為防範App成為侵害個人資料保護的利器,金管會展開掃雷行動。除要求銀行須委託專業機構對現行所有App進行全面安全檢測,不合規定者今年底前須完成改善、明年2月要函報金管會,未來每年均須委外檢測。另外,銀行發布App或權限變動之前,也須經過法遵及風控部門同意,以利銀行綜合評估是否符合個人資料保護法的告知義務。金管會官員表示,法遵及風控是銀行內部控制三道防線的第二道防線,有助防範透過App不當取得客戶資料。
智慧型手機普及的年代,金融機構推出愈來愈多的App,伴隨而來的資訊安全與消費者保護議題,備受關注。以先進國家丹麥為例,其TV2電視台早在2015年就製作膾炙人口的紀錄片《手機不設防》(Addicted to My Phone),說明透過手機App在合法、但使用者不知情的情況下取得個人資料,是多麼容易的一件事。
銀行主管透露,金管會已注意到有關現象,上周四(28日)的本國銀行總經理業務聯繫會議,主動叮囑與會高層,銀行的App,已經上線者,須委託專業機構進行全面安全檢測。避免瓜田李下,專業機構明確定義為「非金融機構」的法人機構,其檢測人員應具備經濟部制定的報告簽署人資格。
有的銀行會用軟體來保護App裡的重要資料,金管會也要求,銀行採用的軟體保護技術,須為一定等級、讓駭客不易破解。銀行的安全防護機制是否完善,須由評估機構確認。
評估機構的資格,同樣不能是金融機構,評估人員應具備三年以上滲透測試經驗、或曾發現三個以上國際認可的資安漏洞、或三年內參加國際駭客競賽取得名次或入選成績。
有鑑App可能改版或升級、未來不斷有新的App問世,再加上,就算App功能都沒變,但外界風險在變、駭客技術在變,金管會也督促銀行公會修訂作業規範,要求銀行參照經濟部行動應用App基本資安自主檢測推動制度,每年都需要把App送交專業機構完成安全檢測。
【記者陳怡慈╱台北報導】銀行業者建議,政府應將第三方支付、電子支付、電子票證等業別,比照對銀行業App的要求納入規範。
銀行數位金融部門主管指出,提供App給民眾使用的機構,不是只有銀行業。第三方支付業者、電子支付業者、電子票證業者,也都有各式各樣的App,政府對資訊安全與消費者權益的保障,不應一國兩制,金管會的監理標準應該要一致。
金管會銀行局副局長莊琇媛昨晚聞訊後指出,第三方支付業者營運項目涉及儲值與轉帳,才是金管會監理的對象。金管會將通盤研議,如果有需要,將要求電支與電票業者比照辦理。
沒有留言:
張貼留言