金融机构收集信息太随意
一些公司内部员工下载大量用户资料,多次批量对外出售
在北京从事媒体工作的李女士今年9月初收到某国有银行短信通知,称其在该行的账户变动短信通知免费服务将在10月底前停止,如果希望继续得到通知,可以选择2元/月的收费服务,或者下载安装该行的手机软件免费使用。
“我的工资是在这家银行代发的,如果没有通知会很不方便。”李女士无奈只得按照银行要求去下载手机软件。
然而,安装过程却让李女士起了疑:“手机提示我这个软件会自动获取手机通讯录和地理位置信息。一个通知账户金额变动的软件,要我的位置和通讯录干吗?如果信息泄露了,谁来负责?”
最让李女士不能接受的是,银行解释称这样做是为了防止伪基站和短信诈骗带来的资金风险,提升资产变动信息的私密性。“同样是短信通知服务,难道收费就比免费的安全?手机软件收集这么多的个人信息,反而让我觉得更不安全。”
记者找来一部使用安卓系统的三星手机进行体验,发现安装过程中手机系统发出提示:使用该软件将会“读取手机状态和ID”、获取“大概位置和精确位置”、读取和写入联系人数据等,而且只给用户“安装”和“取消”两个选择。这就意味着,如果不直接开放上述权限,安卓系统的手机将无法安装使用此软件。
记者进一步调查发现,不仅是银行的金融软件,一些第三方支付、理财机构的软件,也普遍要求开放地理位置、通讯录等权限,而对于收集这些信息干什么、如何保存,并没有给出专门的解释。
“一些银行等金融机构在大规模应用信息技术过程中,确实存在着过度收集信息的现象,一旦保护措施不到位,就会造成信息泄露。”华夏银行发展研究部战略室负责人杨驰表示,目前金融和支付机构发展互联网业务,普遍以客户拓展为业绩考核导向,多收集一份个人信息,意味着多一条拓展客户的渠道。
比如,收集了客户的地理位置信息,金融和支付机构就能够判断客户经常出现的地点,以此向客户精准推荐营业网点和合作商家;有了客户通讯录信息,金融软件就能像微信一样发展成社交网络,通过当前客户发展更多客户。
杨驰介绍,目前我国没有专门保护个人信息的法律,金融机构到底可以收集哪些信息,监管部门也没有出台详细规定。而对于信息保管,各家金融机构水平差别很大,“大的金融机构内控相对好一些,会有专职部门负责这项工作,但一些小机构几乎没有专人负责。”
由于内控机制不完善,金融机构泄露个人信息现象屡见不鲜,甚至很多内部员工成为“内鬼”。2013年11月,某支付机构内部员工因多次批量出售用户信息被杭州警方逮捕,该员工利用工作便利,多次下载公司用户资料,内容超过20G,支付公司负责人表示:“不得不承认,我们在管理上出了一些问题。”今年5月,山东菏泽警方侦破一起定制型贩卖个人信息案,抓获嫌疑人29名,其中包括银行员工2人,交易个人信息共计200余万条。今年公安部部署打击整治网络侵犯公民个人信息犯罪专项行动,半年内就抓获犯罪嫌疑人3300余人,其中银行、电信等行业“内鬼”270余人,查获信息290余亿条。
刘俊海表示,依据消费者权益保护法的规定,商业机构收集个人信息必须遵循明示、同意、必要、合法、保密等原则,金融和支付机构也不例外。很多机构在收集信息过程中,虽然也会征得消费者同意,但大多是走形式。更有甚者,消费者若不同意,就不能使用金融服务,消费者最终只能忍气吞声,做出无奈的选择。
