国家计算机病毒应急处理中心近日发布通报称,经检测发现67款移动应用存在一项或多项违法违规收集使用个人信息情况,其中涉及部分商业银行。银行在移动客户端首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则,未在征得用户同意后才开始收集个人信息,未提供有效的更正、删除个人信息及注销用户账号功能等。
一款旨在便民利民、提高服务质效的手机银行客户端,为何会存在侵害金融消费者合法权益的安全隐患?这背后折射出一个亟待解决且至关重要的问题:在发展数字金融的过程中,如何便捷、安全两手抓?
从目前通报的情况看,“个人信息安全与保护”失职、失责成为重灾区。金融数据具有高价值、高敏感性等特征,金融数据安全,尤其是个人信息数据安全是金融消费者的核心权益之一。如果个人信息被过度获取,一旦遭遇信息外泄或非法交易,金融消费者轻则被营销电话骚扰,重则莫名其妙背负债务,甚至沦为不法分子非法获利的工具。
消除银行客户端安全隐患、走好数字金融的便捷与安全之路,要抓住“做好个人信息保护”这个关键,压实各方责任,优化服务细节,在维护金融消费者合法权益的同时增强消费者的体验感与获得感。
一方面,压实金融机构的主体责任。近年来,随着新技术、新业态不断涌现,数据合作与共享日益频繁,但在合作共享的同时,应如何厘清各方责任,尤其是金融机构与第三方机构的责任?为此,国家金融监督管理总局发布的《银行保险机构数据安全管理办法》明确提出,银行保险机构应当建立数据安全责任制,党委(党组)、董(理)事会对本单位数据安全工作负主体责任。具体到落实层面,应守土有责,按照“谁管业务、谁管业务数据、谁管数据安全”原则,明确各层级责任并落实问责处置机制。值得注意的是,如果涉及委托第三方处理个人信息,银行保险机构应在合同或协议条款内明确受托人对个人信息的保护义务、保护措施和期限等,与第三方传输个人敏感数据必须确保安全,防范数据滥用和泄露风险。
另一方面,紧盯并优化服务细节,不可打着“安全”旗号而放弃便民初衷。随着相关监管要求日益明确且严格,部分“一刀切”懒政现象也浮出水面——只要金融消费者不点击并同意处理个人信息,就不提供金融服务,不作为总不会出现安全问题吧?针对这类懒政现象,《办法》明确要求,银行保险机构不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务,处理个人信息属于提供产品或者服务所必需的除外。
金融机构不可“躺平”保安全,而要按照“明确告知、授权同意”的原则,合法合规、认真负责地处理个人信息。在处理个人信息前,金融机构应当真实、准确、完整地向个人告知其个人信息的处理目的、处理方式、处理的个人信息种类、保存期限等;在业务流程设计方面,金融机构应当将个人信息保护理念贯穿始终,避免过度收集个人信息,从根源上杜绝侵害金融消费者的可能性。(作者:郭子源 来源:经济日报)
(责任编辑:符仲明)