近期，《銀行保險(xiǎn)機(jī)構(gòu)消費(fèi)者權(quán)益保護(hù)管理辦法》公布了新政策，本文結(jié)合這些政策，主要分成“營(yíng)銷推廣、產(chǎn)品流程、信息安全”三個(gè)維度進(jìn)行解讀，探討泛金融產(chǎn)品應(yīng)如何改進(jìn)，一起來(lái)看看吧。

為維護(hù)金融市場(chǎng)環(huán)境，保護(hù)消費(fèi)者權(quán)益，銀保監(jiān)會(huì)近日公布《銀行保險(xiǎn)機(jī)構(gòu)消費(fèi)者權(quán)益保護(hù)管理辦法》（以下簡(jiǎn)稱《辦法》），自2023年3月1日起施行，涉及銀行、保險(xiǎn)業(yè)大量業(yè)務(wù)流程需基于《辦法》要求完成改進(jìn)。

一、新規(guī)業(yè)務(wù)層面解讀

我將《辦法》中與產(chǎn)品迭代及業(yè)務(wù)層面關(guān)聯(lián)較大的條款提取出來(lái)，主要分成“營(yíng)銷推廣、產(chǎn)品流程、信息安全”三個(gè)維度進(jìn)行解讀。

1. 營(yíng)銷推廣

第四十條：銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)規(guī)范營(yíng)銷行為，通過電話呼叫、信息群發(fā)、網(wǎng)絡(luò)推送等方式向消費(fèi)者發(fā)送營(yíng)銷信息的，應(yīng)當(dāng)向消費(fèi)者提供拒收或者退訂選擇。消費(fèi)者拒收或者退訂的，不得以同樣方式再次發(fā)送營(yíng)銷信息。

開展業(yè)務(wù)過程中，向用戶發(fā)送帶有營(yíng)銷推廣性質(zhì)的信息，必須提供有效的拒收、退訂選擇，意味著不能在像過去那樣肆無(wú)忌憚的打擾用戶，一旦用戶退訂之后我們就不能以同樣的方式再次發(fā)送信息。

一方面制定營(yíng)銷推廣計(jì)劃時(shí)需要提前做好準(zhǔn)備，通過過往數(shù)據(jù)將用戶細(xì)分，從而有針對(duì)性的將推廣內(nèi)容觸達(dá)給消費(fèi)者，降低退訂率。除此之外用戶拒收或退訂后，也可采用組合營(yíng)銷的方式，再次觸達(dá)該用戶，比如用戶將短信退訂了，我們過段時(shí)間可以在用電話呼叫嘗試一次。

第四十六條：銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)督促和規(guī)范與其合作的互聯(lián)網(wǎng)平臺(tái)企業(yè)有效保護(hù)消費(fèi)者個(gè)人信息，未經(jīng)消費(fèi)者同意，不得在不同平臺(tái)間傳遞消費(fèi)者個(gè)人信息，法律法規(guī)另有規(guī)定的除外。

在不同平臺(tái)傳遞用戶個(gè)人信息，需經(jīng)用戶同意，主要針對(duì)的是銀行等金融機(jī)構(gòu)在互聯(lián)網(wǎng)平臺(tái)的投放場(chǎng)景，產(chǎn)品流程中需要在明顯位置加入授權(quán)提示。隨著個(gè)人信息保護(hù)法的出臺(tái)，頭部平臺(tái)早已完成對(duì)應(yīng)整改，在進(jìn)件過程中都會(huì)有明確的提示，取得用戶同意后才會(huì)進(jìn)行信息傳遞，但是一些腰尾部平臺(tái)動(dòng)作太慢的話可能會(huì)進(jìn)一步失去競(jìng)爭(zhēng)力。

2. 產(chǎn)品流程

第四十三條：銀行保險(xiǎn)機(jī)構(gòu)收集消費(fèi)者個(gè)人信息應(yīng)當(dāng)向消費(fèi)者告知收集使用的目的、方式和范圍等規(guī)則，并經(jīng)消費(fèi)者同意，法律法規(guī)另有規(guī)定的除外。消費(fèi)者不同意的，銀行保險(xiǎn)機(jī)構(gòu)不得因此拒絕提供不依賴于其所拒絕授權(quán)信息的金融產(chǎn)品或服務(wù)。

第四十四條：銀行保險(xiǎn)機(jī)構(gòu)通過線上渠道使用格式條款獲取個(gè)人信息授權(quán)的，不得設(shè)置默認(rèn)同意的選項(xiàng)。

收集個(gè)人信息前，必須在隱私政策中披露使用目的、方式和范圍且得到用戶同意，這一點(diǎn)大多數(shù)金融機(jī)構(gòu)已經(jīng)完成整改。產(chǎn)品流程中需額外注意的是不能設(shè)置默認(rèn)勾選同意，必須要讓用戶自主選擇。

我們團(tuán)隊(duì)此前花費(fèi)了一周時(shí)間調(diào)研了134款城商行的手機(jī)銀行APP，發(fā)現(xiàn)的確有部分APP仍在做默認(rèn)勾選，為了提升這一點(diǎn)點(diǎn)轉(zhuǎn)化率其實(shí)完全不值當(dāng)。除此之外，我們還重點(diǎn)調(diào)研了這134家銀行APP在身份及信息安全流程中的做法，并形成一份調(diào)研報(bào)告，接下來(lái)也正好到了《辦法》中關(guān)于信息安全的部分內(nèi)容。

3. 信息安全

第三十條：銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)合理設(shè)計(jì)業(yè)務(wù)流程和操作規(guī)范，在辦理業(yè)務(wù)過程中落實(shí)消費(fèi)者身份識(shí)別和驗(yàn)證，不得為偽造、冒用他人身份的客戶開立賬戶。

消費(fèi)者權(quán)益保護(hù)管理辦法中，再一次強(qiáng)調(diào)了身份認(rèn)證的重要性，身份認(rèn)證是守護(hù)金融安全的重要環(huán)節(jié)，隨著移動(dòng)互聯(lián)網(wǎng)的發(fā)展，近年來(lái)接連發(fā)生的手機(jī)銀行APP因身份欺詐、人臉識(shí)別系統(tǒng)被攻破等事件，給消費(fèi)者以及銀行帶來(lái)巨大損失。金融機(jī)構(gòu)需要進(jìn)一步加強(qiáng)對(duì)消費(fèi)者身份的識(shí)別及認(rèn)證，在產(chǎn)品流程中諸如開戶、轉(zhuǎn)賬、身份信息更新等敏感場(chǎng)景采用更加嚴(yán)格的身份認(rèn)證手段或多因子認(rèn)證措施完成認(rèn)證。

第四十二條 銀行保險(xiǎn)機(jī)構(gòu)處理消費(fèi)者個(gè)人信息，應(yīng)當(dāng)堅(jiān)持合法、正當(dāng)、必要、誠(chéng)信原則，切實(shí)保護(hù)消費(fèi)者信息安全權(quán)。

第四十五條 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)在消費(fèi)者授權(quán)同意等基礎(chǔ)上與合作方處理消費(fèi)者個(gè)人信息。。。通過加密傳輸、安全隔離、權(quán)限管控、監(jiān)測(cè)報(bào)警、去標(biāo)識(shí)化等方式，防范數(shù)據(jù)濫用或者泄露風(fēng)險(xiǎn)。

此前個(gè)人信息保護(hù)法規(guī)定業(yè)務(wù)開展過程中處理個(gè)人信息需遵從正當(dāng)、必要原則，必須得到用戶同意，并盡可能采用匿名化、去標(biāo)識(shí)化等方式處理個(gè)人信息，而《辦法》進(jìn)一步明確了金融機(jī)構(gòu)應(yīng)如何規(guī)范處理個(gè)人信息，列舉了加密傳輸、安全隔離等諸多方式。

個(gè)人信息當(dāng)中，身份信息無(wú)疑又是最敏感的數(shù)據(jù)，結(jié)合第三十條，未來(lái)金融機(jī)構(gòu)開展業(yè)務(wù)，對(duì)于身份信息安全需要更加規(guī)范化的進(jìn)行管理，引入更嚴(yán)格且具備信息安全保護(hù)的身份認(rèn)證能力。在此次調(diào)研手機(jī)銀行APP的過程中，我們也確實(shí)發(fā)現(xiàn)普遍性都會(huì)存在一定的安全性隱患。

二、手機(jī)銀行APP存在的安全性隱患及應(yīng)對(duì)措施

個(gè)人信息當(dāng)中最敏感的就是身份信息，比如我們每個(gè)人的身份證，以及自身的人臉、指紋、聲紋等生物特征。將敏感程度最高的身份信息處理流程規(guī)范化，采用更嚴(yán)格的要求做身份認(rèn)證能力準(zhǔn)入，信息安全問題也就迎刃而解。但在此之前，我們發(fā)現(xiàn)大多數(shù)銀行卻忽視了一個(gè)重要細(xì)節(jié)。

1. 設(shè)備安全才是第一道防護(hù)門

金融機(jī)構(gòu)大多數(shù)信息安全事件，往往都發(fā)生在手機(jī)銀行APP中，互聯(lián)網(wǎng)給人帶來(lái)便利的同時(shí)，也確確實(shí)實(shí)增大了安全隱患。我們自以為身份認(rèn)證的產(chǎn)品流程已設(shè)計(jì)的非常完善，各項(xiàng)風(fēng)險(xiǎn)防范措施以及供應(yīng)商審核全部到位，卻還是能被不法分子鉆空子。在調(diào)研這134家城商行的APP過程中，我們發(fā)現(xiàn)最直接的問題竟然是設(shè)備安全的問題。

設(shè)備安全是整個(gè)產(chǎn)品流程中，保護(hù)消費(fèi)者信息安全的第一道防護(hù)門，我們想要訪問自己在互聯(lián)網(wǎng)上的銀行賬戶，大部分都是通過手機(jī)APP去登錄，APP是依附于智能手機(jī)這一硬件設(shè)備之上的，如果消費(fèi)者使用的手機(jī)設(shè)備本身都存在問題，比如，當(dāng)前登錄這個(gè)賬戶的設(shè)備，就是欺詐者持有的設(shè)備，那我們還何談后面的信息安全呢？

當(dāng)前大部分城商行的做法，都是通過手機(jī)唯一設(shè)備標(biāo)識(shí)去判斷用戶手機(jī)是否為常用設(shè)備，這種方式其實(shí)已經(jīng)違背了采集信息的最小必要原則，除此之外流程設(shè)計(jì)上也存在著漏洞。

目前業(yè)內(nèi)的做法是只要用戶在設(shè)備上登錄了賬戶，就默認(rèn)這個(gè)設(shè)備是他的常用設(shè)備，而在風(fēng)控流程中，一旦有了常用設(shè)備的設(shè)定，我們對(duì)用戶的風(fēng)險(xiǎn)判斷就會(huì)降級(jí)，比如我們登錄自己的銀行賬戶也并不是每次都要輸手機(jī)驗(yàn)證碼并且驗(yàn)證人臉的，但在一個(gè)陌生設(shè)備登錄的話就一定會(huì)更嚴(yán)格。如果把一個(gè)本來(lái)風(fēng)險(xiǎn)系數(shù)就比較高的設(shè)備默認(rèn)判斷為常用設(shè)備并做了風(fēng)險(xiǎn)降級(jí)，那么對(duì)應(yīng)的風(fēng)險(xiǎn)事件發(fā)生概率，也就成倍增長(zhǎng)。

2. 防護(hù)門需要上一把鎖

比如，我因?yàn)楣ぷ骰蛏顖?chǎng)景需要，經(jīng)常使用公共手機(jī)、無(wú)法長(zhǎng)時(shí)間保障安全的備用機(jī)等等，這樣的常用設(shè)備判定方式就是有問題的。相當(dāng)于我們?cè)诩依镅b了一道防護(hù)門，但門上卻沒有鎖。我們應(yīng)當(dāng)在此基礎(chǔ)上，多增加一類，將設(shè)備分為三層，即：陌生設(shè)備、曾用設(shè)備和常用設(shè)備，給防護(hù)門上一把鎖。

曾用設(shè)備對(duì)應(yīng)著過去常用設(shè)備的概念，用戶第二次以上登錄，即判斷為曾用。常用設(shè)備是新增加的一類，這里的“常用”即代表“可信”，需要用戶手動(dòng)去確認(rèn)自己的設(shè)備是否可信，并做出綁定行為，當(dāng)然綁定行為本身也必須要進(jìn)行一次強(qiáng)驗(yàn)證才可以。

有了常用設(shè)備的概念，我們就能基于常用設(shè)備做身份認(rèn)證的降級(jí)處理。而在對(duì)常用設(shè)備的判定上，我們摒棄了過去業(yè)內(nèi)常用的使用唯一設(shè)備碼的方案，而是采用了安全性更高，無(wú)需過度采集用戶信息，且在用戶無(wú)感知的情況下不打擾用戶即可完成設(shè)備類型判定的方式。我們會(huì)將這一創(chuàng)新方案，以及前文提到的134家手機(jī)銀行調(diào)研報(bào)告一起，分享給有需要的朋友，歡迎大家在評(píng)論區(qū)留言并關(guān)注。