6銀行App遭點名拷問隱私邊界 金融數據治理正走在一個十字路口

金融數據治理正走在一個十字路口。

一方面，互聯網使得銀行等金融機構對個人和小微企業展業，App等成為銀行“大零售”轉型載體。另一方面，數據治理的邊界在哪里，也正在拷問業內。

近期，多家銀行App被密集點名，解開了銀行以App為代表的數據治理的冰山一角。

1月13日，國家計算機病毒應急處理中心點名25款應用，其中22款“未向用戶明示申請的全部隱私權限，涉嫌隱私不合規”。在金融領域有6款應用被點名，民生銀行、興業銀行兩家股份制銀行，以及內蒙古三家銀行和海峽銀行。

在被點名后，21世紀經濟報道記者實測發現，興業銀行、內蒙古銀行和鄂爾多斯銀行于1月13日當日立刻更新其用戶隱私政策。民生銀行也于翌日更新其隱私政策。

不過，在合規之外，如何解決數據治理的邊界，正在拷問業內人士。

一位華南資深銀行業內人士表示，未來的數據隱私保護要求越來越高。問題在于，如果說數據形成一個個孤島，又沒有辦法去開展政府、企業間的合作。“既不可能把所有人的數據放在一起，又要把跨機構的數據層面的合作跑起來，同時也能夠兼顧到隱私保護的要求。”該人士表示，這不僅需要金融機構在合規性方面有所動作，更要在金融科技領域能夠處理這一問題。

銀行迅即更新隱私政策

“對于數據隱私的保護部分，很重要的就是用戶的授權。但是授權管理我覺得還是有一點比較粗放的。”一位金融科技人士表示，并非到某一個網站、手機App打鉤，后臺數據庫有一個數據就表示授權完成了。

興業銀行表示，其收集的個人信息包括：證件類型、證件號碼、銀行卡號、手機號等。此外，該行用戶隱私保護條款顯示，該行會使用證件類型、證件號碼、手機號、設備型號、操作系統、唯一設備標識符、登錄IP地址、操作日志、位置信息、面部圖像(視頻)、聲音用于風險防范和詐騙監測等。收集用戶手機銀行的頻率、總體使用情況、性能數據以便改善使用體驗。

民生銀行的隱私政策披露，會收集用戶在使用服務過程中產生的相關信息，以判斷賬戶風險以及控制信貸風險、保障正常提供服務、對于系統問題進行分析、統計流量，并在發送異常信息時予以排查。

1月15日，對此，興業銀行回應21世紀經濟報道記者查詢時表示，經緊急核查，確認該問題為手機銀行安卓客戶端(5.0.4版本)為強化互動功能，便于客戶通過客戶端一鍵撥打業務咨詢電話與客戶經理交流溝通，在系統安裝時向手機操作系統申請了與“撥打電話”相關的權限。客戶在向客戶經理撥打電話前，手機銀行客戶端還會再次向客戶詢問是否允許“撥打電話”，并未通過該功能額外獲取任何用戶隱私信息。

興業銀行表示，已經第一時間與國家計算機病毒應急處理中心聯系，在其指導下現已修訂完善了用戶隱私條款并更新，并對手機銀行客戶端App程序進行了優化。

15日晚，民生銀行再次回應稱，經第一時間溝通排查，確認是手機銀行(5.12版)存在部分隱私條款有待補充完善之處。為嚴格落實監管機構關于客戶隱私保護的要求，手機銀行最新版本(5.2版)更新了隱私政策，進一步完善了攝像頭、位置等客戶信息相關內容，明確了設備權限使用場景以及獲取客戶信息范圍和使用目的。

數據治理首個罰單

除App被點名，銀行業內出現首個因數據治理被處罰的案例。

1月9日，銀保監會披露的罰單信息顯示，安徽鳳陽農商銀行被罰25萬元，被罰原因為“未能根據要求有效開展數據治理工作，數據治理存在嚴重缺陷，嚴重違反審慎經營規則”。

此前，關于“銀行數據治理”的罰單很少見，且均為上報監管數據不合規所致。例如，河南省方城縣農村信用合作聯社去年12月被罰70萬元，原因是違反《關于印發銀行業金融機構數據治理指引的通知》等規定，信貸資產質量不真實;未按規定報送非現場監管報表，經責令整改后，仍出現錯報;以貸收息、以貸收貸。

安徽鳳陽農商銀行是目前所見第一單因數據治理被處罰的銀行，但尚不清楚該行被處罰的具體原因。

此前2019年10月，一些大數據公司被曝出存在“違規爬蟲”，銀行與第三方大數據公司、金融科技類公司合作也引起廣泛關注。部分銀行也開始自查數據治理問題。

“我們首先是斷掉一些可能涉嫌不合規的數據接口，并自查大數據來源。”一位股份行人士指出，目前機構對一些非持牌的大數據公司合作比較謹慎。

銀行數據一般分為內部數據治理及外部數據治理。內部數據治理問題涉及到客戶隱私泄漏、過度營銷等。外部數據治理問題涉及到信息采集的不合理、不合法，如非法爬蟲等。

監管正在對數據治理進行規范，2018年5月，銀保監會發布《銀行業金融機構數據治理指引》，從數據治理架構、數據管理、數據質量控制、數據價值實現、監督管理等方面規范銀行業金融機構的數據管理活動。這標志著銀保監會首次將數據治理提高到銀行常規管理的戰略高度。

去年12月26日，銀保監會發布《現場檢查辦法(試行)》，銀行業和保險業機構應當按照銀保監會及其派出機構要求，加強數據治理，按照監管數據標準要求，完成檢查分析系統所需數據整理、報送等工作，保證相關數據的全面、真實、準確、規范和及時。銀保監會及其派出機構應當加強對銀行業和保險業機構信息科技外包服務等工作的監督檢查。

監管沙盒強化數據合規性

值得注意的是，金融科技監管沙盒試點已經注意到這一問題。

1月14日，中國人民銀行營業管理部披露2020年第一批金融科技創新監管試點應用，6個應用擬納入金融科技創新監管試點，并向社會公開征求意見。

21世紀經濟報道記者注意到，金融科技監管沙盒均有提及數據隱私的合規性評估、技術安全評估和風險提示。

例如，工商銀行試點“基于物聯網的物品溯源認證管理與供應鏈金融”，基于物聯網技術采集產品的生產制造、質檢、庫存、物流、銷售等全生命周期特征數據，不可篡改地記錄在區塊鏈上，并接入物聯網服務平臺及企業智能管理系統(ECSP)。

該項目由于涉及企業內部供應鏈數據，工行在合法合規性評估中指出，該項目采集的涉及企業核心生產經營信息不向第三方提供，數據存儲和保護機制可防范相關信息被竊取、篡改、破壞等惡意行為的發生，符合國家關于用戶數據隱私保護等相關法律法規。在技術安全性評估方面，相關NFC芯片加密技術符合標簽安全等級EAL4。

此外，銀聯、小米數科、京東數科合作的試點項目“手機POS創新應用”，其合法合規性評估也指出，手機POS在數據收集和使用方面的設計方案可防范收單過程中支付數據和用戶敏感信息被竊取、篡改、破壞等惡意行為的發生，符合國家關于用戶數據隱私保護、持卡人權益保護等相關法律法規。

關鍵詞： 金融 App