对已备案移动金融App统计的数据显示,94%的移动金融App在备案过程中进行了安全修复,约90%的移动金融App完善了对个人信息的收集和使用规范。规范移动金融App市场是一场艰难的“持久战”
移动金融 App市场治理与规范是一场艰难的“持久战”,尚需监管、应用商店运营者、App运营机构、普通用 户等多方合力推进。图/IC
使用某个App(即“移动客户端应用软件”),被强制要求获取相机、定位等权限;不知从何时起,被与贷款、保险等相关的骚扰电话或短信疯狂“轰炸”……你是否也有着同样的经历?
上述种种,均指向一个共同的话题——“个人信息保护”。进入移动互联 时代,仅是在App上一个简单的操作,个人信息就会被轻易“捕捉”。而当这个行为发生在金融领域,那用户将面临的就不仅仅是个人隐私泄露的威胁,更可能是真金白银的损失。
近年来,App侵害用户权益现象频发,而金融类App更是成为重灾区。
更早前的7月16日晚,央视“3·15”晚会曝光手机App违规收集个人信息问题,在其提到的50余款违规收集信息的App中,金融类的就超过40个。
由于金融类App直接涉及用户的资金安全等问题,因此如何防范风险,有效为其“打补丁”,成为多方关注焦点。在此背景下,一场自上而下的金融类App整治行动已然开启。
但显然,移动金融App市场治理与规范是一场艰难的“持久战”,尚需监管、应用商店运营者、App运营机构、普通用户等多方合力推进。
备案强监管启幕
央视在上述“3·15”晚会 道中指出,上海市消费者权益保护委员会委托第三方对市场上的App进行检测,包括国美易卡、美期分期、口袋钱包、九秒贷、趣花呗等金融App在内的50多款App,存在违规第三方SDK(即:软件开发工具包)。
“一些SDK插件会未经用户同意,收集用户的联系人、短信、位置、设备信息等。因为SDK能够收集用户的短信,以及应用安装信息,一旦用户有 络交易的验证码被获取,极有可能造成严重的经济损失。”检测人员介绍说。
另据中国信息通信研究院安全研究所发布的《2019金融行业移动App安全观测 告》,约70.22%的移动金融App存在高危漏洞,约6.16%的App被检测出恶意程序,仅有17.08%的移动金融App进行了安全加固。
与此同时,零壹智库此前针对200款金融App测评的结果显示,200款金融App都或多或少存在不合规情况,其中最为严重的问题包括:用户不同意隐私政策,则强制退出,无法使用;违反必要原则,收集与其业务无关的个人信息;未向用户提供定向推送的选项等。
移动金融App市场发展亟待规范。值得注意的是,相关监管部门正通过一系列措施,力图在对移动金融App治理中,走向“事前的事前”,进而有效保障消费者权益。
2019年6月,人民银行下发《金融科技(FinTech)发展规划(2019-2021年)》(下称《规划》)。就提升金融业务风险防范能力,人民银行指出,组织建设统一的金融风险监控平台,引导金融机构加强金融领域App与门户 站实名制和安全管理,提升对仿冒App、钓鱼 站的识别处置能力等。
三个月后(2019年9月),人民银行印发《关于发布金融行业标准 加强移动金融客户端应用软件安全管理的通知》(下称“237 文”),明确中国互联 金融协会负责移动金融App的行业自律管理和实名备案工作,并强调要完善客户端软件投诉处理机制,建立健全黑名单管理、自律检查、违规约束、信息共享和联防联控机制。
随237 文下发的还有《移动金融客户端应用软件安全管理规范》(下称《管理规范》),后者对客户端软件的安全防护能力和个人金融信息保护等提出了明确的要求。
如在个人金融信息保护方面,央行从信息收集、使用、传输、存储等多个环节,为金融机构划定红线。其中,在收集、使用个人金融信息时,央行明确指出,各金融机构不得以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得收集与其提供金融服务无关的个人金融信息。
至此,移动金融App强监管拉开序幕。
按照《规划》和237 文的相关要求,2019年12月,协会召开金融业移动金融客户端应用软件备案管理工作试点启动会议。根据会议内容,协会将在全国范围内分批次组织开展App备案推广,并逐步落实风险信息共享、投诉处置机制以及行业公约、黑白名单、自律检查、违规约束等自律管理工作。
彼时,人民银行科技司司长李伟指出,针对当前一些金融机构客户端软件存在的安全防护能力参差不齐、超范围收集个人信息、仿冒钓鱼现象突出等问题,各金融机构要建立客户端软件安全管理全程覆盖机制,相关部门要建立健全客户端软件监督处置机制。
多名业内人士指出,此前移动金融App市场较为无序,缺乏有效管理。随着237 文的下发及备案试点启动,移动金融App监管逐步走向深水区。
备案App整改率达94%
据了解,移动金融App备案工作主要分为三个步骤,包括机构信息注册登记、客户端应用软件信息登记、外部评估结果登记和备案受理。
检测过程中,备案主体须对检测不符合项进行整改,直至检测合格并获得由国家认监委授权的认证机构出具的认证证书。与此同时,协会还会对拟通过备案的App产品进行10个工作日的 上公示。公示期结束后,若无反馈或调整,则完成App产品备案。
备案过程中的整改效果显而易见。检测机构调查显示,高达94%的移动金融App在备案过程中进行了安全修复,平均修复漏洞和隐患4.25个,修复5个以上的App占比达41.79%;约90%的移动金融App完善了对个人信息的收集和使用规范,优化5项以上的App占比达47%。
但需要注意,完成备案仅是移动金融App合规发展的第一步。
多方合力的持久战
移动金融App备案工作稳步推进,但其背后亦面临不小的挑战。一方面,在提及2020年重点工作时,2019年底召开的人民银行金融科技委员会会议指出,推动金融App备案全覆盖。
“目前面临不小的压力,会继续加大检测力度,提高时效,努力完成预定目标。”李健表示。
根据45 文要求,相关金融机构在2020年5月至7月要根据摸排列表完成自评工作,并及时提交 告;8月至9月,由人民银行分支机构等对 告完成复核,并于10月30日前形成书面 告 送总行。
摸排工作主要范围包括移动金融客户端应用软件、应用程序编程接口、信息系统等,涉及人工智能、大数据、区块链等新技术金融应用风险;与45 文同步下发的《金融科技应用风险专项摸排列表》则包括个人金融信息保护、交易安全、仿冒漏洞、技术使用安全以及内控管理五大方面,涵盖40个具体摸排项、123个摸排要点。
李健亦表示,协会正按照45 文要求开展相关工作。与此同时,正研究制定《移动金融客户端应用软件备案管理自律公约》,建设投诉处置模块等,进一步完善移动金融App行业自律管理方式。
“目前在与主流应用商店运营主体加强沟通,希望大家联合起来开展工作,比如针对通过备案的移动金融App,在应用市场中做出明确标识;与此同时,将备案作为金融App上架的前置条件。”李健说。
有金融行业研究员指出,除了监管部门持续加大App治理力度外,各金融机构也应严格按照规范要求,构建全流程安全管控体制,覆盖App软件开发、发布、使用、维护等全生命周期,对于 络攻击、信息泄露等行为,应采取相应措施予以打击,确保系统平稳运行。
而在监管、App运营机构、应用商店运营者之外,用户也需不断加强自我防范意识和鉴别能力。有金融领域专业人士提醒,用户在使用金融App过程中,要注意选择正规官方软件,务必通过正规应用平台下载;切勿点击来历不明的应用供应商、链接以及二维码下载安装软件等。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!