收藏本页 打印 放大 缩小
0

从滴滴下架看金融数据安全

发布时间:2021-07-14 09:39:29    作者:    来源:中国银行保险报网

□本报记者 于晗

自去年以来,多部门针对互联网APP违法违规收集使用个人信息展开了联合整顿;同期,多部数据安全相关法律法规相继落地,关于数据安全的保护与监管力度不断加大。

然而,数据安全治理仍颇为艰巨。近期,拥有众多用户的滴滴出行、360借条等平台相继因违规收集使用个人信息等原因被勒令下架。6月份,工信部公布了83款侵害用户权益行为的APP,其中,绵阳市商业银行、天府银行两家银行业金融机构也因违规收集个人信息被点名。

毫无疑问,金融业的发展与数据的应用息息相关。无论是移动支付、互联网贷款,还是各类金融创新的不断涌现,数据都发挥着巨大作用。但随着各类数据违规现象频频出现,如何兼顾数据的合法获取、使用与安全共享,金融从业机构仍须补上一课。

李月敏/制图

违规获取用户信息是“下架”主因

7月9日,360数科旗下产品360借条APP被多家应用商店下架。对此,360数科相关业务负责人回应称,“下架起因于5月10日的网信办通报”。据了解,在此前通报中,包括360借条在内的84款安全和网络借贷类APP存在违规收集和使用个人信息情况。

360数科相关负责人向外界解释称:“由于工作人员疏忽,在规定时间内遗漏了某一个环节的整改,被要求从部分应用商店下架。我们已提交了新的整改方案并加紧推进整改,因此造成不好的体验我们深表歉意。”

无独有偶,7月2日,国家网信办公告称,“滴滴出行”APP因存在严重违法违规收集使用个人信息问题,依据《中华人民共和国网络安全法》(以下简称《网络安全法》)相关规定,通知应用商店下架“滴滴出行”APP。

据了解,滴滴出行是中国最大的出行和交通平台,其占有中国网约车约80%的市场份额,除此之外,其业务覆盖也较为广泛,除网约车相关业务外,还覆盖有信贷、保险、理财、支付等业务,掌握大量个人出行信息和金融相关数据。

今年4月29日,央行曾约谈了13家互联网金融平台,其中就包括360数科和滴滴出行旗下的滴滴金融。央行在约谈中指出:“网络平台企业普遍存在无牌或超许可范围从事金融业务、公司治理机制不健全、监管套利、不公平竞争、损害消费者合法权益等严重违规问题。”央行对此提出了7条整改要求,其中即包括“规范个人信息采集使用、营销宣传行为和格式文本合同。”

5月10日,网信办发布的84款APP违法违规收集使用个人信息情况的通报中,360借条和滴滴金融亦位列其中,与此同时,平安银行、平安消费金融、招商银行、招联消费金融、马上消费金融等多家持牌金融机构旗下的手机银行APP也遭到点名。6月份,工信部公布了83款侵害用户权益行为的APP,绵阳市商业银行、天府银行两家银行业金融机构因违规收集个人信息被点名。

“假如一个公司利用合理、合法的公开技术,对公开的、脱敏的数据进行分析挖掘后,却发现最终能够定位特定个人,那么从一个严格意义上来讲,这就是属于侵犯个人隐私、网络安全的范畴。”全联并购公会信用管理专委会专家安光勇向记者分析。

安光勇认为,对于一些拥有大量用户的平台机构,或许难以严格证实其所收集的数据字段侵犯了个人信息和个人隐私。但从最严格的意义上来讲,这些平台存在潜在的隐患,即:通过其他数据和字段的组合,有可能会定位到特定个人,并进行商业性应用。

金融数据安全监管在强化

APP下架的背后,是近年来数据安全监管的不断趋严。近两年,随着用户数据泄露事件明显增多,数据安全也得到司法部门和监管部门的重视,自去年以来,多个关系到金融行业的数据安全立法和监管文件相继落地。

今年6月10日,我国第一部关于数据安全的法律《中华人民共和国数据安全法》(以下简称《数据安全法》)正式公布,并将于2021年9月1日正式施行。《数据安全法》分别从监管体系、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任等方面,对数据处理活动进行规制,有效补充了《网络安全法》、《民法典》在规范数据处理活动中的不足。《数据安全法》将与《网络安全法》以及正在制定中的《个人信息保护法》一起,全面构筑了中国数据安全领域的法律框架。

在金融领域,早在2011年,中国人民银行便发布了《关于银行业金融机构做好个人金融信息保护工作的通知》,对个人金融信息的定义、收集、存储、处理、分析等加以规定。但该通知主要针对用户个人金融信息的保护规定,对该范围外的金融商业数据并未提及。

近两年,金融数据领域规范性文件的制定工作也在不断推进。去年10月,央行发布《金融数据安全 数据安全分级指南》,今年4月,央行发布《金融数据安全 数据生命周期安全规范》。在标准规范方面,央行近年来还发布了《个人金融信息保护技术规范》等基础通用标准,以及《多方安全计算金融应用技术规范》《多方安全计算金融应用评估规范》等技术应用标准,上述文件的相继颁布,正促使金融行业数据保护不断向规范化、合规化方向发展。

针对征信领域涌现的一些违规收集信息问题,今年1月,央行发布了《征信业务管理办法(征求意见稿)》,要求征信机构采集信息遵循“最少、必要”原则,不得以非法方式采集信息;采集个人信息,应当告知采集的目的、信息来源和信息范围等;采集非公开的企业信用信息,应当取得企业同意;整理、保存、加工信用信息,应遵循客观性原则,不得篡改原始数据。

从当前金融数据安全的监管格局来看,我国已形成了由法律、法规、规章以及规范性文件等共同组成的多层次、多领域、结构复杂的金融数据保护法律体系。与此同时,监管部门还在着力推动建设金融数据治理与应用的创新机制。

今年5月,央行在北京、江苏、浙江、山东、河南、湖北、湖南、广东、广西、重庆、四川、贵州、甘肃、新疆等地组织商业银行、清算机构、非银行支付等开展金融数据综合应用试点。据悉,试点旨在探索运用人工智能、大数据、物联网、隐私计算等新一代信息技术,在安全合规的前提下推进金融数据高效治理、安全共享,实现跨层级、跨机构、 跨行业数据融合应用。

破解金融数据安全难题

实际上,金融数据安全问题是当前金融业数字化转型面临的一系列挑战的缩影,如何在满足金融业务基本需求的基础上,强化数据保护能力,保障金融数据安全流动,是大量金融从业机构在开展数字金融业务过程中遇到的普遍痛点。

中国互联网金融协会法规咨询部主任肖翔表示,部分金融数据具有一定敏感性,涉及用户个人隐私、商业秘密甚至国家安全,数据共享可能存在法律合规风险。如何实现数据共享和融合应用,又不降低数据安全保护水平,是行业目前面临的关键问题和挑战。

肖翔建议,应在《网络安全法》《数据安全法》以及正推进出台的《个人信息保护法》等法律制度框架下,进一步明确同意形式、免责规定等金融数据要素融合关键节点的规则要求,加强对金融机构、金融科技公司等数据使用方行为的约束。同时,加大对侵犯个人隐私、违规采集数据、非法数据买卖等危害金融消费者权益的行为的惩处及披露力度。优先支持普惠金融、绿色金融、科创金融等领域的金融数据要素融合应用创新纳入金融科技创新监管工具,适时出台金融数据要素融合应用相关监管规则。

“多方安全计算、联邦学习等各类隐私增强技术的出现,为解决上述问题提供了解决方案。”肖翔表示,从行业实践看,基于多方安全计算、联邦学习等技术的数据融合解决方案在风险建模、监管科技等领域已有初步探索。目前已有多个涉及小微企业融资、涉农信贷、跨境结算等场景的金融项目应用了多方安全计算、联邦学习等技术。

针对个人数据安全,也有研究提出,应建立“个人数据账户”制度。近日,中国财富管理50人论坛(CWM50)和清华五道口金融学院发布的《平台金融科技公司监管研究报告》建议,应以“商业主导+政府监管”的管理模式探索建立个人数据账户。报告提到“可以尝试先建立个人数据的标准体系;明确个人数据账户的采集原则,尊重数据主体的主观意愿;数据采集机构应向数据主体提供充分的数据账户管理和授权权限,即允许第三方数据需求方在获得客户明确授权后可有偿访问客户的个人数据。同时,个人数据账户‘不可二次分享’,以保护初始采集机构的利益。”

对于金融机构而言,又应该如何提升数据安全合规能力?苏宁金融研究院特约研究员惕若提出了三方面建议:一是要保证数据处理活动的合法合规;二是要建立全流程数据安全管理制度,明确数据安全负责人和管理机构。建立健全包括数据收集、传输、存储、共享在内的全流程数据安全管理制度,采取相应的技术措施,保障合法合规处理数据。互联网公司应当在网络安全等级保护制度的基础上,履行数据安全保护义务,明确数据安全负责人和管理机构,落实数据安全保护责任;三是要开展内部数据分类分级管理工作,建立相应管理制度。此外,要落实网络安全等级保护义务;定期开展风险评估,履行风险评估报告义务。


从滴滴下架看金融数据安全

来源:中国银行保险报网  时间:2021-07-14

□本报记者 于晗

自去年以来,多部门针对互联网APP违法违规收集使用个人信息展开了联合整顿;同期,多部数据安全相关法律法规相继落地,关于数据安全的保护与监管力度不断加大。

然而,数据安全治理仍颇为艰巨。近期,拥有众多用户的滴滴出行、360借条等平台相继因违规收集使用个人信息等原因被勒令下架。6月份,工信部公布了83款侵害用户权益行为的APP,其中,绵阳市商业银行、天府银行两家银行业金融机构也因违规收集个人信息被点名。

毫无疑问,金融业的发展与数据的应用息息相关。无论是移动支付、互联网贷款,还是各类金融创新的不断涌现,数据都发挥着巨大作用。但随着各类数据违规现象频频出现,如何兼顾数据的合法获取、使用与安全共享,金融从业机构仍须补上一课。

李月敏/制图

违规获取用户信息是“下架”主因

7月9日,360数科旗下产品360借条APP被多家应用商店下架。对此,360数科相关业务负责人回应称,“下架起因于5月10日的网信办通报”。据了解,在此前通报中,包括360借条在内的84款安全和网络借贷类APP存在违规收集和使用个人信息情况。

360数科相关负责人向外界解释称:“由于工作人员疏忽,在规定时间内遗漏了某一个环节的整改,被要求从部分应用商店下架。我们已提交了新的整改方案并加紧推进整改,因此造成不好的体验我们深表歉意。”

无独有偶,7月2日,国家网信办公告称,“滴滴出行”APP因存在严重违法违规收集使用个人信息问题,依据《中华人民共和国网络安全法》(以下简称《网络安全法》)相关规定,通知应用商店下架“滴滴出行”APP。

据了解,滴滴出行是中国最大的出行和交通平台,其占有中国网约车约80%的市场份额,除此之外,其业务覆盖也较为广泛,除网约车相关业务外,还覆盖有信贷、保险、理财、支付等业务,掌握大量个人出行信息和金融相关数据。

今年4月29日,央行曾约谈了13家互联网金融平台,其中就包括360数科和滴滴出行旗下的滴滴金融。央行在约谈中指出:“网络平台企业普遍存在无牌或超许可范围从事金融业务、公司治理机制不健全、监管套利、不公平竞争、损害消费者合法权益等严重违规问题。”央行对此提出了7条整改要求,其中即包括“规范个人信息采集使用、营销宣传行为和格式文本合同。”

5月10日,网信办发布的84款APP违法违规收集使用个人信息情况的通报中,360借条和滴滴金融亦位列其中,与此同时,平安银行、平安消费金融、招商银行、招联消费金融、马上消费金融等多家持牌金融机构旗下的手机银行APP也遭到点名。6月份,工信部公布了83款侵害用户权益行为的APP,绵阳市商业银行、天府银行两家银行业金融机构因违规收集个人信息被点名。

“假如一个公司利用合理、合法的公开技术,对公开的、脱敏的数据进行分析挖掘后,却发现最终能够定位特定个人,那么从一个严格意义上来讲,这就是属于侵犯个人隐私、网络安全的范畴。”全联并购公会信用管理专委会专家安光勇向记者分析。

安光勇认为,对于一些拥有大量用户的平台机构,或许难以严格证实其所收集的数据字段侵犯了个人信息和个人隐私。但从最严格的意义上来讲,这些平台存在潜在的隐患,即:通过其他数据和字段的组合,有可能会定位到特定个人,并进行商业性应用。

金融数据安全监管在强化

APP下架的背后,是近年来数据安全监管的不断趋严。近两年,随着用户数据泄露事件明显增多,数据安全也得到司法部门和监管部门的重视,自去年以来,多个关系到金融行业的数据安全立法和监管文件相继落地。

今年6月10日,我国第一部关于数据安全的法律《中华人民共和国数据安全法》(以下简称《数据安全法》)正式公布,并将于2021年9月1日正式施行。《数据安全法》分别从监管体系、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任等方面,对数据处理活动进行规制,有效补充了《网络安全法》、《民法典》在规范数据处理活动中的不足。《数据安全法》将与《网络安全法》以及正在制定中的《个人信息保护法》一起,全面构筑了中国数据安全领域的法律框架。

在金融领域,早在2011年,中国人民银行便发布了《关于银行业金融机构做好个人金融信息保护工作的通知》,对个人金融信息的定义、收集、存储、处理、分析等加以规定。但该通知主要针对用户个人金融信息的保护规定,对该范围外的金融商业数据并未提及。

近两年,金融数据领域规范性文件的制定工作也在不断推进。去年10月,央行发布《金融数据安全 数据安全分级指南》,今年4月,央行发布《金融数据安全 数据生命周期安全规范》。在标准规范方面,央行近年来还发布了《个人金融信息保护技术规范》等基础通用标准,以及《多方安全计算金融应用技术规范》《多方安全计算金融应用评估规范》等技术应用标准,上述文件的相继颁布,正促使金融行业数据保护不断向规范化、合规化方向发展。

针对征信领域涌现的一些违规收集信息问题,今年1月,央行发布了《征信业务管理办法(征求意见稿)》,要求征信机构采集信息遵循“最少、必要”原则,不得以非法方式采集信息;采集个人信息,应当告知采集的目的、信息来源和信息范围等;采集非公开的企业信用信息,应当取得企业同意;整理、保存、加工信用信息,应遵循客观性原则,不得篡改原始数据。

从当前金融数据安全的监管格局来看,我国已形成了由法律、法规、规章以及规范性文件等共同组成的多层次、多领域、结构复杂的金融数据保护法律体系。与此同时,监管部门还在着力推动建设金融数据治理与应用的创新机制。

今年5月,央行在北京、江苏、浙江、山东、河南、湖北、湖南、广东、广西、重庆、四川、贵州、甘肃、新疆等地组织商业银行、清算机构、非银行支付等开展金融数据综合应用试点。据悉,试点旨在探索运用人工智能、大数据、物联网、隐私计算等新一代信息技术,在安全合规的前提下推进金融数据高效治理、安全共享,实现跨层级、跨机构、 跨行业数据融合应用。

破解金融数据安全难题

实际上,金融数据安全问题是当前金融业数字化转型面临的一系列挑战的缩影,如何在满足金融业务基本需求的基础上,强化数据保护能力,保障金融数据安全流动,是大量金融从业机构在开展数字金融业务过程中遇到的普遍痛点。

中国互联网金融协会法规咨询部主任肖翔表示,部分金融数据具有一定敏感性,涉及用户个人隐私、商业秘密甚至国家安全,数据共享可能存在法律合规风险。如何实现数据共享和融合应用,又不降低数据安全保护水平,是行业目前面临的关键问题和挑战。

肖翔建议,应在《网络安全法》《数据安全法》以及正推进出台的《个人信息保护法》等法律制度框架下,进一步明确同意形式、免责规定等金融数据要素融合关键节点的规则要求,加强对金融机构、金融科技公司等数据使用方行为的约束。同时,加大对侵犯个人隐私、违规采集数据、非法数据买卖等危害金融消费者权益的行为的惩处及披露力度。优先支持普惠金融、绿色金融、科创金融等领域的金融数据要素融合应用创新纳入金融科技创新监管工具,适时出台金融数据要素融合应用相关监管规则。

“多方安全计算、联邦学习等各类隐私增强技术的出现,为解决上述问题提供了解决方案。”肖翔表示,从行业实践看,基于多方安全计算、联邦学习等技术的数据融合解决方案在风险建模、监管科技等领域已有初步探索。目前已有多个涉及小微企业融资、涉农信贷、跨境结算等场景的金融项目应用了多方安全计算、联邦学习等技术。

针对个人数据安全,也有研究提出,应建立“个人数据账户”制度。近日,中国财富管理50人论坛(CWM50)和清华五道口金融学院发布的《平台金融科技公司监管研究报告》建议,应以“商业主导+政府监管”的管理模式探索建立个人数据账户。报告提到“可以尝试先建立个人数据的标准体系;明确个人数据账户的采集原则,尊重数据主体的主观意愿;数据采集机构应向数据主体提供充分的数据账户管理和授权权限,即允许第三方数据需求方在获得客户明确授权后可有偿访问客户的个人数据。同时,个人数据账户‘不可二次分享’,以保护初始采集机构的利益。”

对于金融机构而言,又应该如何提升数据安全合规能力?苏宁金融研究院特约研究员惕若提出了三方面建议:一是要保证数据处理活动的合法合规;二是要建立全流程数据安全管理制度,明确数据安全负责人和管理机构。建立健全包括数据收集、传输、存储、共享在内的全流程数据安全管理制度,采取相应的技术措施,保障合法合规处理数据。互联网公司应当在网络安全等级保护制度的基础上,履行数据安全保护义务,明确数据安全负责人和管理机构,落实数据安全保护责任;三是要开展内部数据分类分级管理工作,建立相应管理制度。此外,要落实网络安全等级保护义务;定期开展风险评估,履行风险评估报告义务。

未经许可 不得转载 Copyright© 2000-2019
中国银行保险报 All Rights Reserved