監管部門頻繁發聲個人金融信息安全問題——金融類APP信息“超采”將迎強監管

　　未來，央行和中國互聯網金融協會將加快推動備案注冊制度，加強對金融類APP的測評、認證工作。同時，也會聯合相關部委對軟件商店采取聯動措施，對于不符合規定、有重大風險隱患的APP及時采取下架措施。

　　日前，中國人民銀行科技司司長李偉表示，針對當前一些金融機構客戶端軟件存在的安全防護能力參差不齊、超范圍收集個人信息、仿冒釣魚現象突出等問題，各金融機構要建立客戶端軟件安全管理全程覆蓋機制，相關部門要建立健全客戶端軟件監督處置機制。

　　高危漏洞顯現

　　近日，國家網絡安全通報中心發布消息稱，集中查處整改了100款違法違規APP及其運營的互聯網企業，其中包括光大銀行、天津銀行等金融機構旗下手機銀行，主要違規問題集中在缺乏隱私協議、收集使用個人信息范圍描述不清、超范圍采集個人信息和非必要采集個人信息等情形。

　　“前段時間，多部委在整治過程中下架了100多個APP，其中金融類APP是重災區。后續，央行和中國互聯網金融協會將加快推動備案注冊制度，加強對金融類APP的測評、認證工作。同時，也會聯合相關部委對軟件商店采取聯動措施，對于不符合規定、有重大風險隱患的APP，及時采取下架措施。”李偉說。

　　另據中國信息通信研究院發布的《2019金融行業移動APP安全觀測報告》顯示，截至今年9月11日，報告團隊從232個安卓應用市場中收錄了133327款金融行業APP，其中，面向個人用戶的消費金融類APP數量最多，占觀測總數的36.74%；彩票類APP排名第二，占觀測總數的27.19%；面向企業的P2P金融類APP排名第三，占觀測總數的11.38%。

　　根據上述報告，在本次觀測中發現有70.22%的金融行業APP存在高危漏洞，攻擊者可利用這些漏洞竊取用戶數據、進行APP仿冒、植入惡意程序、攻擊服務等，嚴重威脅APP安全。

　　“APP用戶個人隱私信息一旦泄露，將帶來嚴重后果。比如，騷擾電話、信息詐騙、惡意推銷、網絡情感詐騙等，會嚴重損害APP用戶利益。”上述報告稱。

　　據了解，銀行APP已成為居民理財、存款、匯款以及辦理各項零售銀行業務的重要載體，因此除了需要用戶上傳個人金融信息，銀行還會根據自身業務特點與技術能力，額外要求用戶上傳“人臉”“指紋”等個人信息，但這些信息是否存在安全隱患，或者銀行是否超范圍使用這些個人信息，主要取決于銀行自身的業務操作尺度。

　　監管重拳整治

　　“近日，總行已要求對手機銀行APP開展自查，尤其是重點核查是否超范圍采集個人信息，以及將個人信息用于授權以外范疇。一經發現將迅速暫停相關操作。”一家城商行相關部門負責人透露。

　　事實上，今年9月份以來，監管方面已先后推出金融類APP安全管理規范、整改多家金融APP、敲定首批備案試點名單等措施，加強個人金融信息保護。

　　9月底，央行發布了《關于發布金融行業標準 加強移動金融客戶端應用軟件安全管理的通知》，針對移動金融APP的安全問題，從提升安全防護能力、加強個人金融信息保護、提高風險監測能力、健全投訴處理機制、強化行業自律管理5大方面進行管理規范。

　　與此同時，央行還發布了《移動金融客戶端應用軟件安全管理規范》，對2012年出臺的《中國金融移動支付客戶端技術規范》相關技術標準進行了完善，其中包括將“人機交互安全”改成“身份認證安全”，增加了“不收集與所提供服務無關的個人金融信息，收集個人金融信息前需經用戶明示同意，不得變相強迫用戶授權，不得違反收集使用個人金融信息”等要求。

　　“數據使用邊界，不光是中國數字金融發展的問題，也是全世界都非常關注的重要問題。”一位業內人士表示，在規范使用數據方面，需將數據使用與數據作為資產進行交易來區分，前者需符合在一定授權的基礎上，在合理范圍內使用；后者則需更加嚴格的標準，其中涉及數據所有權，以及采集是否合規，利益如何分配等。

　　業內人士認為，金融APP收集個人信息以便進行風險控制、開展投資者測評，這些是必要的。比如，個人辦理貸款時，銀行需要掌握個人基本身份信息、財力狀況等，至于讀取個人通訊錄信息、短信信息等則沒有必要。

　　頂層設計推進

　　值得注意的是，在對金融APP違規行為進行查處整改的同時，央行相關部門也啟動了首批金融業移動金融客戶端應用軟件備案試點工作，包括16家銀行、4家證券基金保險類金融機構和3家非銀行支付機構，已參與備案試點的相關資料申報。

　　蘇寧金融研究院研究員孫揚認為，隨著移動金融APP備案試點啟動，此前金融APP無序競爭、缺乏治理的局面將被打破。未來，金融機構獲取、保存、使用、流轉用戶信息方面的各項操作都將納入監管范疇，這無疑對金融機構合規操作提出了更高要求。

　　“此后，不但從事金融業務須有相應許可，在獲取用戶信息時也須遵守相應規范，這可以將一些非法金融行為有效出清。”孫揚說。

　　據了解，各試點機構應于2019年底前通過客戶端軟件備案管理系統完成第一批試點客戶端軟件的材料提交和備案申請，中國互聯網金融協會完成備案審核工作后擇期發布第一批通過備案的客戶端軟件清單。下一步，在全國范圍內分批次組織開展客戶端軟件備案推廣并逐步落實風險信息共享、投訴處置機制以及行業公約、黑白名單、自律檢查、違規約束等自律管理工作。（記者 姚進）