动态与观点

App数据合规——金融行业的合规问题

2021-09-13
浏览量
8705

- 引言 -

“9月2日,宣告设立北京证券交易所(简称北交所);9月3日,北京证券交易所有限责任公司注册成立。”

北交所的成立意味着我国金融行业跨入新的时代。金融行业作为现代经济的核心将继续发挥其枢纽作用,推动我国实体经济发展,促进我国走向共同富裕。

随着北京证券交易所的成立,北京证券交易所为创新型中小企业的金融发展注入动力。今年2月,证监会主席易会满指出,北交所将积极推动资本市场高质量发展,支持北京金融改革发展,深化新三板改革,引导资本聚集,重点打造北京成为国际科技创新中心。新交易所与金融开放息息相关,将满足世界一流的金融需求。

金融与实体经济的融合发展,将进一步促进实体经济持续稳定发展。各项法律法规的颁布体现了国家对金融管理的重视。作为金融业务的载体,金融数据逐渐走入大众视野。涉及民生的金融业务数据种类繁多,其安全隐患不容忽视。

- 探讨 -

数字化转型带来的新挑战

近些年来,伴随着新一代信息技术的飞速发展,网络不仅促进着经济与社会的进步,而且在保障和改善民生方面发挥着重要的作用。

2019年新冠疫情爆发以来,为了缓解疫情冲击下金融业务难开展的情况,保障国民经济的平稳增长,在相关金融监管部门的大力倡导下,金融机构展开数字化转型,引导企业及个人用户通过互联网、App等线上方式开展业务,继而促使金融类App进一步普及和被受众所接受。

金融类App满足了用户的数字化生活需求,助力消费升级和经济转型,在大众生活中发挥了不可替代的作用。金融App被运用在生活的方方面面,由于它的特殊地位在运行过程中所产生的用户个人属性、资金交易、合同等敏感信息数据也逐步以不同形式转化为资产传输于信息网络中,如不及时进行规范容易产生数据安全问题。

行业趋势:

大量资金涌入,用户规模不断扩大

据第三方数据显示,在全球范围内各类资金不断涌入金融科技行业,呈现逐年递增的态势。第三方数据库显示,2019年较2018年相比金融科技类上市企业及未上市企业数量增长33%,融资总额上升46%。

1.png

数据来源:浙大AIF司南研究室、杭州摩西信息科技、Crunchbase、天眼查、Bloomberg、Investing.com

纵观整体数据,金融科技领域的投资在全球范围内由2015年至2020年一直保持强势增长,疫情的影响之下也只是放缓。

2.png

数据来源:Dealroom

注:不包括蚂蚁金服18年第二季度的140亿美元融资和16年第二季度的45亿美元

2021年6月,中国移动互联网一级行业活跃渗透率排名显示,金融理财活跃渗透率达到90.50%,较2020年增长3.5个百分点,位居榜单第四位。

3.png

数据来源:QuestMobile TRUTH中国移动互联网数据库2020年9月

注:月活动净增用户规模=目标行业2020年9月 MAU-2020年3月MAU

从细分领域来看。据第三方数据显示,2020年Q3季度手机银行领域用户月活跃用户为55254.3万,较同期增长15.65%。渗透率由2019年Q3季度的49.3%增长至60.2%。其他三个领域增长量也非常可观。

5.png6.png7.png8.png

数据来源:极光iApp

在如此大规模的用户群体中,我们以蚂蚁财富2020年的数据为例,对使用金融App的用户属性进行分析,其中使用最多的年龄群体为21-25岁、其次是26-30岁,他们多半为有消费能力的白领和蓝领。这也反映了金融类App的使用的常态化及普及化。

9.png

数据来源:蚂蚁集团、华宝证券研究创新部

10.png

数据来源:蚂蚁集团、华宝证券研究创新部

纵观我国金融行业发展历史,1985年全国第一张信用卡发行,1995年中国进入互联网时代,处于我国消费信贷的萌芽阶段,这也为互联网金融提供了生长土壤。2002年中国银联的成立到2004年支付宝诞生、2006年人民银行征信系统诞生,经历了探索期和市场启动期,2011年后的5年为高速发展期。

在这5年间,余额宝面世、政府报道提出促进互联网金融健康发展的口号、京东白条正式上线、花呗上线、支付宝和微信开始流量争夺,互联网金融发展愈演愈烈。通过不断地发展,由市场的初期直至成熟阶段,由鼓励发展转向监管规范。随即而来的是强化金融市场的监管体系,规范市场行为的法律法规不断出台,从根本上维护着用户利益及金融资产的安全。

11.png

数据来源:信也科技《2019中国消费信贷市场研究》

就目前来看,金融类App主要存在以下三类数据安全问题:

1.部分第三方应用管理存在漏洞,应用上线审核不规范;

2.部分金融行业App开发商和运营商法律和安全意识薄弱,App安全未加强,或者技术手段落后。为降本增效,开发过程中往往会集成第三方SDK,导致应用存在高危漏洞或恶意软件风险;

3.部分App用户缺乏安全意识,未主动采取安全防护,或有不安全的使用习惯,往往导致泄密等安全隐患。

国家互联网应急响应中心(CNcert)发布的《2019中国互联网网络安全报告》中提到2015年至2019年,移动互联网恶意软件样本数量持续快速增长。2019年,新增互联网恶意软件样本为279万个,Android平台用户成为最大攻击目标。

根据中国信息通信研究院、普华永道、平安金融安全研究院联合发布的《2018-2019年度金融科技安全分析报告》显示:针对客户及企业重要业务数据的安全事件位居榜首,成为发生频率最高的安全事件,合计高达44%的比例(造成“客户信息泄露”约22%,以及“企业敏感数据泄露”约22%),成为持续影响金融科技企业最主要的安全风险。

现状分析:安全问题不容忽视,违规收集情况依旧存在

海外金融合规情况

金融是现代经济的核心。金融的运行不仅直接影响着经济建设的进程,而且在非常大的程度上关系着社会发展的状况。所以,金融安全问题也时刻牵动着所有人的心。

2018年5月2日,澳大利亚最大的金融机构澳大利亚联邦银行再次爆发丑闻,该行近2000万客户数据丢失。消息一出,澳洲舆论一片哗然。澳大利亚金融体系爆发洗钱、抵押贷款欺诈等多起丑闻,导致银行等机构声誉受损,不仅严重损害了储户对该国的信心,也严重打击了其“安全、稳定”的国际形象,带来了不可估量的负面影响。

审慎监管局主席拜尔斯认为,联邦银行的内部管理、文化和问责都需要从根本上进行修订,调查结果对所有澳大利亚金融机构都具有警示意义。澳大利亚财长莫里森表示,审慎管理局的报告显示,澳大利亚各金融机构普遍存在对政府的监管部门“置之不理”的现象。同时,任何一家机构的董事会效率都很低,高级管理层对机构内部存在的风险和问题常常推卸责任。他认为审慎监管局的报告应该成为澳大利亚所有金融机构的强制性报告,建立健全的问责机制也应该成为金融业的一个重要课题。

2019年,美金融巨头Capital One(COF.US) 再次卷入数据安全丑闻,影响1.06亿用户。Capital One 是美国最大的综合性金融机构之一,也是美国三大信用卡公司之一,各方面业务都非常优秀。

12.png

免责声明:图片源自于网络

Capital One 在7月19日承认,外界未经授权访问了信用卡产品和Capital One信用卡客户有关的某些类型的个人数据。

Akamai Technologies 最近发布了《互联网安全状况报告:针对金融行业的网络钓鱼》报告显示,Akamai在2020年全球范围内检测到1930亿次数据库碰撞攻击,其中34亿次是针对金融机构的,同比增长超过45%。同时,2020年观察到近63亿次Web应用程序攻击,其中超过7.36亿次是针对金融服务行业的攻击,较2019年增长62%。

西方国家拥有完善的金融体系和相应法律法规,但这依然无法保障金融数据百分百的安全。欧美国家频发的金融数据事故也在不断地为我国的金融数据安全敲响警钟。面对金融领域的数据合规,没有人可以高枕无忧。尤其是在经济全球化和信息全球化的今天,互联网科技的加入为金融行业带来产业变革的同时也对金融安全提出了更高的要求。

国内App数据合规情况

在金融数据合规的全球趋势下,我国对金融领域的合规要求也日益严格。在金融科技蓬勃发展的今天,金融领域的数据合规也成为金融合规的新风向。

《常见类型移动互联网应用程序必要个人信息范围规定》中提及有关金融行业的App类型共有4类,分别为网络支付类、网络借贷类、投资理财类和手机银行类。

·网络支付类

基本功能服务为“网络支付、提现、转账等功能”,必要个人信息包括:

1.注册用户移动电话号码;

2.注册用户姓名、证件类型和号码、证件有效期限、银行卡号码。

网络借贷类

基本功能服务为“通过互联网平台实现的用于消费、日常生产经营周转等的个人申贷服务”,必要个人信息包括:

1.注册用户移动电话号码;

2.借款人姓名、证件类型和号码、证件有效期限、银行卡号码。

投资理财类

基本功能服务为“股票、期货、基金、债券等相关投资理财服务”,必要个人信息包括:

1.注册用户移动电话号码;

2.投资理财用户姓名、证件类型和号码、证件有效期限、证件影印件;

3.投资理财用户资金账户、银行卡号码或支付账号。

手机银行类

基本功能服务为“通过手机等移动智能终端设备进行银行账户管理、信息查询、转账汇款等服务”,必要个人信息包括:

1.注册用户移动电话号码;

2.用户姓名、证件类型和号码、证件有效期限、证件影印件、银行卡号码、银行预留移动电话号码;

3.转账时需提供收款人姓名、银行卡号码、开户银行信息。

金融类App由于其所提供的服务较为特殊,App的安全性直接影响用户的财务安全。所以在《用户隐私策略》中会以“安全”为由,收集各类详细的、敏感的个人信息和其他相关信息。

但是将其与《常见类型移动互联网应用程序必要个人信息范围规定》中规定的用户必要个人信息收集范围相比依然有很多超范围的收集。值得一提的是,其中很多敏感个人信息的收集完全不需要用户知情。也就是说,金融类App存在未经过用户同意的情况下私自收集客户信息的情况。

13.png

数据来源:相关App的《用户隐私权限》

- 结语 -

《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》(下称《建议》),在金融业发展方面,《建议》提出,构建金融有效支持实体经济的体制机制,提升金融科技水平,增强金融普惠性。

可见,金融行业在未来一段时期内仍会作为支持我国实体经济发展的重要组成部分而蓬勃发展。为了保证金融行业的持续稳定发展,我国近年来逐渐完善金融监管体系,陆续出台各类法规政策,为行业发展指明方向。

在经济全球化的今天,金融领域数据合规已然发展成全球性话题。作为世界第二大经济体的中国,金融安全是我国国际金融地位的重要保障。在下一篇文章中,我们将对我国近年来在金融领域颁布的数据合规法律法规做出解读,并对行业相关人员给出金融数据合规方面的可行性建议。

企业微信截图_8d09772a-7ab2-41be-b3d2-169e51a3467d.png

企业微信截图_583941b4-da1d-4815-a5f2-c7c9e1b5cc3e.png

企业微信截图_f51f6fc4-194a-4149-9d22-4955d7668c41.png

企业微信截图_62238e22-9e40-47fa-9cce-0499666461ca.png