技术让金融支付业务发生了巨大的变化。移动终端和通讯网络让金融支付机构可以更加便捷和用户沟通、采集用户数据;大数据技术将采集来的数据进行分析,实现业务优化、精准营销。在这个过程中,最重要的资源当属用户个人金融数据,最主要的工具就是手机App。
数据通过手机App采集,业务通过手机App完成,App俨然成为了虚拟的业务柜台。随着数据价值不断的被人发掘,在这个虚拟的业务柜台上,个人金融数据变成了比钱更值钱的、更需要得到保护的“资产”。
监管大趋势已定
10月9日,网传《个人金融信息(数据)保护试行办法(初稿)》已经出炉,央行已经将文件下发至各银行进行征求意见。虽然并没有文件流出,但是没有人怀疑消息的真实性。
原因不仅仅是因为今年4月央行发布的《中国人民银行2019年规章制定工作计划》中明确包括《个人金融信息(数据)保护试行办法》的制定工作,还因为这是一份所有人都在等待的文件。
今年1月,中央网信办、工信部等四部门联合开展了App违法违规收集使用个人信息专项治理行动,着重打击App违法违规使用隐私权限、采集用户数据等情况。在3月的召开两会上,《个人信息保护法》宣布进入立法议程,标志着我国将要开始法治个人信息保护。同时,两会上众多关于个人信息保护、数据监管的提案引起了广泛关注。
今年5月,国家网信办就《数据安全管理办法(征求意见稿)》公开征求意见,这份征求意见稿共分为5章,有40条条款,画出了数据采集、使用、监管等方面的底线。同时,一大批违法违规收集用户数据的App被网信办、警方点名,其中不乏银行、第三方支付机构。9月,一批金融领域的大数据风控公司接连“出事”。魔蝎科技和公信宝被调查,上海诚数信息科技有限公司(聚信立)和同盾科技暂停相关业务,这场风波到现在还没有平息。
央行科技司司长李伟在近期的文章、发言中,不断强调要加强个人金融信息的保护,加强金融数据监管,防止数据泄露、滥用等情况的发生。这些事情共同透漏出一个信息:对于个人金融信息安全监管即将趋严。
App数据安全是监管的重点
在数据安全全生命周期中,数据采集是整个流程的源头,只要管理好数据采集,防止不必要的敏感信息被收集就可以从源头上保证数据安全。前文提到过,App是现在采集用户个人数据的主要工具,因此在监管趋严的大趋势中,App数据安全是监管的重点。
而金融支付领域App由于其数据的敏感性和高价值性,更是监管的重中之重。尽管对违规收集使用个人信息行为持续加大了监管力度,但目前来说,国内针对APP隐私安全的治理仍处于起步阶段,《APP违法违规收集使用个人信息行为认定方法》等系列制度文件不久前才公开征求意见。
这种情况下,虽然监管要求金融支付机构加强自我检查和管理,金融支付机构也不知道该怎么做,甚至出现了被点名也不知道问题出在哪的金融支付机构。对于金融机构而言,这简直是最让人讨厌的情况。
监管目前的态度如何?风向又是如何?在即将召开的2019第四届中国移动金融安全大会上,移动支付网邀请到App专项治理工作组专家何延哲,以《金融App个人信息保护的痛点、难点和着力点》为主题,介绍App违法违规收集使用个人信息专项治理进展情况、给出金融类App个人信息保护方面值得高度关注的合规着力点,以及如何长期合规的策略建议。
何延哲,App专项治理工作组专家。就职于中国电子技术标准化研究院信息安全研究中心,任审查部总监,长期从事个人信息保护、云计算安全、网络安全标准与合规方面的研究工作,是云计算、大数据、个人信息保护等领域国家标准的主要编制人。长期以专家身份配合有关部门和新闻媒体进行热点事件的研判,2019年,受邀参加央视“3.15”晚会直播现场进行消费预警环节的讲解和演示。