强监管宣告互金App野蛮发展时代落幕
点击蓝字关注我们
当前,金融行业移动App安全问题引发业内关注,有行业报告评测超13万个金融App,但发现有70.22%存在高危漏洞,其中互联网第三方支付和信托类App的高危漏洞问题较为突出,保险、投资理财等分类的App高危漏洞问题也相对严重。不过,“魔高一尺道高一丈”,尽管金融类App问题此消彼长,但针对App违规整治也在逐步加深,11月4日,工信部宣布启动App侵害用户权益专项整治工作,专项整治时间为即日起至2019年12月20日。有业内人士称,多种迹象显示,互金类App已成为当前个人信息泄露的重灾区,但在监管加大打压力度下,互金类App野蛮发展时代或将落幕。
超七成金融App存高危漏洞 数据易泄露
近年来,随着智能手机和移动互联网的快速发展,移动 App 已深入应用至大众生活。一方面,金融类机构通过移动App展业,用户在App上进行投融资、借贷、交易支付等活动愈加频繁,另一方面,移动 App 在给大众生活带来巨大便利的同时,相应安全隐患也随之而来。
据中国信息通信研究院近日的发布《2019年金融行业移动App安全观测报告》,截至2019年9月11日,中国信通院从232个安卓应用市场中收录了超13万款金融行业App,观测发现,70.22%的金融行业App存在高危漏洞,攻击者可利用这些漏洞窃取用户数据、进行App仿冒、植入恶意程序、攻击服务等,对 App安全具有严重威胁,其中部分高危漏洞甚至存在导致App数据泄露的风险。从App分类角度来看,互联网第三方支付和信托类App 的高危漏洞问题较为突出,保险、投资理财等分类的App高危漏洞问题也相对严重。
“各种迹象显示,互金类App已经成为个人信息泄露的重灾区。“中国民生银行研究院研究员、看懂研究院专家郭晓蓓在接受北京商报记者采访时直言,近年来,尽管我国针对金融类App出台了多项规定,但随着获客、运营、风险等成本的水涨船高,仍有多数金融借贷App在收集个人信息时并未遵循最少够用原则,存在违规收集使用借款人个人信息,强制或直接默认读取通信录等情况。
郭晓蓓进一步指出,“部分平台、借款人、催收公司、媒体、流量方的‘暗箱操作’,滋生了互金行业壳公司及内外勾结骗贷问题、恶意逃废债、暴力催收、敲诈勒索及黑市交易等乱象,这些乱象行为并非法外之地,尽管惩治互金乱象已具备一定的法制建设基础,但法制的不完善及巨大的利益引诱,仍驱使部分参与方游走在违法边缘。“
对此,中国银行法学研究会理事肖飒同样指出,互金类App违法违规情况突出,一方面是自身利益驱使,最为常见的是通过收集个人信息,进行大数据处理,进而在手机上推送相关消息影响用户,虽然转化过程较为缓慢,不过获利可观;另一方面则是相关法规规范配套不完善,虽然目前个人信息保护不是法律空白领域,但法规数量明显不够,尤其是没有形成层级保护,刑法的保护固然强大,但并不是侵犯到个人信息的行为都适用刑法,相关的行政法规配套不完善,对于企业的惩罚力度不够也是原因之一。
超40余家互金企业被点名整改 违规收集个人信息成重灾区
值得关注的是,当前,对于涉金融类互金App违法违规问题,工信部、公安厅、App专项治理工作组等多方已屡次亮剑。
据北京商报记者不完全统计,仅在今年下半年,已有超40余家互金企业因App违法违规被点名整改。具体情况为:7月8日,工信部点名18家互联网企业存在未公示用户个人信息收集使用规则、未告知查询更正信息的渠道、未提供账号注销服务等问题,其中互金App包括暴风金融、51人品贷、融360、麦芽贷、九秒贷、布丁小贷、水象分期等。
此外,7月11日、16日, App专项治理工作组相继两次通报,共70款App违规收集个人信息。北京商报记者注意到,其中违规涉金融类互金App数量占比近三成,被点名的机构包括趣店、快贷、旺信、趣店旗下来分期、闪电借款、及贷、借花花贷款、省呗、小花钱包、小赢卡贷、宜人贷借款、同花顺等20余家。
而至8月、9月,广东省公安厅也相继曝光App违规行为,包括小牛在线、急用钱借钱、白鲸信用贷款、嘉联支付旗下立刷App、鑫汇宝贵金属、口袋贵金属等互金类App被点名;此外,9月15日,国家计算机病毒中心发布移动App违法违规问题及治理举措。其中,涉金融类应用方面分期宝等数款下载量很高的应用均名列其中。
值得注意的是,针对违规企业App整治惩罚,监管仍在加码。11月4日,工信部宣布启动App侵害用户权益专项整治工作,从现在开始针对当前用户反映强烈的一些侵害用户权益问题开展为期两个月的整治工作。
工信部称,将重点针对违规收集个人信息、违规使用个人信息、不合理索取用户权限、为用户注销账号设置障碍四个方面开展规范工作,对私自收集个人信息、超范围收集个人信息、私自共享给第三方用户信息、强制用户使用定向推送功能、不给权限不让用、频繁申请权限、过度索取权限、为用户账号注销设置障碍八类问题进行整治。
据了解,本次整治主要面向App服务提供者和App分发服务提供者(应用商店),主要专项整治工作分企业自查自纠阶段(自通知印发之日起至11月10日),监督抽查阶段(2019年11月11日至11月30日)和结果处置阶段(2019年12月1日至12月20日)。工信部对存在问题的App将统一进行通报,具体措施包括责令整改、向社会公告、组织App下架、停止App接入服务,以及将受到行政处罚的违规主体纳入电信业务经营不良名单或失信名单等。
企业整改进行时 需做好事前合规准备
从工信部专项整治时间要求来看,留给机构整改的时间已然不多。对于整改进展,北京商报相继采访了前述被点名的多数互金App,部分平台回复称目前已按相关规定上线了新版本,还有平台则称将按监管要求按时整改。
整改期间,互金类机构应注意哪些问题?国家互联网金融安全技术专家委员会(以下简称”专委会“)在接受北京商报记者采访时指出,金融类APP在采集个人数据方面,应当注意数据获取的最小化、必要性原则,专委会目前正在考虑利用区块链技术研发个人数据安全共享平台,通过用户自主控制个人数据的授权使用,企业在用户授权下、部门监管下阳光使用个人数据,减少互金类APP重复采集、过度采集、多头存储个人数据的成本和风险,保护用户作为个人数据主体的合法权益,促进个人数据的合规流动。
杭州电子科技大学教授徐伟栋同样指出,金融App的合规化其实目标很明确,就是从金融产品、风控与贷后的需求出发,寻找“最小”、 “必要”的信息项,然后提交客户端开发出相应的提取信息功能,而不是以前的、客户端一股脑把能拿到的信息都塞到后端入库,再看哪个信息可以用来加工变量。互联网金融经过最近四五年的发展,风控已比较成熟,应该不难实现这样的转变。
肖飒告诉北京商报记者,机构首先要做好事前的企业合规准备,避免App有法律风险,同时在运营中,如果遇到法律问题要及时处理,不能置之不理。她进一步称,大数据是一条重要的监管红线,企业盈利固然重要,但也要在安全的环境下。目前金融行业移动App或多或少都存在一些收集个人信息的问题,但野蛮生长的时代很快就要落幕,企业应该尽早排查,避免法律风险。
精彩回顾: