银保机构信息安全新规解读,泛金融产品应如何改进

近期,《银行保险机构消费者权益保护管理办法》公布了新政策,本文结合这些政策,主要分成“营销推广、产品流程、信息安全”三个维度进行解读,探讨泛金融产品应如何改进,一起来看看吧。为维护金融市场环境,保护消费者权益,银保监会近日公布《银行保险机构消费者权益保护管理办法》(以下简称《办法》),自2023年3月1日起施行,涉及银行、保险业大量业务流程需基于《办法》要求完成改进。
一、新规业务层面解读
我将《

近期,《银行保险机构消费者权益保护管理办法》公布了新政策,本文结合这些政策,主要分成“营销推广、产品流程、信息安全”三个维度进行解读,探讨泛金融产品应如何改进,一起来看看吧。

银保机构信息安全新规解读,泛金融产品应如何改进

为维护金融市场环境,保护消费者权益,银保监会近日公布《银行保险机构消费者权益保护管理办法》(以下简称《办法》),自2023年3月1日起施行,涉及银行、保险业大量业务流程需基于《办法》要求完成改进。

一、新规业务层面解读

我将《办法》中与产品迭代及业务层面关联较大的条款提取出来,主要分成“营销推广、产品流程、信息安全”三个维度进行解读。

1. 营销推广

第四十条:银行保险机构应当规范营销行为,通过电话呼叫、信息群发、网络推送等方式向消费者发送营销信息的,应当向消费者提供拒收或者退订选择。消费者拒收或者退订的,不得以同样方式再次发送营销信息。

开展业务过程中,向用户发送带有营销推广性质的信息,必须提供有效的拒收、退订选择,意味着不能在像过去那样肆无忌惮的打扰用户,一旦用户退订之后我们就不能以同样的方式再次发送信息。

一方面制定营销推广计划时需要提前做好准备,通过过往数据将用户细分,从而有针对性的将推广内容触达给消费者,降低退订率。除此之外用户拒收或退订后,也可采用组合营销的方式,再次触达该用户,比如用户将短信退订了,我们过段时间可以在用电话呼叫尝试一次。

第四十六条:银行保险机构应当督促和规范与其合作的互联网平台企业有效保护消费者个人信息,未经消费者同意,不得在不同平台间传递消费者个人信息,法律法规另有规定的除外。

在不同平台传递用户个人信息,需经用户同意,主要针对的是银行等金融机构在互联网平台的投放场景,产品流程中需要在明显位置加入授权提示。随着个人信息保护法的出台,头部平台早已完成对应整改,在进件过程中都会有明确的提示,取得用户同意后才会进行信息传递,但是一些腰尾部平台动作太慢的话可能会进一步失去竞争力。

2. 产品流程

第四十三条:银行保险机构收集消费者个人信息应当向消费者告知收集使用的目的、方式和范围等规则,并经消费者同意,法律法规另有规定的除外。消费者不同意的,银行保险机构不得因此拒绝提供不依赖于其所拒绝授权信息的金融产品或服务。

第四十四条:银行保险机构通过线上渠道使用格式条款获取个人信息授权的,不得设置默认同意的选项。

收集个人信息前,必须在隐私政策中披露使用目的、方式和范围且得到用户同意,这一点大多数金融机构已经完成整改。产品流程中需额外注意的是不能设置默认勾选同意,必须要让用户自主选择。

我们团队此前花费了一周时间调研了134款城商行的手机银行APP,发现的确有部分APP仍在做默认勾选,为了提升这一点点转化率其实完全不值当。除此之外,我们还重点调研了这134家银行APP在身份及信息安全流程中的做法,并形成一份调研报告,接下来也正好到了《办法》中关于信息安全的部分内容。

银保机构信息安全新规解读,泛金融产品应如何改进

3. 信息安全

第三十条:银行保险机构应当合理设计业务流程和操作规范,在办理业务过程中落实消费者身份识别和验证,不得为伪造、冒用他人身份的客户开立账户。

消费者权益保护管理办法中,再一次强调了身份认证的重要性,身份认证是守护金融安全的重要环节,随着移动互联网的发展,近年来接连发生的手机银行APP因身份欺诈、人脸识别系统被攻破等事件,给消费者以及银行带来巨大损失。金融机构需要进一步加强对消费者身份的识别及认证,在产品流程中诸如开户、转账、身份信息更新等敏感场景采用更加严格的身份认证手段或多因子认证措施完成认证

第四十二条 银行保险机构处理消费者个人信息,应当坚持合法、正当、必要、诚信原则,切实保护消费者信息安全权。

第四十五条 银行保险机构应当在消费者授权同意等基础上与合作方处理消费者个人信息。。。通过加密传输、安全隔离、权限管控、监测报警、去标识化等方式,防范数据滥用或者泄露风险。

此前个人信息保护法规定业务开展过程中处理个人信息需遵从正当、必要原则,必须得到用户同意,并尽可能采用匿名化、去标识化等方式处理个人信息,而《办法》进一步明确了金融机构应如何规范处理个人信息,列举了加密传输、安全隔离等诸多方式。

个人信息当中,身份信息无疑又是最敏感的数据,结合第三十条,未来金融机构开展业务,对于身份信息安全需要更加规范化的进行管理,引入更严格且具备信息安全保护的身份认证能力。在此次调研手机银行APP的过程中,我们也确实发现普遍性都会存在一定的安全性隐患。

二、手机银行APP存在的安全性隐患及应对措施

个人信息当中最敏感的就是身份信息,比如我们每个人的身份证,以及自身的人脸、指纹、声纹等生物特征。将敏感程度最高的身份信息处理流程规范化,采用更严格的要求做身份认证能力准入,信息安全问题也就迎刃而解。但在此之前,我们发现大多数银行却忽视了一个重要细节。

1. 设备安全才是第一道防护门

金融机构大多数信息安全事件,往往都发生在手机银行APP中,互联网给人带来便利的同时,也确确实实增大了安全隐患。我们自以为身份认证的产品流程已设计的非常完善,各项风险防范措施以及供应商审核全部到位,却还是能被不法分子钻空子。在调研这134家城商行的APP过程中,我们发现最直接的问题竟然是设备安全的问题。

设备安全是整个产品流程中,保护消费者信息安全的第一道防护门,我们想要访问自己在互联网上的银行账户,大部分都是通过手机APP去登录,APP是依附于智能手机这一硬件设备之上的,如果消费者使用的手机设备本身都存在问题,比如,当前登录这个账户的设备,就是欺诈者持有的设备,那我们还何谈后面的信息安全呢?

当前大部分城商行的做法,都是通过手机唯一设备标识去判断用户手机是否为常用设备,这种方式其实已经违背了采集信息的最小必要原则,除此之外流程设计上也存在着漏洞。

银保机构信息安全新规解读,泛金融产品应如何改进

目前业内的做法是只要用户在设备上登录了账户,就默认这个设备是他的常用设备,而在风控流程中,一旦有了常用设备的设定,我们对用户的风险判断就会降级,比如我们登录自己的银行账户也并不是每次都要输手机验证码并且验证人脸的,但在一个陌生设备登录的话就一定会更严格。如果把一个本来风险系数就比较高的设备默认判断为常用设备并做了风险降级,那么对应的风险事件发生概率,也就成倍增长

2. 防护门需要上一把锁

比如,我因为工作或生活场景需要,经常使用公共手机、无法长时间保障安全的备用机等等,这样的常用设备判定方式就是有问题的。相当于我们在家里装了一道防护门,但门上却没有锁。我们应当在此基础上,多增加一类,将设备分为三层,即:陌生设备、曾用设备和常用设备,给防护门上一把锁。

曾用设备对应着过去常用设备的概念,用户第二次以上登录,即判断为曾用。常用设备是新增加的一类,这里的“常用”即代表“可信”,需要用户手动去确认自己的设备是否可信,并做出绑定行为,当然绑定行为本身也必须要进行一次强验证才可以。

有了常用设备的概念,我们就能基于常用设备做身份认证的降级处理。而在对常用设备的判定上,我们摒弃了过去业内常用的使用唯一设备码的方案,而是采用了安全性更高,无需过度采集用户信息,且在用户无感知的情况下不打扰用户即可完成设备类型判定的方式。我们会将这一创新方案,以及前文提到的134家手机银行调研报告一起,分享给有需要的朋友,欢迎大家在评论区留言并关注。

本文由 @薇笑时好美 原创发布于月牙知识,未经许可,禁止转载。

题图来自 Unsplash,基于 CC0 协议。

该文观点仅代表作者本人,月牙知识平台仅提供信息存储空间服务。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 k0kaujt7@163.com 举报,一经查实,本站将立刻删除。
(0)

相关推荐

  • 腾讯即将推出人脸认证登录技术

    近日,国内很多网站的数据库遭到黑客攻击,大量用户信息被泄露,用户信息的安全问题一下子成为了互联网界的焦点。在信息安全越来越受到重视的背景下,借助 人脸识别或声纹识别等生物识别技术,为身份验证加筑起一道防火墙就显得很有价值。人脸识别技术的传统应用领域是在安防方面,比如重点场合监控、辨识罪犯、 自助通关、打卡签到等。近年来,这项技术也开始用在互联网领域,但多见于社交和娱乐产品中,在登录安全方面的应用还

    2023年8月3日
  • 2012.10.9cookie晚报(假期永远都是不够用的)

    2012.10.9 cookie晚报(假期永远都是不够用的)
    晚报内容:
    1.消息称编程语言 PHP 即将推出移动版
    评:趋势下滑的PHP又要走移动端,目前的市场份额来看,很难再挤出来给你了
    2.中文传媒融资成功后将实现公司转型
    评:中文传媒打算要转型物流产业了……
    3.Twitter将公开募股 上市之路未必艰难
    评:Twitter上市应该不是很难的事情,可能会是下一代新的电话通信
    4.网络宽带多

    2023年8月26日
  • 抖音“整点阳间看的”是什么梗?

    抖音“整点阳世看的”是什么梗? ​ 最近在抖音上可能常常看到网友在谈论区谈论阳世看的,那么整点阳世看的到底是什么意思呢?下面是小编给大家整理带来的抖音整点阳世看的是什么梗介绍,一同…

    抖音快手 2023年2月24日
  • 大厂离职群十年盛衰:从联盟到谢幕

    在互联网时代,链接各路的「桥」,成为同袍情谊、创业梦想、价值交换的一个通道。大厂离职群的这座「桥」也在当中随着大势变化发展,但这座桥并不稳固。大厂离职群经历了十年盛衰,从联盟到谢幕,一起来看看其发展变化过程吧。BBC纪录片《绿色家园》中,呈现过人与植物互相依附的智慧:在印度梅加拉亚邦的悬崖峭壁下方,卡西族人会利用柔韧的印度榕树根系,在湍流上「种」桥。
    他们把榕树种在河边,然后通过竹筒牵引着柔韧的根

    2023年10月28日
  • 云计算产业思考之一:中美云计算产业的对比分析

    云计算这个概念从诞生到现在已有6年,我在这一领域研究也有4年时间了,云计算在美国已经基本普及了,而中国的云计算产业仍是呼之欲出,却仍迟迟不出,个中缘由众说纷纭。
    这一个月围绕阿里云行业内容讨论的沸沸扬扬,今天微软将在上海发布其中国云计算服务,在这个时间点,我也想说说我的一些看法。
    众所周知的原因,全世界的互联网基本可以分成两个独立的空间和市场:
    一个是美国主导的全球互联网,另一个是中国自主发展的

    2023年11月22日
  • 美团“跟牌”抖音:棋至中局,利润杀开始

    在团购版块部分,抖音与美团你来我往,最近在美团APP美食页面下,新增“特价团购”板块,打出“限时补贴,全网低价”的口号,而过去半年,抖音“全网最低价”,已成为大众共识。美团为此做出了什么改变?一起来看看吧。静悄悄的美团,终于正面迎战抖音了。
    最近在其App美食页面下,新增“特价团购”板块,打出“限时补贴,全网低价”的口号,而过去半年,抖音“全网最低价”,已成为大众共识。并据相关纪要放风,美团已下定

    2023年11月8日
返回顶部