记者进一步调查发现,不仅是银行的金融软件,一些第三方支付、理财机构的软件,也普遍要求开放地理位置、通讯录等权限,而对于收集这些信息干什么、如何保存,并没有给出专门的解释。
“一些银行等金融机构在大规模应用信息技术过程中,确实存在着过度收集信息的现象,一旦保护措施不到位,就会造成信息泄露。”华夏银行发展研究部战略室负责人杨驰表示,目前金融和支付机构发展互联网业务,普遍以客户拓展为业绩考核导向,多收集一份个人信息,意味着多一条拓展客户的渠道。
比如,收集了客户的地理位置信息,金融和支付机构就能够判断客户经常出现的地点,以此向客户精准推荐营业网点和合作商家;有了客户通讯录信息,金融软件就能像微信一样发展成社交网络,通过当前客户发展更多客户。
杨驰介绍,目前我国没有专门保护个人信息的法律,金融机构到底可以收集哪些信息,监管部门也没有出台详细规定。而对于信息保管,各家金融机构水平差别很大,“大的金融机构内控相对好一些,会有专职部门负责这项工作,但一些小机构几乎没有专人负责。”
由于内控机制不完善,金融机构泄露个人信息现象屡见不鲜,甚至很多内部员工成为“内鬼”。2013年11月,某支付机构内部员工因多次批量出售用户信息被杭州警方逮捕,该员工利用工作便利,多次下载公司用户资料,内容超过20G,支付公司负责人表示:“不得不承认,我们在管理上出了一些问题。”今年5月,山东菏泽警方侦破一起定制型贩卖个人信息案,抓获嫌疑人29名,其中包括银行员工2人,交易个人信息共计200余万条。今年公安部部署打击整治网络侵犯公民个人信息犯罪专项行动,半年内就抓获犯罪嫌疑人3300余人,其中银行、电信等行业“内鬼”270余人,查获信息290余亿条。
刘俊海表示,依据消费者权益保护法的规定,商业机构收集个人信息必须遵循明示、同意、必要、合法、保密等原则,金融和支付机构也不例外。很多机构在收集信息过程中,虽然也会征得消费者同意,但大多是走形式。更有甚者,消费者若不同意,就不能使用金融服务,消费者最终只能忍气吞声,做出无奈的选择。
“必须让金融机构明白,收集信息的行为本身意味着相应义务和责任的承担。只有如此,金融机构才会谨慎收集个人信息。”刘俊海说,基于信息泄露时消费者举证难、金融机构责任轻的实际状况,建议适当强化金融机构在个人信息保管方面的法律义务与责任。如果消费者能证明信息已提供给某机构,该机构就有义务证明自己尽到了合理谨慎的保管义务,否则,须赔偿消费者由于信息泄露而遭受的损失。
