當前,金融行業移動App安全問題引發業內關注,有行業報告評測超13萬個金融App,但發現有70.22%存在高危漏洞,其中網際網路第三方支付和信託類App的高危漏洞問題較為突出,保險、投資理財等分類的App高危漏洞問題也相對嚴重。不過,“魔高一尺道高一丈”,儘管金融類App問題此消彼長,但針對App違規整治也在逐步加深,11月4日,工信部宣佈啟動App侵害使用者權益專項整治工作,專項整治時間為即日起至2019年12月20日。有業內人士稱,多種跡象顯示,互金類App已成為當前個人資訊洩露的重災區,但在監管加大打壓力度下,互金類App野蠻發展時代或將落幕。
超七成金融App存高危漏洞 資料易洩露
近年來,隨著智慧手機和移動網際網路的快速發展,移動 App 已深入應用至福斯生活。一方面,金融類機構通過移動App展業,使用者在App上進行投融資、借貸、交易支付等活動愈加頻繁,另一方面,移動 App 在給福斯生活帶來巨大便利的同時,相應安全隱患也隨之而來。
據中國資訊通訊研究院近日的釋出《2019年金融行業移動App安全觀測報告》,截至2019年9月11日,中國信通院從232個安卓應用市場中收錄了超13萬款金融行業App,觀測發現,70.22%的金融行業App存在高危漏洞,攻擊者可利用這些漏洞竊取使用者資料、進行App仿冒、植入惡意程式、攻擊服務等,對 App安全具有嚴重威脅,其中部分高危漏洞甚至存在導致App資料洩露的風險。從App分類角度來看,網際網路第三方支付和信託類App 的高危漏洞問題較為突出,保險、投資理財等分類的App高危漏洞問題也相對嚴重。
“各種跡象顯示,互金類App已經成為個人資訊洩露的重災區。“中國民生銀行研究院研究員、看懂研究院專家郭曉蓓在接受北京商報記者採訪時直言,近年來,儘管中國針對金融類App出臺了多項規定,但隨著獲客、運營、風險等成本的水漲船高,仍有多數金融借貸App在收集個人資訊時並未遵循最少夠用原則,存在違規收集使用借款人個人資訊,強制或直接預設讀取通訊錄等情況。
郭曉蓓進一步指出,“部分平臺、借款人、催收公司、媒體、流量方的‘暗箱操作’,滋生了互金行業殼公司及內外勾結騙貸問題、惡意逃廢債、暴力催收、敲詐勒索及黑市交易等亂象,這些亂象行為並非法外之地,儘管懲治互金亂象已具備一定的法制建設基礎,但法制的不完善及巨大的利益引誘,仍驅使部分參與方遊走在違法邊緣。“
對此,中國銀行法學研究會理事肖颯同樣指出,互金類App違法違規情況突出,一方面是自身利益驅使,最為常見的是通過收集個人資訊,進行大資料處理,進而在手機上推送相關訊息影響使用者,雖然轉化過程較為緩慢,不過獲利可觀;另一方面則是相關法規規範配套不完善,雖然目前個人資訊保護不是法律空白領域,但法規數量明顯不夠,尤其是沒有形成層級保護,刑法的保護固然強大,但並不是侵犯到個人資訊的行為都適用刑法,相關的行政法規配套不完善,對於企業的懲罰力度不夠也是原因之一。
超40餘家互金企業被點名整改 違規收集個人資訊成重災區
值得關注的是,當前,對於涉金融類互金App違法違規問題,工信部、公安廳、App專項治理工作組等多方已屢次亮劍。
據北京商報記者不完全統計,僅在今年下半年,已有超40餘家互金企業因App違法違規被點名整改。具體情況為:7月8日,工信部點名18家網際網路企業存在未公示使用者個人資訊收集使用規則、未告知查詢更正資訊的渠道、未提供賬號登出服務等問題,其中互金App包括暴風金融、51人品貸、融360、麥芽貸、九秒貸、布丁小貸、水象分期等。
此外,7月11日、16日, App專項治理工作組相繼兩次通報,共70款App違規收集個人資訊。北京商報記者注意到,其中違規涉金融類互金App數量佔比近三成,被點名的機構包括趣店、快貸、旺信、趣店旗下來分期、閃電借款、及貸、借花花貸款、省唄、小花錢包、小贏卡貸、宜人貸借款、同花順等20餘家。
而至8月、9月,廣東省公安廳也相繼曝光App違規行為,包括小牛線上、急用錢借錢、白鯨信用貸款、嘉聯支付旗下立刷App、鑫匯寶貴金屬、口袋貴金屬等互金類App被點名;此外,9月15日,國家計算機病毒中心釋出移動App違法違規問題及治理舉措。其中,涉金融類應用方面分期寶等數款下載量很高的應用均名列其中。
值得注意的是,針對違規企業App整治懲罰,監管仍在加碼。11月4日,工信部宣佈啟動App侵害使用者權益專項整治工作,從現在開始針對當前使用者反映強烈的一些侵害使用者權益問題開展為期兩個月的整治工作。
工信部稱,將重點針對違規收集個人資訊、違規使用個人資訊、不合理索取使用者許可權、為使用者登出賬號設定障礙四個方面開展規範工作,對私自收集個人資訊、超範圍收集個人資訊、私自共享給第三方使用者資訊、強制使用者使用定向推送功能、不給許可權不讓用、頻繁申請許可權、過度索取許可權、為使用者賬號登出設定障礙八類問題進行整治。
據了解,本次整治主要面向App服務提供者和App分發服務提供者(應用商店),主要專項整治工作分企業自查自糾階段(自通知印發之日起至11月10日),監督抽查階段(2019年11月11日至11月30日)和結果處置階段(2019年12月1日至12月20日)。工信部對存在問題的App將統一進行通報,具體措施包括責令整改、向社會公告、組織App下架、停止App接入服務,以及將受到行政處罰的違規主體納入電信業務經營不良名單或失信名單等。
企業整改進行時 需做好事前合規準備
從工信部專項整治時間要求來看,留給機構整改的時間已然不多。對於整改進展,北京商報相繼採訪了前述被點名的多數互金App,部分平臺回覆稱目前已按相關規定上線了新版本,還有平臺則稱將按監管要求按時整改。
整改期間,互金類機構應注意哪些問題?國家網際網路金融安全技術專家委員會(以下簡稱”專委會“)在接受北京商報記者採訪時指出,金融類APP在採集個人資料方面,應當注意資料獲取的最小化、必要性原則,專委會目前正在考慮利用區塊鏈技術研發個人資料安全共享平臺,通過使用者自主控制個人資料的授權使用,企業在使用者授權下、部門監管下Sunny使用個人資料,減少互金類APP重複採集、過度採集、多頭儲存個人資料的成本和風險,保護使用者作為個人資料主體的合法權益,促進個人資料的合規流動。
杭州電子科技大學教授徐偉棟同樣指出,金融App的合規化其實目標很明確,就是從金融產品、風控與貸後的需求出發,尋找“最小”、 “必要”的資訊項,然後提交客戶端開發出相應的提取資訊功能,而不是以前的、客戶端一股腦把能拿到的資訊都塞到後端入庫,再看哪個資訊可以用來加工變數。網際網路金融經過最近四五年的發展,風控已比較成熟,應該不難實現這樣的轉變。
肖颯告訴北京商報記者,機構首先要做好事前的企業合規準備,避免App有法律風險,同時在運營中,如果遇到法律問題要及時處理,不能置之不理。她進一步稱,大資料是一條重要的監管紅線,企業盈利固然重要,但也要在安全的環境下。目前金融行業移動App或多或少都存在一些收集個人資訊的問題,但野蠻生長的時代很快就要落幕,企業應該儘早排查,避免法律風險。