金融類(lèi)APP信息“超采”將迎強(qiáng)監(jiān)管

　　監(jiān)管部門(mén)頻繁發(fā)聲個(gè)人金融信息安全問(wèn)題——金融類(lèi)APP信息“超采”將迎強(qiáng)監(jiān)管

　　未來(lái)，央行和中國(guó)互聯(lián)網(wǎng)金融協(xié)會(huì)將加快推動(dòng)備案注冊(cè)制度，加強(qiáng)對(duì)金融類(lèi)APP的測(cè)評(píng)、認(rèn)證工作。同時(shí)，也會(huì)聯(lián)合相關(guān)部委對(duì)軟件商店采取聯(lián)動(dòng)措施，對(duì)于不符合規(guī)定、有重大風(fēng)險(xiǎn)隱患的APP及時(shí)采取下架措施。

　　日前，中國(guó)人民銀行科技司司長(zhǎng)李偉表示，針對(duì)當(dāng)前一些金融機(jī)構(gòu)客戶(hù)端軟件存在的安全防護(hù)能力參差不齊、超范圍收集個(gè)人信息、仿冒釣魚(yú)現(xiàn)象突出等問(wèn)題，各金融機(jī)構(gòu)要建立客戶(hù)端軟件安全管理全程覆蓋機(jī)制，相關(guān)部門(mén)要建立健全客戶(hù)端軟件監(jiān)督處置機(jī)制。

　　高危漏洞顯現(xiàn)

　　近日，國(guó)家網(wǎng)絡(luò)安全通報(bào)中心發(fā)布消息稱(chēng)，集中查處整改了100款違法違規(guī)APP及其運(yùn)營(yíng)的互聯(lián)網(wǎng)企業(yè)，其中包括光大銀行、天津銀行等金融機(jī)構(gòu)旗下手機(jī)銀行，主要違規(guī)問(wèn)題集中在缺乏隱私協(xié)議、收集使用個(gè)人信息范圍描述不清、超范圍采集個(gè)人信息和非必要采集個(gè)人信息等情形。

　　“前段時(shí)間，多部委在整治過(guò)程中下架了100多個(gè)APP，其中金融類(lèi)APP是重災(zāi)區(qū)。后續(xù)，央行和中國(guó)互聯(lián)網(wǎng)金融協(xié)會(huì)將加快推動(dòng)備案注冊(cè)制度，加強(qiáng)對(duì)金融類(lèi)APP的測(cè)評(píng)、認(rèn)證工作。同時(shí)，也會(huì)聯(lián)合相關(guān)部委對(duì)軟件商店采取聯(lián)動(dòng)措施，對(duì)于不符合規(guī)定、有重大風(fēng)險(xiǎn)隱患的APP，及時(shí)采取下架措施�！崩顐フf(shuō)。

　　另?yè)?jù)中國(guó)信息通信研究院發(fā)布的《2019金融行業(yè)移動(dòng)APP安全觀測(cè)報(bào)告》顯示，截至今年9月11日，報(bào)告團(tuán)隊(duì)從232個(gè)安卓應(yīng)用市場(chǎng)中收錄了133327款金融行業(yè)APP，其中，面向個(gè)人用戶(hù)的消費(fèi)金融類(lèi)APP數(shù)量最多，占觀測(cè)總數(shù)的36.74%；彩票類(lèi)APP排名第二，占觀測(cè)總數(shù)的27.19%；面向企業(yè)的P2P金融類(lèi)APP排名第三，占觀測(cè)總數(shù)的11.38%。

　　根據(jù)上述報(bào)告，在本次觀測(cè)中發(fā)現(xiàn)有70.22%的金融行業(yè)APP存在高危漏洞，攻擊者可利用這些漏洞竊取用戶(hù)數(shù)據(jù)、進(jìn)行APP仿冒、植入惡意程序、攻擊服務(wù)等，嚴(yán)重威脅APP安全。

　　“APP用戶(hù)個(gè)人隱私信息一旦泄露，將帶來(lái)嚴(yán)重后果。比如，騷擾電話(huà)、信息詐騙、惡意推銷(xiāo)、網(wǎng)絡(luò)情感詐騙等，會(huì)嚴(yán)重?fù)p害APP用戶(hù)利益。”上述報(bào)告稱(chēng)。

　　據(jù)了解，銀行APP已成為居民理財(cái)、存款、匯款以及辦理各項(xiàng)零售銀行業(yè)務(wù)的重要載體，因此除了需要用戶(hù)上傳個(gè)人金融信息，銀行還會(huì)根據(jù)自身業(yè)務(wù)特點(diǎn)與技術(shù)能力，額外要求用戶(hù)上傳“人臉”“指紋”等個(gè)人信息，但這些信息是否存在安全隱患，或者銀行是否超范圍使用這些個(gè)人信息，主要取決于銀行自身的業(yè)務(wù)操作尺度。

　　監(jiān)管重拳整治

　　“近日，總行已要求對(duì)手機(jī)銀行APP開(kāi)展自查，尤其是重點(diǎn)核查是否超范圍采集個(gè)人信息，以及將個(gè)人信息用于授權(quán)以外范疇。一經(jīng)發(fā)現(xiàn)將迅速暫停相關(guān)操作�！币患页巧绦邢嚓P(guān)部門(mén)負(fù)責(zé)人透露。

　　事實(shí)上，今年9月份以來(lái)，監(jiān)管方面已先后推出金融類(lèi)APP安全管理規(guī)范、整改多家金融APP、敲定首批備案試點(diǎn)名單等措施，加強(qiáng)個(gè)人金融信息保護(hù)。

　　9月底，央行發(fā)布了《關(guān)于發(fā)布金融行業(yè)標(biāo)準(zhǔn) 加強(qiáng)移動(dòng)金融客戶(hù)端應(yīng)用軟件安全管理的通知》，針對(duì)移動(dòng)金融APP的安全問(wèn)題，從提升安全防護(hù)能力、加強(qiáng)個(gè)人金融信息保護(hù)、提高風(fēng)險(xiǎn)監(jiān)測(cè)能力、健全投訴處理機(jī)制、強(qiáng)化行業(yè)自律管理5大方面進(jìn)行管理規(guī)范。

　　與此同時(shí)，央行還發(fā)布了《移動(dòng)金融客戶(hù)端應(yīng)用軟件安全管理規(guī)范》，對(duì)2012年出臺(tái)的《中國(guó)金融移動(dòng)支付客戶(hù)端技術(shù)規(guī)范》相關(guān)技術(shù)標(biāo)準(zhǔn)進(jìn)行了完善，其中包括將“人機(jī)交互安全”改成“身份認(rèn)證安全”，增加了“不收集與所提供服務(wù)無(wú)關(guān)的個(gè)人金融信息，收集個(gè)人金融信息前需經(jīng)用戶(hù)明示同意，不得變相強(qiáng)迫用戶(hù)授權(quán)，不得違反收集使用個(gè)人金融信息”等要求。

　　“數(shù)據(jù)使用邊界，不光是中國(guó)數(shù)字金融發(fā)展的問(wèn)題，也是全世界都非常關(guān)注的重要問(wèn)題。”一位業(yè)內(nèi)人士表示，在規(guī)范使用數(shù)據(jù)方面，需將數(shù)據(jù)使用與數(shù)據(jù)作為資產(chǎn)進(jìn)行交易來(lái)區(qū)分，前者需符合在一定授權(quán)的基礎(chǔ)上，在合理范圍內(nèi)使用；后者則需更加嚴(yán)格的標(biāo)準(zhǔn)，其中涉及數(shù)據(jù)所有權(quán)，以及采集是否合規(guī)，利益如何分配等。

　　業(yè)內(nèi)人士認(rèn)為，金融APP收集個(gè)人信息以便進(jìn)行風(fēng)險(xiǎn)控制、開(kāi)展投資者測(cè)評(píng)，這些是必要的。比如，個(gè)人辦理貸款時(shí)，銀行需要掌握個(gè)人基本身份信息、財(cái)力狀況等，至于讀取個(gè)人通訊錄信息、短信信息等則沒(méi)有必要。

　　頂層設(shè)計(jì)推進(jìn)

　　值得注意的是，在對(duì)金融APP違規(guī)行為進(jìn)行查處整改的同時(shí)，央行相關(guān)部門(mén)也啟動(dòng)了首批金融業(yè)移動(dòng)金融客戶(hù)端應(yīng)用軟件備案試點(diǎn)工作，包括16家銀行、4家證券基金保險(xiǎn)類(lèi)金融機(jī)構(gòu)和3家非銀行支付機(jī)構(gòu)，已參與備案試點(diǎn)的相關(guān)資料申報(bào)。

　　蘇寧金融研究院研究員孫揚(yáng)認(rèn)為，隨著移動(dòng)金融APP備案試點(diǎn)啟動(dòng)，此前金融APP無(wú)序競(jìng)爭(zhēng)、缺乏治理的局面將被打破。未來(lái)，金融機(jī)構(gòu)獲取、保存、使用、流轉(zhuǎn)用戶(hù)信息方面的各項(xiàng)操作都將納入監(jiān)管范疇，這無(wú)疑對(duì)金融機(jī)構(gòu)合規(guī)操作提出了更高要求。

　　“此后，不但從事金融業(yè)務(wù)須有相應(yīng)許可，在獲取用戶(hù)信息時(shí)也須遵守相應(yīng)規(guī)范，這可以將一些非法金融行為有效出清�！睂O揚(yáng)說(shuō)。

　　據(jù)了解，各試點(diǎn)機(jī)構(gòu)應(yīng)于2019年底前通過(guò)客戶(hù)端軟件備案管理系統(tǒng)完成第一批試點(diǎn)客戶(hù)端軟件的材料提交和備案申請(qǐng)，中國(guó)互聯(lián)網(wǎng)金融協(xié)會(huì)完成備案審核工作后擇期發(fā)布第一批通過(guò)備案的客戶(hù)端軟件清單。下一步，在全國(guó)范圍內(nèi)分批次組織開(kāi)展客戶(hù)端軟件備案推廣并逐步落實(shí)風(fēng)險(xiǎn)信息共享、投訴處置機(jī)制以及行業(yè)公約、黑白名單、自律檢查、違規(guī)約束等自律管理工作。（記者 姚進(jìn)）