夜雨聆风银行数据安全这道坎,已经迈了好几年了,各家机构都有各自的合规短板。有的卡在“撤回同意”机制上,有的栽在第三方信息共享上,在监管体系内暴露出不同层面的风控缺失。不过整改之路并非一帆风顺,隐私政策缺失、注销功能虚设、未成年人信息保护不足纷纷浮出水面,有业内人士表示:中小银行问题尤为集中。
监管层一直持续施压,其它的专项通报,管理办法等动作也密集落地。这无疑是用户希望看见的,越多的违规应用被点名曝光,信息安全就能多几分保障。然而治理没那么容易,难度超乎一般人的想象。
首先是技术能力的问题,合规需要具备深厚的安全架构功底和丰富的隐私工程经验,需要掌握数据加密、访问控制等多个领域的专业知识。资源有限使得中小银行在整改过程中需要投入大量的人力、物力和财力。
其次治理的周期较长,可能需要数年的时间才能真正见效,合规对银行来说需要消耗大量的精力和成本,同时也需要承担较高的业务调整代价。
另外违规的风险不确定,需要机构在运营过程中对数据流向进行准确的梳理和管控。如果侥幸绕过了这些技术门槛,还有可能面临更大的雷区,那就是法律追责。一旦打造了优异的用户画像模型,其数据就有可能被第三方插件偷偷拿走,从而酿成信息泄露。
基于这些痛点,农发企业银行、泰康新生活小程序、湖北银行纷纷中招,在用户权益上有不同的侵害。
先来看武汉农商行。
武汉农商行旗下的微信小程序是一个拥有多项违规记录的重灾区,该小程序上线于移动金融快速扩张期,承担业务推广所需的数据采集。该小程序的问题覆盖了权限调用和未成年人信息保护等各个环节。
武汉农商行主要问题包括未征得同意系列违规、撤回机制缺失系列漏洞、未满14周岁信息处理系列不合规等。该行在个人信息收集方面的风控非常薄弱,已经成为了监管通报的重要对象之一。
但是技术短板阻碍该行进入合规正轨,自有的客户端不能有效管理权限。只能转为借助第三方,或者找服务商采购现成方案,比如应用宝为常熟农商行提供的分发渠道。
再看常熟农商行的困境。
常熟农商行是继国有大行之后,被视为最有可能实现零售转型的标杆,因为它的APP产品做到了自动化决策水准,定位精准营销。
这是该行第一款移动端产品,在应用宝发布,此后又在应用宝推出了关联产品——兴福村镇银行APP,这款应用是控股子公司的。常熟农商行在应用宝的两款产品中,可以看出技术底子不俗,能设计出个性化推送的银行并不多,而做出非可选拒绝选项的也没几个。
市场还在期待该行推出第三款合规升级的版本,然而它做了一个致命动作,放任旗下子公司的隐私政策缺失。这意味整改到此为止了,后续不会再推出更多的优化措施,维持多年的用户信任也会因此崩塌。
还有江苏农商行的毛病。
相比常熟系的激进,武汉农商行和江苏农商行走得会稳重一些,但取得的成效未必符合用户的期待。问题可以追溯到APP功能设计初期,彼时该行发布了首款移动端产品江苏农商行APP,是旗舰应用。
但是这款应用的注销功能不尽人意,再加上账号管理研发难度较大,该行转战后端系统研发。在vivo应用商店推出第二款版本7.0.1,应用于日常业务。
此后还推出了小程序和公众号等,但面向的领域都是存量客户的维护,距离真正的合规还有很长的路要走。
有从业人员表示:注销难顽疾难除,尽管多家机构都参与了专项整改,但还是没能改变行业积弊。
因为在应用生态上,安卓端的产品几乎都是第三方渠道分发的,苹果端是官方的,小程序端是微信和支付宝的,再加上大厂占据商店流量主导地位,银行想要将其完全掌控非常困难。
银行是用户数据的起源地,采集较早,又有大量的业务场景支撑,把数据流转的路给堵死了,其它外部插件想要使用采集的权限,然后窃取信息,除了要绕过银行的安全协议,也不是单靠破坏就能完成的。
不过政策在推动,现状不是放弃的理由,希望机构能重视整改,加大投入,真正筑牢个人信息防护的底线。
