资讯:银保机构信息安全新规解读,泛金融产品应如何改进
近期,《银行保险机构消费者权益保护管理办法》公布了新政策,本文结合这些政策,主要分成“营销推广、产品流程、信息安全”三个维度进行解读,探讨泛金融产品应如何改进,一起来看看吧。
为维护金融市场环境,保护消费者权益,银保监会近日公布《银行保险机构消费者权益保护管理办法》(以下简称《办法》),自2023年3月1日起施行,涉及银行、保险业大量业务流程需基于《办法》要求完成改进。
一、新规业务层面解读
(相关资料图)
我将《办法》中与产品迭代及业务层面关联较大的条款提取出来,主要分成“营销推广、产品流程、信息安全”三个维度进行解读。
1. 营销推广
第四十条:银行保险机构应当规范营销行为,通过电话呼叫、信息群发、网络推送等方式向消费者发送营销信息的,应当向消费者提供拒收或者退订选择。消费者拒收或者退订的,不得以同样方式再次发送营销信息。
开展业务过程中,向用户发送带有营销推广性质的信息,必须提供有效的拒收、退订选择,意味着不能在像过去那样肆无忌惮的打扰用户,一旦用户退订之后我们就不能以同样的方式再次发送信息。
一方面制定营销推广计划时需要提前做好准备,通过过往数据将用户细分,从而有针对性的将推广内容触达给消费者,降低退订率。除此之外用户拒收或退订后,也可采用组合营销的方式,再次触达该用户,比如用户将短信退订了,我们过段时间可以在用电话呼叫尝试一次。
第四十六条:银行保险机构应当督促和规范与其合作的互联网平台企业有效保护消费者个人信息,未经消费者同意,不得在不同平台间传递消费者个人信息,法律法规另有规定的除外。
在不同平台传递用户个人信息,需经用户同意,主要针对的是银行等金融机构在互联网平台的投放场景,产品流程中需要在明显位置加入授权提示。随着个人信息保护法的出台,头部平台早已完成对应整改,在进件过程中都会有明确的提示,取得用户同意后才会进行信息传递,但是一些腰尾部平台动作太慢的话可能会进一步失去竞争力。
2. 产品流程
第四十三条:银行保险机构收集消费者个人信息应当向消费者告知收集使用的目的、方式和范围等规则,并经消费者同意,法律法规另有规定的除外。消费者不同意的,银行保险机构不得因此拒绝提供不依赖于其所拒绝授权信息的金融产品或服务。 第四十四条:银行保险机构通过线上渠道使用格式条款获取个人信息授权的,不得设置默认同意的选项。
收集个人信息前,必须在隐私政策中披露使用目的、方式和范围且得到用户同意,这一点大多数金融机构已经完成整改。产品流程中需额外注意的是不能设置默认勾选同意,必须要让用户自主选择。
我们团队此前花费了一周时间调研了134款城商行的手机银行APP,发现的确有部分APP仍在做默认勾选,为了提升这一点点转化率其实完全不值当。除此之外,我们还重点调研了这134家银行APP在身份及信息安全流程中的做法,并形成一份调研报告,接下来也正好到了《办法》中关于信息安全的部分内容。
3. 信息安全
第三十条:银行保险机构应当合理设计业务流程和操作规范,在办理业务过程中落实消费者身份识别和验证,不得为伪造、冒用他人身份的客户开立账户。
消费者权益保护管理办法中,再一次强调了身份认证的重要性,身份认证是守护金融安全的重要环节,随着移动互联网的发展,近年来接连发生的手机银行APP因身份欺诈、人脸识别系统被攻破等事件,给消费者以及银行带来巨大损失。金融机构需要进一步加强对消费者身份的识别及认证,在产品流程中诸如开户、转账、身份信息更新等敏感场景采用更加严格的身份认证手段或多因子认证措施完成认证。
第四十二条 银行保险机构处理消费者个人信息,应当坚持合法、正当、必要、诚信原则,切实保护消费者信息安全权。 第四十五条 银行保险机构应当在消费者授权同意等基础上与合作方处理消费者个人信息。。。通过加密传输、安全隔离、权限管控、监测报警、去标识化等方式,防范数据滥用或者泄露风险。
此前个人信息保护法规定业务开展过程中处理个人信息需遵从正当、必要原则,必须得到用户同意,并尽可能采用匿名化、去标识化等方式处理个人信息,而《办法》进一步明确了金融机构应如何规范处理个人信息,列举了加密传输、安全隔离等诸多方式。
个人信息当中,身份信息无疑又是最敏感的数据,结合第三十条,未来金融机构开展业务,对于身份信息安全需要更加规范化的进行管理,引入更严格且具备信息安全保护的身份认证能力。在此次调研手机银行APP的过程中,我们也确实发现普遍性都会存在一定的安全性隐患。
二、手机银行APP存在的安全性隐患及应对措施
个人信息当中最敏感的就是身份信息,比如我们每个人的身份证,以及自身的人脸、指纹、声纹等生物特征。将敏感程度最高的身份信息处理流程规范化,采用更严格的要求做身份认证能力准入,信息安全问题也就迎刃而解。但在此之前,我们发现大多数银行却忽视了一个重要细节。
1. 设备安全才是第一道防护门
金融机构大多数信息安全事件,往往都发生在手机银行APP中,互联网给人带来便利的同时,也确确实实增大了安全隐患。我们自以为身份认证的产品流程已设计的非常完善,各项风险防范措施以及供应商审核全部到位,却还是能被不法分子钻空子。在调研这134家城商行的APP过程中,我们发现最直接的问题竟然是设备安全的问题。
设备安全是整个产品流程中,保护消费者信息安全的第一道防护门,我们想要访问自己在互联网上的银行账户,大部分都是通过手机APP去登录,APP是依附于智能手机这一硬件设备之上的,如果消费者使用的手机设备本身都存在问题,比如,当前登录这个账户的设备,就是欺诈者持有的设备,那我们还何谈后面的信息安全呢?
当前大部分城商行的做法,都是通过手机唯一设备标识去判断用户手机是否为常用设备,这种方式其实已经违背了采集信息的最小必要原则,除此之外流程设计上也存在着漏洞。
目前业内的做法是只要用户在设备上登录了账户,就默认这个设备是他的常用设备,而在风控流程中,一旦有了常用设备的设定,我们对用户的风险判断就会降级,比如我们登录自己的银行账户也并不是每次都要输手机验证码并且验证人脸的,但在一个陌生设备登录的话就一定会更严格。如果把一个本来风险系数就比较高的设备默认判断为常用设备并做了风险降级,那么对应的风险事件发生概率,也就成倍增长。
2. 防护门需要上一把锁
比如,我因为工作或生活场景需要,经常使用公共手机、无法长时间保障安全的备用机等等,这样的常用设备判定方式就是有问题的。相当于我们在家里装了一道防护门,但门上却没有锁。我们应当在此基础上,多增加一类,将设备分为三层,即:陌生设备、曾用设备和常用设备,给防护门上一把锁。
曾用设备对应着过去常用设备的概念,用户第二次以上登录,即判断为曾用。常用设备是新增加的一类,这里的“常用”即代表“可信”,需要用户手动去确认自己的设备是否可信,并做出绑定行为,当然绑定行为本身也必须要进行一次强验证才可以。
有了常用设备的概念,我们就能基于常用设备做身份认证的降级处理。而在对常用设备的判定上,我们摒弃了过去业内常用的使用唯一设备码的方案,而是采用了安全性更高,无需过度采集用户信息,且在用户无感知的情况下不打扰用户即可完成设备类型判定的方式。我们会将这一创新方案,以及前文提到的134家手机银行调研报告一起,分享给有需要的朋友,欢迎大家在评论区留言并关注。
本文由 @薇笑时好美 原创发布于人人都是产品经理,未经许可,禁止转载。
题图来自 Unsplash,基于 CC0 协议。
该文观点仅代表作者本人,人人都是产品经理平台仅提供信息存储空间服务。
- 资讯:银保机构信息安全新规解读,泛金融产品应如何改进
- 上海市消保委指互联网保险产品存“低进高出”,点名众安保险
- 当前通讯!别让“月入过万”的虚假培训打扰了就业季
- 天天观天下!葡萄牙体育3-2客胜沙维斯,贡萨尔维斯双响,努诺-桑托斯建功
- 榴字组词的组词
- 【世界报资讯】pokemmo合众攻略_pokemmo攻略
- 桂林通报网传校园使用违规教材 具体详细内容是什么
- 今日时讯:掘金主帅谈约基奇向詹姆斯自荐 詹姆斯我站在马龙和贾巴尔之间这是一种不真实的感觉
- 天天快讯:大赞瓦格纳雇佣军战斗能力,车臣领导人称卸任后将创设私人军事集团
- 牛年四字成语祝福_牛年四字成语_天天观焦点
-
世界即时看!美尔雅2月20日盘中涨幅达5%
以下是美尔雅在北京时间2月20日10:22分盘口异动快照:2月20日,美尔雅盘中涨幅达5%,截至10点22分,报7元,成交6547 86万元,换手率2 65%。注
-
警惕“数字藏品”骗局:可能只是一张普通的网络截图
一张普通的网络截图,一旦标榜为“数字藏品”,身价就能从几块钱炒到成百上千元。不少玩家经不住“高额回报”的吸引而“入圈”,
-
牛排骨和什么煲汤最好_牛排骨汤的做法
解答:1、牛肉排骨和山药一起炖。2、排骨剁成小块,鲜山药、牛蒡去皮,洗净切成厚片。3、将排骨沥干,放入砂锅中。4、加入新
-
周琦新下家面临4选1,广东辽宁和首钢都并非最佳,上海才是首选
周琦新下家面临4选1,广东辽宁和首钢都并非最佳,上海才是首选,新疆队,辽宁队,广东队,首钢队,cba,上海市,辽宁省,中国篮球,中国体育联赛,周琦(
-
海南集采药品耗材价格最高降幅达98%|当前速看
据央视新闻,2月19日,记者从海南省医疗保障局获悉,该局统计数据显示,自2019年海南省首次执行药品耗材集中带量采购政策
-
64岁倪萍瘦到认不出!尖脸阔腮太有喜感,与年轻貌美时判若两人
64岁倪萍参加聚会2月19日,有网友发现,知名女星倪萍现身圈内某聚会,与众多大佬一同合影,其中就包括德云社的岳云鹏等人。倪萍一身红色长款外
-
出版传媒:无法继续履行职务,董事长杨建军辞职
出版传媒12月27日公告,杨建军因无法继续履行职务,辞去公司第三届董事会董事、公司董事长及董事会战略发展与投资决策委员会
-
【全球新要闻】平方毫米符号mm2怎么打_excel平方毫米符号mm2怎么打
1、我们想输入平方毫米的符号。应该怎么打?下面以Word文档为例,向您介绍以下具体操作方法。2、打开一个Word文档,然
-
全球聚焦:1981年属什么_十二生肖简介
1、农历1981年生肖:悠悠鸡(农历新年,1981年2月5日-阳历1982年1月24日)。2、生肖,又称十二生肖,是中国
-
若有来生_关于若有来生的简介
1、《若有来生》是由诗人凉作词与作曲、高枫演唱的歌曲。发行于2022年2月19日,收录于同名专辑《若有来生》中。本文
X 关闭
战时防疫用!宝安首批667间集中居住板房移交管理
西安新增本土确诊病例150例 详情发布
广东最低气温跌至-6℃现冰挂 部分道路及海上交通受影响
“2022科学跨年系列活动”启动 提高公众对科学类流言“免疫力”
珠科院多举措助力大湾区抗旱防咸保供水
X 关闭
得知西安疫情防控“升级” 男子夜骑共享单车回咸阳淳化
中国医生将任SIU主席背后:从追随者同行者到引领者
海南省通报政法队伍教育整顿成果
云南两地发现核酸阳性人员 西安实行最严格的社会面管控
广东梅州大埔中央红色交通线沿线发现多株百岁古树