查和处理。
三家银行皆为地方性中小银行
手机银行APP作为银行线上服务的主阵地,为用户办理业务提供了诸多便利,不过随着使用的普及,相关隐私合规问题也不断暴露。而通常来说,被通报的都是地方性的中小银行居多。
龙江银行是在原大庆市商业银行、齐齐哈尔市商业银行、牡丹江市商业银行和七台河市城市信用社的基础上合并重组而设立的股份有限公司,2009年12月25日正式挂牌对外营业。总部位于黑龙江省哈尔滨市,在省内设有13个分行。
截至2024年年末,龙江银行总资产为3696.57亿元,2024年该行实现营业收入44.32亿元,同比增加7.96%,实现净利润7.78亿元,同比增加12.19%。同期该行的存款余额有3127.38亿元,但各项贷款总额仅有1570.6亿元,存贷比仅为50%左右。
公开资料显示,乌海银行的前身是乌海市商业银行,成立于2006年9月5日,是由乌海市城市信用社改制设立的我区第三家地方性股份制商业银行,2010年1月,经银监会批准,更名为乌海银行。截至2024年3月末,该行资产总额336.81亿元,存款余额287.64亿元。
资料显示,福建海峡银行前身为福州城市合作银行,于1996年12月成立,是在福州市原14家城市信用社和城市信用联社的基础上,由福州市及其下辖区财政、企业法人和个人以发起设立的方式共同参股组建。
最新的年报显示,2024年,海峡银行实现营业收入50.34亿元,利润总额为11.76亿元。截至2024年末,该行资产总额达2,838.71亿元,各项存款余额1,746.33亿元
目前海峡银行处于上市辅导阶段,在辅导工作进展报告(第五期)披露了福建海峡银行目前仍存在的主要问题,其中就包括了合规问题。一是需持续提升股份确权比例,较之于上市银行的股份确权比例,福建海峡银行仍有提升空间;二是需进一步完善公司治理结构、强化内部控制制度执行和规范意识,较之于上市公司内控管理水平,福建海峡银行的内控规范程度尚待进一步完善。
类似的隐私合规问题屡禁不止
去年3月,国家金融监管总局发布《银行保险机构数据安全管理办法(征求意见稿)》,要求银行保险机构按照“明确告知、授权同意”原则处理个人信息,收集个人信息应限于最小范围,不得过度收集。截至目前,不少银行已更新手机银行隐私政策。
据蓝鲸新闻不完全统计,2024年以来已有超20家银行因移动应用隐私不合规问题被通报,包括乐山商业银行、昆山农商银行、苏州农商银行、江苏长江商业银行、湖北银行、湖北农信等等,违规的银行机构主要聚集在中小银行中。
就原因来看,几乎都与隐私信息搜集相关,例如APP未向用户明示未经用户同意,且无合理的使用场景,存在频繁自启动或关联启动的行为;隐私政策难以访问、未声明APP运营者的基本情况、未声明隐私政策时效;处理敏感个人信息未取得个人的单独同意等等。
今年2月,《乐山商业银行》(版本3.31.6,应用宝)也是因为上述三家银行都涉及的个人信息处理者向其他个人信息处理者提供其处理的个人信息的,未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意的原因被国家计算机病毒应急处理中心通报。
在被通报后,乐山市商业银行很快便发布公告称,“在国家计算机病毒应急处理中心指导下,现已修订完善相关条款并更新,同时对手机银行客户端程序进行了优化。上述提示对我行手机银行App安全性没有损害,客户的资金安全、交易安全、信息安全不受影响。”
有业内人士表示,打比方用户在手机银行APP申请线上贷款业务,通常情况会需要搜集借款人的信息,但有时候扩大通讯录权限会搜集到亲戚朋友的联系方式,那么类似的信息就是违法收集的过度信息。又比如有业务需求比如身份验证需要调用手机摄像头,但实际却调用到其他数据,那也是非必要信息搜集。
作为用户,必须认真阅读其用户协议和隐私政策说明,不随意开放和同意不必要的隐私权限,不随意输入个人隐私信息,定期维护和清理相关数据,避免个人隐私信息被泄露。