金融业移动金融客户端应用软件备案试点工作拉开大幕,关于移动金融APP的监管顶层设计也浮出水面。
12月9日,证券时报记者独家获悉一份首批23家机构试点备案名单,包括16家银行类金融机构(含5家国有大行、5家股份行、3家城商行、2家农商行和1家农信联社)、4家证券基金保险类金融机构,以及3家非银支付机构。
“正在填材料、申请备案中。”一位参与备案的机构知情人士告诉证券时报记者,后续将引入第三方评估公司出具报告,“证明没有泄露客户隐私、符合客户隐私保护条款等。”
今年来,公安部已依法查处违法违规采集个人信息的APP共683款。记者获悉,央行此前已向部分金融机构定向下发《关于发布金融行业标准加强移动金融客户端应用软件安全管理通知》(简称“237号文”)。通知显示,央行对移动金融APP安全问题进行管理规范,主要从提升安全防护、加强个人金融信息保护、提高风险监测能力、健全投诉处理机制、强化行业自律5个方面入手,并对备受关注的个人金融信息保护划定了四大红线。
苏宁金融研究院研究员孙扬认为,这次试点的启动,有望打破之前移动金融APP在市场上竞争无序、缺乏全面治理的情况。今后,不但从事金融业务须有相应许可,在获取用户信息时也须遵守相应规范,同时对用户信息的保存、使用、流转等,都须在监管范畴下进行;从这次规范看,移动金融APP监管已走向深水区,后期监管一定会将个人信息保护、移动金融APP、金融数据等都纳入非现场检查的重要范畴。
备案流程明晰
近期,部分APP涉违规采集用户个人信息的风险事件引发广泛关注。
今年9月,YY、斗鱼直播、美团外卖、91短贷等32款应用软件被工信部点名,涉未经用户同意,收集、使用用户个人信息。12月6日,国家网络安全通报中心称,集中查处整改了100款违法违规APP及其运营的互联网企业,主要违规事由包括无隐私协议、收集使用个人信息范围描述不清、超范围采集个人信息和非必要采集个人信息等情形。
12月3日,中国互联网金融协会在京召开移动金融APP备案管理工作试点启动会议。会议明确,各试点机构应于2019年底前完成首批试点备案APP的材料提交和备案申请。(下转A2版)(上接A1版)下一步,协会将会在全国范围内分批次组织开展APP备案推广,并逐步落实风险信息共享、投诉处置机制以及行业公约、黑白名单、自律检查、违规约束等自律管理工作。
谁将首批参与试点,备受外界广泛关注。记者获悉的完整名单显示,23家试点机构包括:16家银行类金融机构(中国工商银行、中国农业银行、中国银行、中国建设银行、交通银行、中信银行、中国民生银行、招商银行、广发银行、平安银行、西安银行、吉林九台农村商业银行、广州农村商业银行、重庆三峡银行、徽商银行、安徽省农信联社),4家证券基金保险类金融机构(国泰君安证券、众安保险、海通证券、汇添富基金),3家非银支付机构(蚂蚁金服、财付通、京东数科)。
上述知情人士告诉记者,这次试点工作的备案要点主要有三方面:“依托备案管理系统开展全线上的资料上传和审核;备案分为机构基本信息登记、APP信息登记和APP软件上传三部分,系统所有项目均需填写;试点期间各试点单位至少提交一款有代表性的资金交易类或个人信息采集类APP进行备案。”
同时,按金融类APP首次发布、重大变更、一般变更或紧急变更、注销等不同情形,明晰了备案流程。“首次发布(申请备案提交材料)、重大变更(申请变更备案更新材料),经过受理审核,再完成备案/更新备案,才能实现公告和上架;对于已上架APP,需要一般变更或紧急变更的,可提供变更备案更新材料,再受理审核,最后更新备案公告;对于注销APP,需提交注销备案申请材料,受理审核,注销备案再公告及下架。”上述知情人士介绍。
安全规范四大红线
记者了解到,中国互金协会推动的移动金融APP备案试点背后,是央行“237号文”明确中国互金协会需承担以下三大职责——风险监测(健全风险共享机制、加大联防联控);投诉处理(通过机构核实、现场检查、技术检测、专家评议等方式查证,并督促整改);加强自律管理,其中要求制定行业公约、建立健全行业黑名单管理,做好客户端软件实名备案等工作,同时,定期向央行报送相关情况。
“237号文”显示,央行对移动金融APP安全问题进行管理规范,主要从提升安全防护、加强个人金融信息保护、提高风险监测能力、健全投诉处理机制、强化行业自律5个方面入手,并对备受关注的个人金融信息保护划定了四大红线。
首先,在收集、使用个人金融信息时,央行明确,各金融机构不得以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得收集与其提供金融服务无关的个人金融信息。第二,金融机构应采取数据加密、访问控制、安全传输、签名认证等措施,防止个人金融信息在传输、存储、使用等过程中被非法窃取、泄露或篡改。第三,在信息使用结束后,各金融机构应立即删除敏感信息,在客户端软件卸载后不得留存个人金融信息。最后,金融机构不得违反法律法规与用户约定,不得泄露、非法出售或非法向他人提供个人金融信息。
“关于数据使用的边界,不光是中国数字金融发展的问题,也是全世界都非常关注的重要问题。相对来说,在发达国家或者欧美市场,相关立法和政策规定会完善一点,特别是欧洲对这一块比较严格。”北京大学数字金融研究中心副主任黄卓分析,“对于大数据的使用和把数据作为资产进行交易,这是两个不同的层次。在符合一定授权的基础上,在合理范围内进行使用,这是一个层次;把数据作为一种资产进行交易,这是另外一个层次。到了第二个层次,需要更加严格的标准,这里还涉及数据的所有权,以及采集是不是合规、利益怎么分配等等。这方面是全世界都在探索的命题。”
与“237号文”同步发出的《移动金融APP应用软件安全管理规范》,相比之前的金融行业标准,删除了应用场景、将人机交互安全改为身份证认证安全,增加了安全功能设计;修改了数据安全要求,在数据获取、数据访问控制、数据传输、数据存储、数据销毁等方面提出了具体安全要求。
该《规范》要求不同类型的软件的责任。其中,资金交易类软件应符合资金交易、信息保护等所有技术及管理安全要求;信息采集类软件应重点符合信息保护相关技术及管理安全要求;资讯查询类软件应符合相关客户端软件安全和管理要求。(记者 段久惠 王玉玲)
(来源:《证券时报》)