按照中国人民银行印发的《关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》(银发〔2019〕237 ),中国互联 金融协会承担移动金融客户端应用软件行业自律管理职责,包括制定行业公约、建立健全黑名单管理、自律检查、违规约束、信息共享等机制,做好客户端软件实名备案、风险监测等工作。基于此,协会从制度安排、基础设施、工具手段等层面着手进行研究,构建移动金融客户端应用软件自律管理工作框架,以科技手段为驱动,积极探索实践移动金融客户端软件自律管理工作。
落实监管要求,构建自律管理框架
根据《关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》(以下简称“通知”)要求,协会启动移动金融客户端应用软件(以下简称移动金融App)备案工作,结合《通知》及《移动金融客户端应用软件安全管理规范》(JR/T 0092-2019),研究制定了《移动金融客户端应用软件备案管理办法(试行)》,牢固了自律管理基础。同时,基于相关制度建设了自律管理基础设施移动金融客户端应用软件备案管理系统(以下简称“备案管理系统”)和移动金融可信公共服务平台(MFTPS,Mobile Finance Trusted Public Service,以下简称可信公共服务平台),整合移动金融App安全检测、风险监测、消费者权益保护等手段措施,形成了移动金融App自律管理工作机制框架,切实落实监管部门加强个人金融信息保护,保障金融消费者合法权益的有关要求,促进行业健康发展。
图1 移动金融App自律管理工作机制框架
基于自律管理工作框架,自备案工作开展以来,已有4000余家金融从业机构在备案管理系统注册,提交了2200余款App信息,其中900余款App完成了备案。从业态来看,参与备案的金融从业机构涵盖了银行、保险、银联、非银支付机构等。
科技手段驱动,提高自律管理效率
“工欲善其事,必先利其器”,备案工作需同时对接金融从业机构、检测认证机构、监管部门及金融消费者,参与角色多、处理流程多。实践中发现,唯有充分利用科技手段,才能切实保证备案工作质效,提高自律管理效率。
1.便捷的“一站式”备案工作
2.备案流程“上链存证”
3.持续化常态化的风险监测工作
持续化常态化开展风险监测工作,密切关注备案移动金融App风险,是落实安全发展理念,提升金融风险防控和金融监管效能的重要手段。从备案工作本身来看,风险监测不同于检测工作关注某个特定时点下的身份认证、隐私政策、密钥管理、数据安全等问题,需要动态实时跟踪了解移动金融App的风险点,是贯穿于移动金融App全生命周期的手段,是检测工作的全面延伸。
基于此,协会一方面针对常见安全漏洞、仿冒App等安全风险开展实时监控,形成风险监测 告,转发并督促金融从业机构排查整改有关问题。在风险监测过程中,协会分析研判风险线索,选取重点问题进行重点突破。例如,移动金融App在使用第三方SDK(软件开发工具包)时可能带来新的风险隐患,即根据监测情况,将对移动金融App使用的第三方SDK采取单独安全检测等措施。另一方面,协会加快落实风险信息共享,通过与检测认证机构、申请备案的金融从业机构等角色共同建立风险信息共享机制,结合备案管理系统完善风险信息的线上流转和共享,实现风险持续跟踪,为金融从业机构和监管部门及时发现、快速处置风险提供线索支持。
4.可信赖的移动金融可信公共服务平台
可信服务平台通过集中模式,建立了面向用户的官方移动金融App分发渠道,加强了正面宣传,打造金融从业机构“信得过”,金融消费者“放心用”,监管部门“管得住”的金融行业权威移动金融App服务平台,并能强化落实自律管理要求,如对已备案的移动金融App进行上下架管理,通过该平台集合 会力量、新闻媒体对已备案的移动金融App及检测认证工作进行监督等。
下一步工作计划
移动金融App备案工作有效提升了行业安全管理水平。统计显示,94%的客户端软件在备案过程中进行了安全修复,平均修复漏洞和隐患7.6个,修复5个以上的占比达58%;93%的客户端软件完善了对个人信息的收集和使用规范,优化5项以上的占比达46%。同时,金融消费者也提升了维护自身权益的意识,开始关注了解过度索要权限、隐私政策提示不清晰等App问题。
开展备案工作是探索移动金融安全风险治理体系的有益尝试和重要实践,通过督促机构提升安全防护能力、健全投诉处理机制、强化行业自律管理等多种方式,构建“机构自治、行业自律、政府监管、 会监督”的综合治理格局。
下一步,一是要进一步筑牢自律管理基础,结合实际工作开展情况,尽快制定《移动金融客户端应用软件备案管理自律公约》,围绕金融从业机构内部管理、自律检查、风险信息共享、投诉处置等方面制定自律管理细则,不断建立健全行业自律管理长效机制。二是加强风险信息共享,充分运用隐私计算、区块链等技术手段,在保障机构隐私的前提下,鼓励金融从业机构、检测认证机构间进行风险信息共享,使从业机构能更及时全面掌握移动金融App风险信息,同时尽快实现备案管理系统、可信公共服务平台与各大App商店的互联互通,形成移动金融App整体安全屏障。三是加强金融消费者教育,可重点结合可信公共服务平台开展金融消费者教育,通过举办专题培训、讲座、发布风险提示等方式,引导金融消费者了解移动金融App违法违规问题及乱象,切实保护消费者权益。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!