今年3月,央行下發了《關於進一步加強支付結算管理防範電信網絡新型違法犯罪有關事項的通知》即85號文。在85號文不足10頁的篇幅中卻內容滿滿,6大類21點舉措吹響了中國金融支付行業反欺詐反洗錢整改的號角。
反欺詐反洗錢是保證金融安全、支付安全的重要工作。在85號文中,央行要求加強對「條碼支付受理移動終端」的管理,並且加強帳戶實名制管理、加強轉帳管理,加強對反欺詐反洗錢的打擊。
雙重監管,金融支付App的「兩難」
央行下發85號的時期正值兩會結束不久,在兩會上最引人矚目的話題無疑是個人信息安全保護。兩會之後各部門陸續下發了多份針對數據安全、個人隱私安全的法規辦法,其中包括《數據安全管理辦法(徵求意見稿)》、《移動網際網路應用基本業務功能必要信息規範》和近日發布的《App收集個人信息基本規範(草案)》。
其中《數據安全管理辦法(徵求意見稿)》第十一條規定直接限制了網絡運營者對用戶個人信息的收集範圍,網絡運營者只能收集業務運行需要的用戶個人信息,不能使用「提升用戶體驗、定向推送信息」等理由強迫、誤導用戶同意收集個人信息,且不能因為用戶不提供額外個人信息停止核心業務的使用。
哪些信息屬於業務所必須的個人信息呢?《移動網際網路應用基本業務功能必要信息規範》給出了答案。網絡支付業務的必要信息有6種:手機號碼、帳戶信息、身份信息、銀行帳戶信息、交易信息、交易身份驗證信息;金融借貸業務的必要信息有7種:手機號碼、帳戶信息、身份信息、銀行帳戶信息、個人徵信信息、緊急聯繫人信息、借貸交易記錄。
在近日發布的《App收集個人信息基本規範(草案)》中,則是比上表多了交易信息和網絡日誌兩項。無論是哪一份文件,都沒有將地理位置信息、用戶通訊錄和設備唯一標識碼作為業務必要信息。也就是說按照上述兩份規範,金融支付App不應該收集用戶地理位置信息。
但是根據央行發布的85號文,收單機構應對「條碼支付受理移動終端」的位置進行實時監測而且要可以上報。
地理位置信息是反欺詐反洗錢監管與個人信息安全監管雙重監管下金融支付機構遇到的麻煩之一。讀取用戶通訊錄權限和收集設備唯一標識碼則是另外一個麻煩。在金融支付反欺詐反洗錢的過程中,有一個非常重要的步驟就是對惡意帳號的識別,如何完成對惡意帳號的識別呢?用戶通訊錄和設備唯一標識碼就是識別過程中最常用到的信息。
金融支付機構通過大數據和人工智慧技術對收集到的用戶通訊錄、設備唯一標識碼、用戶行為信息進行識別,再配合黑名單、交易信息、網絡日誌的同步識別篩選來判斷一個帳號是不是惡意帳號,這對於反欺詐風控是非常重要的一步。
現在用戶通訊錄和設備唯一標識碼成為了收集用戶個人信息的准禁區,以後風控該怎麼做?
雙重監管或將帶來行業洗牌
地理位置信息、用戶通訊錄和設備唯一標識碼是金融支付App面臨難題的代表。實際上金融支付App要解決三個問題:1.加強反欺詐反洗錢能力,做好風控;2.規範對用戶個人信息的採集、使用;3.保證金融信息安全。
想要同時解決這三個問題需要極其強大的技術能力和業務水平,但是目前的監管就是要求金融支付機構同時解決這三個問題。不少人認為,既要保證最低限度的個人信息收集又要加強現有風控水平幾乎是不可能做到的事情。
但是保證用戶個人信息安全和加強反欺詐反洗錢之間真的存在矛盾嗎?在電信網絡欺詐中,精準的個人信息發揮著不可替代的作用,一方面可以用於攻破金融支付機構的安全策略,另一方面可以取信受害人,實施精準詐騙。
根據騰訊近日發布的《電信網絡詐騙治理研究報告》,個人信息泄露正是電信網絡欺詐無法杜絕的主要原因之一。可以說,保護用戶個人信息安全和加強反欺詐反洗錢其實是緊密相關的,甚至可以說互為表里。因此兩個事情必然要一起進行才可以起到最好的效果。
另外,保護個人信息安全和反欺詐反洗錢在法律法規上並沒有矛盾。用戶身份信息、交易信息等關鍵風控信息屬於業務必須信息,而地理位置信息、設備唯一標識碼等信息可以通過彈窗等方式向用戶申請使用。
對於個人信息保護來說,用戶個人信息不是不可以獲取,而是獲取用戶個人信息必須遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和範圍,並經被收集者同意。也就是說,在反欺詐反洗錢所必須的情況下,是可以依法收集、使用部分個人信息安全。
當然,不是所有公司都可以滿足解決問題所需技術能力和業務水平,如果真的不能解決問題,被行業所淘汰也不是沒有可能的。
「時代變了,大人」
無疑,時代正在發生變化。在雙重監管開始之前,不少金融借貸公司「兩頭吃」,一邊放貸,一邊賣用戶個人信息,支付機構則是在違法違規的邊緣瘋狂試探,大賺灰色收入。現在時代發生了變化,而且發生了巨大的變化,金融支付機構也必須直面這些變化,如果還抱著上個時代的態度,只會被時代所淘汰。
移動金融App安全討論群,請添加群主微信:gogol_ling,備註公司+姓名+職務+安全進群。
2019年,央行擬定個人金融信息保護監管規則,在此新形勢下,移動金融機構如何做好個人信息收集和保護、開放模式下的信息和數據安全如何保障、刷臉支付如何平衡好安全與便捷?
藉此,北京移動金融產業聯盟、移動支付網將於11月5日在深圳舉辦以「安全合規 面向未來」為主題的——MFSC 2019第四屆中國移動金融安全大會,主題演講及報名通道已開啟。