金融類APP再遭點名。據廣東省公安廳近日公告,全省公安機關開展超范圍收集用戶信息APP清理整治專項行動,包括銀行在內的多個金融類APP因超范圍收集用戶信息被點名。至此,今年金融類APP已因違規收集用戶信息被多次點名。

業內人士告訴《中國經營報》記者,金融類APP收集用戶信息的原因是為了做好用戶畫像,做到精準營銷,拓展交叉業務增加收益;另外也是為了用于金融風控,把控損失。

隱私安全“重災區”

具體來說,近期因APP超范圍收集信息被監管點名的機構涉及銀行、券商、網貸平臺等。其存在的問題包括超范圍讀取用戶聯系人通訊錄信息、獲取用戶設備上已知賬號列表、允許應用隨時使用麥克風進行錄音等。

記者注意到,APP專項治理工作組曾在今年7月份發布公告稱,某國有銀行等多個金融類APP違反《網絡安全法》,責令整改。

記者經21聚投訴查閱發現,多個金融類APP因盜用用戶信息被投訴。另外,據中國消費者協會發布的《100款APP個人信息收集與隱私政策測評報告》顯示,金融理財類APP在10大分類中評分排名最低,隱私保護性最差。舉例來說,上述報告顯示,10款測評金融理財類APP中,8款在隱私條款中未告知用戶收集個人信息的類型。

某國有銀行人士告訴記者,大數據背景下,數據就是資源,機構獲取信息可以用來做精準營銷,拓展交叉業務,增加客戶黏性。

目前,機構企業都希望能獲得更多的信息來對客戶進行準確分析,進而找到更多服務空間。一位股份制銀行人士告訴記者,用戶在銀行APP進行操作后,其操作記錄、消費地點等數據會被保留,這些數據是日后該用戶申請借貸等業務的依據之一。

北京賽博英杰科技有限公司董事長、奇虎360原副總裁譚曉生告訴記者:“做好金融風控也是金融機構收集用戶信息的目的之一。舉例來說,收集用戶的地理位置信息,就會知曉該用戶的行走軌跡。而用戶在什么樣區域生活,是否經常去高檔餐廳,就可作為該用戶收入判斷因素之一。而對用戶通訊錄手機號碼的收集,結合其他數據,可以判斷用戶朋友的信用度,從而進一步判斷該用戶的信用程度?!?/p>

譚曉生告訴記者,金融機構收集用戶信息,要基于監管要求及一定的業務邏輯,但也要獲得用戶同意?!坝行┙鹑跈C構并未告知就收集用戶信息,是不可取的?!?/p>

值得注意的是,某些金融類APP違規搜集用戶信息并不是機構本身的問題。據騰訊手機管家今年發布的《金融理財APP仿冒與隱私獲取數據報告》(以下簡稱“報告”)顯示,當前金融理財APP存在較多病毒感染、惡意仿冒、竊取隱私現象。而感染了木馬病毒的金融理財類軟件中,41.77%會盜取用戶隱私信息。

譚曉生告訴記者,實際上,金融類APP被他人重新打包、捆綁或置入代碼是較常見的,因為金融類APP是一種被大量使用的APP,受眾較多,涉及的信息量也較大。

某央行人士告訴記者,實際上銀行機構的APP加固和整體測試的要求是非常高的,金融類APP被感染也要看底層框架的問題,并非所有問題都是銀行機構的責任。

嚴監管加碼

今年以來,針對金融類APP亂象,監管力度不斷加碼。2019年年初,APP違法違規收集使用個人信息專項治理工作組(以下簡稱“APP專項治理工作組”)成立,具體負責推動APP違法違規收集使用個人信息評估工作。之后,該機構多次點名金融類APP等違規收集用戶信息現象,并責令整改。

6月份,全國信息安全標準化技術委員會推出《網絡安全實踐指南——移動互聯網應用基本業務功能必要信息規范》(以下簡稱《規范》),明確規定了金融借貸類APP基本業務功能收集的必要信息僅包括“手機號碼”“賬號信息”“身份信息”“銀行賬戶信息”“個人征信信息”等7項內容。

上述《規范》同時要求,應允許用戶在金融借貸應用中手動輸入緊急聯系人信息,而不應強制讀取用戶的通訊錄等。

上述央行人士告訴記者:“目前,國家對公眾隱私安全愈發重視,相關法律也在推進,就銀行業來說,前一段時間,網信辦針對該問題對相關違規銀行進行了約談。一些銀行內部的法務部已開始對用戶隱私條款相關進行完善,用戶信息安全得到更好的保護。信息安全進一步發展會分化出傳統的安全部門和數據安全部門。目前,有一些機構就已設置了專門的數據安全部門,負責用戶數據的使用等。”

譚曉生表示:“在監管趨嚴的情況下,金融機構違規獲取用戶信息的現象相對減少。同時,為了獲取用戶畫像等,其與第三方數據機構的合作有所加強。實際上,不同的數據分析機構有不同的情報員、不同的算法。金融機構往往會選擇從多家數據機構購買情報信息,在這種情況下,用戶畫像等可能會更為準確,進而可以幫助金融機構規避風險,減少損失。”