文|段久惠 王玉玲
来源|证券时报
金融业移动金融客户端应用软件备案试点工作拉开大幕,关于移动金融APP的监管顶层设计也浮出水面。
12月9日,证券时报记者独家获悉一份首批23家机构试点备案名单,包括16家银行类金融机构(含5家国有大行、5家股份行、3家城商行、2家农商行和1家农信联社)、4家证券基金保险类金融机构,以及3家非银支付机构。
“正在填材料、申请备案中。”一位参与备案的机构知情人士告诉证券时报记者,后续将引入第三方评估公司出具报告,“证明没有泄露客户隐私、符合客户隐私保护条款等。”
今年来,公安部已依法查处违法违规采集个人信息的APP共683款。记者获悉,央行此前已向部分金融机构定向下发《关于发布金融行业标准加强移动金融客户端应用软件安全管理通知》(简称“237号文”)。通知显示,央行对移动金融APP安全问题进行管理规范,主要从提升安全防护、加强个人金融信息保护、提高风险监测能力、健全投诉处理机制、强化行业自律5个方面入手,并对备受关注的个人金融信息保护划定了四大红线。
苏宁金融研究院研究员孙扬认为,这次试点的启动,有望打破之前移动金融APP在市场上竞争无序、缺乏全面治理的情况。今后,不但从事金融业务须有相应许可,在获取用户信息时也须遵守相应规范,同时对用户信息的保存、使用、流转等,都须在监管范畴下进行;从这次规范看,移动金融APP监管已走向深水区,后期监管一定会将个人信息保护、移动金融APP、金融数据等都纳入非现场检查的重要范畴。
备案流程明晰
近期,部分APP涉违规采集用户个人信息的风险事件引发广泛关注。
今年9月,YY、斗鱼直播、美团外卖、91短贷等32款应用软件被工信部点名,涉未经用户同意,收集、使用用户个人信息。12月6日,国家网络安全通报中心称,集中查处整改了100款违法违规APP及其运营的互联网企业,主要违规事由包括无隐私协议、收集使用个人信息范围描述不清、超范围采集个人信息和非必要采集个人信息等情形。
12月3日,中国互联网金融协会在京召开移动金融APP备案管理工作试点启动会议。会议明确,各试点机构应于2019年底前完成首批试点备案APP的材料提交和备案申请。
下一步,协会将会在全国范围内分批次组织开展APP备案推广,并逐步落实风险信息共享、投诉处置机制以及行业公约、黑白名单、自律检查、违规约束等自律管理工作。
谁将首批参与试点,备受外界广泛关注。记者获悉的完整名单显示,23家试点机构包括:
16家银行类金融机构,分别为中国工商银行、中国农业银行、中国银行、中国建设银行、交通银行、中信银行、中国民生银行、招商银行、广发银行、平安银行、西安银行、吉林九台农村商业银行、广州农村商业银行、重庆三峡银行、徽商银行、安徽省农信联社;
4家证券基金保险类金融机构,分别为国泰君安证券、众安保险、海通证券、汇添富基金;
3家非银支付机构,包含蚂蚁金服、财付通、京东数科。
上述知情人士告诉记者,这次试点工作的备案要点主要有三方面:“依托备案管理系统开展全线上的资料上传和审核;备案分为机构基本信息登记、APP信息登记和APP软件上传三部分,系统所有项目均需填写;试点期间各试点单位至少提交一款有代表性的资金交易类或个人信息采集类APP进行备案。”
同时,按金融类APP首次发布、重大变更、一般变更或紧急变更、注销等不同情形,明晰了备案流程。“首次发布(申请备案提交材料)、重大变更(申请变更备案更新材料),经过受理审核,再完成备案/更新备案,才能实现公告和上架;对于已上架APP,需要一般变更或紧急变更的,可提供变更备案更新材料,再受理审核,最后更新备案公告;对于注销APP,需提交注销备案申请材料,受理审核,注销备案再公告及下架。”上述知情人士介绍。
安全规范四大红线
记者了解到,中国互金协会推动的移动金融APP备案试点背后,是央行“237号文”明确中国互金协会需承担以下三大职责——风险监测(健全风险共享机制、加大联防联控);投诉处理(通过机构核实、现场检查、技术检测、专家评议等方式查证,并督促整改);加强自律管理,其中要求制定行业公约、建立健全行业黑名单管理,做好客户端软件实名备案等工作,同时,定期向央行报送相关情况。
“237号文”显示,央行对移动金融APP安全问题进行管理规范,主要从提升安全防护、加强个人金融信息保护、提高风险监测能力、健全投诉处理机制、强化行业自律5个方面入手,并对备受关注的个人金融信息保护划定了四大红线。
首先,在收集、使用个人金融信息时,央行明确,各金融机构不得以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得收集与其提供金融服务无关的个人金融信息。第二,金融机构应采取数据加密、访问控制、安全传输、签名认证等措施,防止个人金融信息在传输、存储、使用等过程中被非法窃取、泄露或篡改。第三,在信息使用结束后,各金融机构应立即删除敏感信息,在客户端软件卸载后不得留存个人金融信息。最后,金融机构不得违反法律法规与用户约定,不得泄露、非法出售或非法向他人提供个人金融信息。
“关于数据使用的边界,不光是中国数字金融发展的问题,也是全世界都非常关注的重要问题。相对来说,在发达国家或者欧美市场,相关立法和政策规定会完善一点,特别是欧洲对这一块比较严格。”北京大学数字金融研究中心副主任黄卓分析,“对于大数据的使用和把数据作为资产进行交易,这是两个不同的层次。在符合一定授权的基础上,在合理范围内进行使用,这是一个层次;把数据作为一种资产进行交易,这是另外一个层次。到了第二个层次,需要更加严格的标准,这里还涉及数据的所有权,以及采集是不是合规、利益怎么分配等等。这方面是全世界都在探索的命题。”
与“237号文”同步发出的《移动金融APP应用软件安全管理规范》,相比之前的金融行业标准,删除了应用场景、将人机交互安全改为身份证认证安全,增加了安全功能设计;修改了数据安全要求,在数据获取、数据访问控制、数据传输、数据存储、数据销毁等方面提出了具体安全要求。
该《规范》要求不同类型的软件的责任。其中,资金交易类软件应符合资金交易、信息保护等所有技术及管理安全要求;信息采集类软件应重点符合信息保护相关技术及管理安全要求;资讯查询类软件应符合相关客户端软件安全和管理要求。
客户端软件备案是什么?要做什么?为了什么?
客户端软件备案有法律依据
首先需要知道一个概念:互金协会是由中国人民银行会同银监会、证监会、保监会等国家有关部委组织建立的国家级互联网金融行业自律组织。
其主要职责包括:组织开展行业情况调查,制定行业标准、业务规范;收集、汇总、分析、定期发布行业基本数据,开展互联网金融领域综合统计监测和风险预警,并提供信息共享及咨询服务。
在《网络安全法》第十一条中明确规定:“ 网络相关行业组织按照章程,加强行业自律,制定网络安全行为规范,指导会员加强网络安全保护,提高网络安全保护水平,促进行业健康发展。”,这里的行业组织即为互金协会或类似组织。
该条规定为互金协会进行客户端软件备案提供了法律依据,后续的《金融科技(FinTech)发展规划(2019-2021年)》、《关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》(即237号文)中的相关条款法律依据都来源于此。
据了解,各行业主管部门根据《网络安全法》相关要求都在制定客户端软件备案办法。今年11月,教育部发布教育App备案管理办法,要求相关互联网移动应用程序通过公共服务体系进行提供者备案,并将通过互联网信息服务(ICP)备案和网络安全等级保护定级备案设为前置条件。
可以预见,未来App备案将会成为监管常态手段,而各大行业组织、行业主管部门将会成为成为直接监管部门,行业自律或将成为监管重要组成部分。
备案是客户端软件安全管理的一部分
客户端软件对于互联网金融来说就像银行网点的业务柜台,大量的信息通过它流转与用户和金融机构之间,然而这个虚拟的柜台其实并不怎么安全。
央行科技司司长李伟在客户端软件备案管理工作试点启动会议上指出,当前一些金融机构客户端软件存在的安全防护能力参差不齐、超范围收集个人信息、仿冒钓鱼现象突出等问题。毫无疑问,这些问题是威胁金融信息安全与用户财产安全的重大威胁。
客户端软件安全管理就是为了解决这些问题。客户端软件备案只是客户端软件安全管理的一部分,甚至可以说是第一步。据了解,目前备案工作主要分为三部分:
1、依托备案管理系统开展全线上的资料上传和审核;
2、完成机构基本信息登记、App信息登记和App软件上传等全部工作;
3、试点期间各试点单位至少提交1款有代表性的资金交易类或个人信息采集类App进行备案。
据媒体报道,备案流程包括首次发布、重大变更、一般变更或紧急变更、注销等不同情形。首次发布(申请备案提交材料)、重大变更(申请变更备案更新材料),经过受理审核,再完成备案/更新备案,才能实现公告和上架;对于已经上架App,需要一般变更或紧急变更,可提供变更备案更新材料,再受理审核,最后更新备案公告;对于需注销App,申请注销备案提交材料,受理审核,注销备案再公告及下架。
据了解,后续互金协会还会逐步落实风险信息共享、投诉处置机制以及行业公约、黑白名单、自律检查、违规约束等自律管理工作。
在237号文中,加强个人信息安全保护、提升安全防护能力、提高风险监测能力是文件的主要内容。文件中,央行明确提出了对个人金融信息保护的四点要求,被媒体称为“四大红线”:
第一、在收集、使用个人金融信息时,央行明确,各金融机构不得以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得收集与其提供金融服务无关的个人金融信息。
第二、同时金融机构应采取数据加密、访问控制、安全传输、签名认证等措施,防止个人金融信息在传输、存储、使用等过程被非法窃取、泄露或篡改。
第三、在信息使用结束后,各金融机构应立即删除敏感信息,在客户端软件卸载后不得留存个人金融信息。
第四、金融机构不得违反法律法规与用户约定,不得泄露、非法出售或非法向他人提供个人金融信息。
“实名制”提高门槛 保证安全
网络实名制在我国已经推行好多年了,这项制度有效增加了网络透明度,改善了当时恶劣的网络环境,让互联网不再是法外之地,同时提升了网络准入门槛:只有真正的人才可以上网。
客户端软件备案可以说是App的“网络实名制”,对于监管来说服务提供者实名制和用户实名制同样重要;对于用户来说,则可以保证自己使用的软件是正品。
“实名制”可以预见的将会提高我国目前金融软件准入的门槛,就如同用户网络实名制一样:只有真正的金融App才可以提供软件服务。当然,具体操作还需要网信办、App发布渠道等多方面协作,但是相信那一天很快会到来。(部分内容来自安知讯)
声明:文章不构成投资建议,转载请注明出处
第三届新金融Media之夜火热报名
