一家快速崛起的金融科技公司,主打线上小额信贷和消费分期服务,成立不到三年用户规模就突破了千万。公司通过自营的移动应用程序为用户提供极速借款服务,用户只需填写基本信息和授权查询征信,几分钟内就能获得授信额度。为了提升风控模型的准确率和用户的借款转化率,这家公司要求用户授权非常广泛的数据范围,包括通讯录、通话记录、短信内容、地理位置、相册访问权限和手机应用安装列表。
公司的风控团队认为,用户授权了这些数据,就意味着公司可以无限制地使用和存储。因此,他们将用户全量数据存储在自建的数据库中,既没有设置数据分级分类,也没有实施访问控制策略。风控团队、数据分析团队、运营团队甚至客服团队都可以通过各种渠道访问到这些用户数据。更严重的是,公司为了降低服务器成本,将部分用户数据的备份文件未加密地存储在了一个公共的FTP服务器上,而这个FTP服务器居然可以通过互联网直接匿名访问。
央行在一次针对金融科技行业的常规合规检查中,发现了这家公司存在严重的数据违规问题。检查组发现,该公司存储的用户数据范围远超业务必要,包括大量不必要的敏感权限数据,例如用户的完整通讯录和短信记录。检查组还发现,这些数据的存储期限缺乏明确的制度规定,很多用户在结清贷款多年后的数据仍然保留在系统中。更致命的是,那个未加密且公网可访问的FTP服务器被检查组直接访问并下载了数据样本,确认了数据未受保护的状态。
央行的调查结论是,该公司严重违反了个人金融信息保护的相关规定,包括超范围收集用户数据、未落实数据最小必要原则、数据存储安全措施严重不足、未建立数据生命周期管理制度等多项违规行为。央行依法对该公司处以巨额罚款,并责令其立即停止违规收集用户数据的行为,限期将超范围收集的数据全部删除。同时,央行要求该公司暂停新增信贷业务三个月,进行全面整改并提交整改报告。
处罚公告发布后,公司的品牌形象遭受了毁灭性打击。媒体纷纷以"违规收集用户通讯录和短信"为标题进行报道,大量用户选择关闭账户并卸载应用程序。公司的贷款业务在整改期间几乎停滞,现金流出现严重问题。投资人也对公司的合规风险表达了严重关切,原本已经接近签约的C轮融资被紧急叫停。整改期结束后,虽然公司恢复营业,但其市场份额已经大幅缩水,用户信任的恢复更是遥遥无期。
这个案例是金融科技企业在数据合规方面的一个典型反面教材。很多金融科技公司在业务的快速扩张期,为了追求风控模型的精确度和业务转化率,往往会忽视数据合规的底线。但正如这个案例所证明的,监管对于超范围收集和违规存储用户金融数据的行为是零容忍的。金融科技企业必须建立完善的数据治理体系,将数据合规纳入企业最高管理层的日常管理议程。在收集用户数据时,必须严格遵循最小必要原则,只收集提供金融服务所必需的数据。在数据存储方面,必须实施分级分类管理和访问控制策略,严禁将用户数据以未加密形式存储在公网可达的服务器上。在数据生命周期管理方面,应当明确各类数据的保留期限和销毁流程。数据安全合规不仅是应对监管检查的被动要求,更是金融科技企业实现可持续发展的生命线。
