文章來源:北京商報
隨著金融業(yè)移動金融客戶端應(yīng)用軟件(以下簡稱“移動金融App”)備案試點工作的開啟,關(guān)于移動金融App的監(jiān)管頂層設(shè)計也浮出水面。北京商報記者從知情人士處獲悉,央行此前已向部分金融機構(gòu)定向下發(fā)《關(guān)于發(fā)布金融行業(yè)標(biāo)準(zhǔn)加強移動金融客戶端應(yīng)用軟件安全管理通知》(以下簡稱“通知”),12月5日,北京商報記者獲悉了該通知全文。從通知來看,央行對移動金融App安全問題,主要從提升安全防護、加強個人金融信息保護、提高風(fēng)險監(jiān)測能力、健全投訴處理機制、強化行業(yè)自律五個方面進行了管理規(guī)范。
劃明四大紅線
在移動金融App安全規(guī)范中,針對個人金融信息泄露問題的整肅已成為重中之重。北京商報記者注意到,在個人金融信息保護方面,央行從信息收集、使用、傳輸、存儲等多個環(huán)節(jié)中,為各金融機構(gòu)劃定了四條紅線。
首先,在收集、使用個人金融信息時,央行明確,各金融機構(gòu)不得以默認、捆綁、停止安裝使用等手段變相強迫用戶授權(quán),不得收集與其提供金融服務(wù)無關(guān)的個人金融信息。同時,金融機構(gòu)應(yīng)采取數(shù)據(jù)加密、訪問控制、安全傳輸、簽名認證等措施,防止個人金融信息在傳輸、存儲、使用等過程中被非法竊取、泄露或篡改。而在信息使用結(jié)束后,各金融機構(gòu)應(yīng)立即刪除敏感信息,在客戶端軟件卸載后不得留存?zhèn)€人金融信息。此外,金融機構(gòu)不得違反法律法規(guī)與用戶約定,不得泄露、非法出售或非法向他人提供個人金融信息。
對此,杭州電子科技大學(xué)教授徐偉棟指出,對于移動金融App的合規(guī)化其實目標(biāo)很明確,主要是從金融產(chǎn)品、風(fēng)控與貸后的需求出發(fā),尋找“最小”“必要”的信息項,然后提交客戶端開發(fā)出相應(yīng)的提取信息功能,而不是以前的客戶端一股腦把能拿到的信息都塞到后端入庫,再看哪個信息可以用來加工變量。
蘇寧金融研究院研究員孫揚則指出,金融行業(yè)監(jiān)管一直呈趨嚴(yán)態(tài)勢,包括從金融業(yè)態(tài)強監(jiān)管、金融科技強監(jiān)管、金融數(shù)據(jù)強監(jiān)管等多方面來看,均在穩(wěn)步推進。而從此次規(guī)范來看,移動金融App監(jiān)管已走向深水區(qū),后期監(jiān)管一定會將個人信息保護、移動金融App、金融數(shù)據(jù)等都納入非現(xiàn)場檢查的重要范疇。
23家機構(gòu)參與試點
值得關(guān)注的是,針對移動金融客戶端應(yīng)用軟件安全管理,中國互聯(lián)網(wǎng)金融協(xié)會(以下簡稱“協(xié)會”)也已開始行動。12月3日,協(xié)會在京召開移動金融App備案管理工作試點啟動會議,明確各試點機構(gòu)應(yīng)于2019年底前完成首批試點備案申請。
北京商報記者從相關(guān)知情人士處獲悉,本次備案試點主要本著機構(gòu)自愿申請的原則,首批參與移動金融App備案申請的有來自銀行、證券、基金、保險、支付等領(lǐng)域的23家試點機構(gòu),目前協(xié)會已出具體試點方案。該人士推測,“從首批申請機構(gòu)類型來看,目前主要是從持牌類金融機構(gòu)開始試點,后續(xù)協(xié)會或?qū)⒏鶕?jù)試點情況進一步完善備案流程,統(tǒng)一行業(yè)標(biāo)準(zhǔn)和備案規(guī)則,從而進一步將備案覆蓋至更多金融業(yè)務(wù)類型從業(yè)機構(gòu)”。
“試點一事對行業(yè)來說無疑是一大利好,一方面有利于形成行業(yè)標(biāo)桿效應(yīng),另一方面,部分不規(guī)范的公司也會按照相應(yīng)要求進行整改?!绷阋佳芯吭涸洪L于百程在接受北京商報記者采訪時指出,盡管首批試點為持牌機構(gòu),但不乏后期會拓展至互聯(lián)網(wǎng)金融類公司,只要有金融相關(guān)業(yè)務(wù)的移動App,都應(yīng)該會受到同樣的規(guī)范。
孫揚也稱,此前移動金融APP在市場上開展其實是較為無序的,缺乏全面治理,此次規(guī)范的下發(fā)和試點的啟動,對于金融App治理來說,可以稱之為一個里程碑式的事件,此后,不但從事金融業(yè)務(wù)須有相應(yīng)許可,在獲取用戶信息時也須遵守相應(yīng)規(guī)范,同時對用戶信息的保存、使用、流轉(zhuǎn)等,都須在監(jiān)管范疇下進行,有利于從金融供給側(cè)層面對一些非法金融行為進行有效出清。
金融App頑疾何解
針對部分移動金融App安全問題,監(jiān)管除加強審核規(guī)范外,同時也加大了對違規(guī)行為的打擊力度。12月4日,國家網(wǎng)絡(luò)安全通報中心官方披露,2019年11月以來,全國公安機關(guān)網(wǎng)安部門已集中查處整改100款違法違規(guī)App及其運營的互聯(lián)網(wǎng)企業(yè),銀行和貸款等金融類App為“重災(zāi)區(qū)”,其中不乏光大銀行、天津銀行等持牌類金融機構(gòu)。多位業(yè)內(nèi)人士一致認為,根治金融行業(yè)App頑疾是一場持久戰(zhàn),仍需監(jiān)管方、應(yīng)用商店運營者、App運營方等多管齊下、多方參與治理。
中國民生銀行研究院研究員郭曉蓓指出,除了監(jiān)管部門持續(xù)加大App治理力度外,各金融機構(gòu)也應(yīng)嚴(yán)格按照規(guī)范要求構(gòu)建全流程安全管控體制,覆蓋App軟件開發(fā)、發(fā)布、使用、維護等全生命周期,對于網(wǎng)絡(luò)攻擊、信息泄露等行為,應(yīng)采取相應(yīng)措施予以打擊,確保系統(tǒng)平穩(wěn)運行。對金融科技公司而言,應(yīng)在軟件設(shè)計前就準(zhǔn)確、充分評估相關(guān)風(fēng)險,植入安全程序進App系統(tǒng),在使用前進行多次模擬實驗。
在孫揚看來,下一步移動金融App治理推進重點,仍要嚴(yán)把審核關(guān)。目前是申請備案階段,后期應(yīng)把好源頭審核關(guān),比如應(yīng)用商店運營者或相應(yīng)網(wǎng)站應(yīng)履行好平臺審核責(zé)任,配合監(jiān)管部門或自律協(xié)會對金融App從業(yè)資質(zhì)、業(yè)務(wù)合規(guī)性等進行審核,“建議金融機構(gòu)和互金企業(yè)務(wù)必遵守監(jiān)管規(guī)定,學(xué)習(xí)法律知識,配合協(xié)會和監(jiān)管,后期做好相應(yīng)備案。包括在各自App的開發(fā)、上架以及數(shù)據(jù)、保存等方面,都應(yīng)建立一個更加嚴(yán)格的流程和制度。此外,還要對App開發(fā)人員、運營人員等做好相應(yīng)培訓(xùn),以做到合法合規(guī)” 。