App個人信息保護無疑是2019年的熱點詞彙,11月4日,工業和信息化部信息通信管理局組織召開App侵害用戶權益行為專項整治工作啟動部署會,再次強調了App個人信息保護的重要性。目前金融App個人信息保護的痛點在哪裡?難點有哪些?監管的著力點在哪裡都是目前企業面對的難題。
在2019第四屆中國移動金融安全大會上,App治理工作組專家何延哲就相關問題進行了分享交流,從用戶、企業和監管三個視角詳細解析了目前金融App個人信息保護的現狀,並對未來行業的發展提出了建議。
從用戶視角看痛點
何延哲首先從用戶視角出發,指出了目前金融App個人信息保護的痛點。何延哲認為在用戶看來目前的App必須滿足三個要求:隱私保護、廉價、便捷,但是這三個要求的關係屬於三角形,很難同時兼顧。同時,用戶對於精準推送的原理、隱私政策的解讀等都存在一定的誤讀和不理解,其實有很多針對App個人信息保護方面的“吐槽”也是因為對情況不瞭解造成的。
何延哲表示,目前金融App被舉報最多的三大問題是強制/過度索權、騷擾通訊錄好友和不合理條款/兜底式授權。強制/過度索權問題是焦點問題,很多金融App強制索權的理由是為了保障安全風控,希望能對用戶進行全方位監控。他認為安全風控不能成為過度索權的理由,應當找到一個安全風控和隱私保護的平衡點。
在不合理條款/兜底式授權問題上,何延哲認為合法合規很重要,有些權限和信息不是不可以獲取,而是需要注意方式和辦法,要符合知情告知要求,必須要讓用戶清楚的知道App要獲取哪些信息、信息用處是什麼以及有選擇的權利。他也指出,目前的痛點就在於知情告知有可能會不利於企業獲客。
從企業視角看難點
今年是個人信息保護的關鍵年,監管加大了對個人信息保護的監管,對企業帶來了很大的壓力。何延哲認為對於企業來說,面對個人信息保護問題企業不是不想改也不是視而不見,而是在現有情況下有些問題確實很難解決,形成了現在企業在實行個人信息保護過程中的難點。
第一個難點是壓力大。在個人信息保護的過程中,企業需要面對全民的質疑,同時還要面對企業間的對抗和媒體的監督,在整個過程中企業在面對質疑很難進行自我證明。
第二個難點是合規的痛點。隱私政策如何展示、權限目的如何告知、註銷機制如何設置三個問題是合規整改中的常見問題,如何解決三個問題讓所有人都滿意變得非常困難。目前很多App已經簡單實現了三個問題的整改,但是到用戶體驗滿意還有很長的路要走。
第三個難點是被割裂的“合規”和“現實”。何延哲表示,目前App合規已經從解決問題表象發展到了技術機制合規的程度,目前各種規範已經對SDK、API以及設備唯一標識碼等數據、技術的使用提出了要求,但是現實情況使企業可能無法立即做到合規的要求。何延哲以個性化推送機制舉例,他表示目前合規要求對個性化推送機制進行改造,但是改造背後的代價是什麼現在不好預估,這些問題目前還處於探討當中,需要把握平衡點。
在金融App收集個人信息的過程中,何延哲認為最大的難點是做到公開透明。用戶不一定能接受金融App公開透明,也不一定相信企業是為了保護安全才收集個人信息;公開透明個人信息收集規則是否會幫助黑灰產進行攻擊帶來新的安全問題也需要考慮;對於監管來說,透明公開是有價值的,但是對於風控的影響以及風控的要求和現實的差距也值得思考。
何延哲表示,雖然目前金融App個人信息保護雖然存在各種難點,但是必須繼續往前走。他建議企業一定要有風險意識,在功能、社會責任、盈利、創新當中尋找個人信息保護的方案和思路,在使用數據進行創新、盈利的方案前要反覆評估、斟酌。他建議企業要做一個Plan B,以確定在突如其來的合規要求面前保證業務的連貫。
從監管視角看著力點
何延哲認為從監管視角出發,可以看到企業需要做什麼。那麼監管的著力點是什麼?他認為監管的著力點在於個人信息安全問題帶來的多元化危害,焦點在於社會輿論帶來的話題。他簡要介紹了目前App專項治理的主要動作,提醒企業要注意數據治理中的技術對抗陷阱、消極應對陷阱、誘導妥協陷阱和輿論綁架陷阱。
何延哲建議企業從數據來源的合法性、規則的透明/一致性、數據交換的正當性以及數據處理的安全性體現金融App在個人信息保護方面的進步,他認為在這些方面做出改善和進步將讓全社會看到金融App的進步,有利於目前的監管情況。他也指出在隱私政策、申請權限數量和註銷功能等可量化指標上做出改善也是有必要的。
最後,何延哲對未來金融App個人信息保護髮展提出了自己的看法,他認為未來行業需要不斷的普及知識,做到技術可控,媒體需要理性報道,進行實時監督,找到安全和發展之間的平衡點。
他表示,在數據時代必須形成符合數據時代的價值觀,價值驅動行業彰顯責任,多方共擔風險形成默契,這樣將會對後續的工作產生積極價值和有效幫助。
閱讀更多 移動支付網 的文章
