金融業(yè)移動金融客戶端應用軟件備案試點工作拉開大幕,關于移動金融APP的監(jiān)管頂層設計也浮出水面。
12月9日,證券時報記者獨家獲悉一份首批23家機構試點備案名單,包括16家銀行類金融機構(含5家國有大行、5家股份行、3家城商行、2家農(nóng)商行和1家農(nóng)信聯(lián)社)、4家證券基金保險類金融機構,以及3家非銀支付機構。
“正在填材料、申請備案中!币晃粎⑴c備案的機構知情人士告訴證券時報記者,后續(xù)將引入第三方評估公司出具報告,“證明沒有泄露客戶隱私、符合客戶隱私保護條款等!
今年來,公安部已依法查處違法違規(guī)采集個人信息的APP共683款。記者獲悉,央行此前已向部分金融機構定向下發(fā)《關于發(fā)布金融行業(yè)標準加強移動金融客戶端應用軟件安全管理通知》(簡稱“237號文”)。通知顯示,央行對移動金融APP安全問題進行管理規(guī)范,主要從提升安全防護、加強個人金融信息保護、提高風險監(jiān)測能力、健全投訴處理機制、強化行業(yè)自律5個方面入手,并對備受關注的個人金融信息保護劃定了四大紅線。
蘇寧金融研究院研究員孫揚認為,這次試點的啟動,有望打破之前移動金融APP在市場上競爭無序、缺乏全面治理的情況。今后,不但從事金融業(yè)務須有相應許可,在獲取用戶信息時也須遵守相應規(guī)范,同時對用戶信息的保存、使用、流轉(zhuǎn)等,都須在監(jiān)管范疇下進行;從這次規(guī)范看,移動金融APP監(jiān)管已走向深水區(qū),后期監(jiān)管一定會將個人信息保護、移動金融APP、金融數(shù)據(jù)等都納入非現(xiàn)場檢查的重要范疇。
備案流程明晰
近期,部分APP涉違規(guī)采集用戶個人信息的風險事件引發(fā)廣泛關注。
今年9月,YY、斗魚直播、美團外賣、91短貸等32款應用軟件被工信部點名,涉未經(jīng)用戶同意,收集、使用用戶個人信息。12月6日,國家網(wǎng)絡安全通報中心稱,集中查處整改了100款違法違規(guī)APP及其運營的互聯(lián)網(wǎng)企業(yè),主要違規(guī)事由包括無隱私協(xié)議、收集使用個人信息范圍描述不清、超范圍采集個人信息和非必要采集個人信息等情形。
12月3日,中國互聯(lián)網(wǎng)金融協(xié)會在京召開移動金融APP備案管理工作試點啟動會議。會議明確,各試點機構應于2019年底前完成首批試點備案APP的材料提交和備案申請。
下一步,協(xié)會將會在全國范圍內(nèi)分批次組織開展APP備案推廣,并逐步落實風險信息共享、投訴處置機制以及行業(yè)公約、黑白名單、自律檢查、違規(guī)約束等自律管理工作。
誰將首批參與試點,備受外界廣泛關注。記者獲悉的完整名單顯示,23家試點機構包括:16家銀行類金融機構(中國工商銀行、中國農(nóng)業(yè)銀行、中國銀行、中國建設銀行、交通銀行、中信銀行(601998,股吧)、中國民生銀行、招商銀行(600036,股吧)、廣發(fā)銀行、平安銀行(000001,股吧)、西安銀行(600928,股吧)、吉林九臺農(nóng)村商業(yè)銀行、廣州農(nóng)村商業(yè)銀行、重慶三峽銀行、徽商銀行、安徽省農(nóng)信聯(lián)社),4家證券基金保險類金融機構(國泰君安證券、眾安保險、海通證券(600837,股吧)、匯添富基金),3家非銀支付機構(螞蟻金服、財付通、京東數(shù)科)。
上述知情人士告訴記者,這次試點工作的備案要點主要有三方面:“依托備案管理系統(tǒng)開展全線上的資料上傳和審核;備案分為機構基本信息登記、APP信息登記和APP軟件上傳三部分,系統(tǒng)所有項目均需填寫;試點期間各試點單位至少提交一款有代表性的資金交易類或個人信息采集類APP進行備案!
同時,按金融類APP首次發(fā)布、重大變更、一般變更或緊急變更、注銷等不同情形,明晰了備案流程!笆状伟l(fā)布(申請備案提交材料)、重大變更(申請變更備案更新材料),經(jīng)過受理審核,再完成備案/更新備案,才能實現(xiàn)公告和上架;對于已上架APP,需要一般變更或緊急變更的,可提供變更備案更新材料,再受理審核,最后更新備案公告;對于注銷APP,需提交注銷備案申請材料,受理審核,注銷備案再公告及下架!鄙鲜鲋槿耸拷榻B。
安全規(guī)范四大紅線
記者了解到,中國互金協(xié)會推動的移動金融APP備案試點背后,是央行“237號文”明確中國互金協(xié)會需承擔以下三大職責——風險監(jiān)測(健全風險共享機制、加大聯(lián)防聯(lián)控);投訴處理(通過機構核實、現(xiàn)場檢查、技術檢測、專家評議等方式查證,并督促整改);加強自律管理,其中要求制定行業(yè)公約、建立健全行業(yè)黑名單管理,做好客戶端軟件實名備案等工作,同時,定期向央行報送相關情況。
“237號文”顯示,央行對移動金融APP安全問題進行管理規(guī)范,主要從提升安全防護、加強個人金融信息保護、提高風險監(jiān)測能力、健全投訴處理機制、強化行業(yè)自律5個方面入手,并對備受關注的個人金融信息保護劃定了四大紅線。
首先,在收集、使用個人金融信息時,央行明確,各金融機構不得以默認、捆綁、停止安裝使用等手段變相強迫用戶授權,不得收集與其提供金融服務無關的個人金融信息。第二,金融機構應采取數(shù)據(jù)加密、訪問控制、安全傳輸、簽名認證等措施,防止個人金融信息在傳輸、存儲、使用等過程中被非法竊取、泄露或篡改。第三,在信息使用結束后,各金融機構應立即刪除敏感信息,在客戶端軟件卸載后不得留存?zhèn)人金融信息。最后,金融機構不得違反法律法規(guī)與用戶約定,不得泄露、非法出售或非法向他人提供個人金融信息。
“關于數(shù)據(jù)使用的邊界,不光是中國數(shù)字金融發(fā)展的問題,也是全世界都非常關注的重要問題。相對來說,在發(fā)達國家或者歐美市場,相關立法和政策規(guī)定會完善一點,特別是歐洲對這一塊比較嚴格!北本┐髮W數(shù)字金融研究中心副主任黃卓分析,“對于大數(shù)據(jù)的使用和把數(shù)據(jù)作為資產(chǎn)進行交易,這是兩個不同的層次。在符合一定授權的基礎上,在合理范圍內(nèi)進行使用,這是一個層次;把數(shù)據(jù)作為一種資產(chǎn)進行交易,這是另外一個層次。到了第二個層次,需要更加嚴格的標準,這里還涉及數(shù)據(jù)的所有權,以及采集是不是合規(guī)、利益怎么分配等等。這方面是全世界都在探索的命題。”
與“237號文”同步發(fā)出的《移動金融APP應用軟件安全管理規(guī)范》,相比之前的金融行業(yè)標準,刪除了應用場景、將人機交互安全改為身份證認證安全,增加了安全功能設計;修改了數(shù)據(jù)安全要求,在數(shù)據(jù)獲取、數(shù)據(jù)訪問控制、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)銷毀等方面提出了具體安全要求。
該《規(guī)范》要求不同類型的軟件的責任。其中,資金交易類軟件應符合資金交易、信息保護等所有技術及管理安全要求;信息采集類軟件應重點符合信息保護相關技術及管理安全要求;資訊查詢類軟件應符合相關客戶端軟件安全和管理要求。
【免責聲明】本文僅代表作者本人觀點,與和訊網(wǎng)無關。和訊網(wǎng)站對文中陳述、觀點判斷保持中立,不對所包含內(nèi)容的準確性、可靠性或完整性提供任何明示或暗示的保證。請讀者僅作參考,并請自行承擔全部責任。
最新評論