央行给移动金融APP戴紧箍23家第一批试点存案四大红线碰不得

放大字体  缩小字体 2019-12-09 21:44:16 作者:责任编辑NO。魏云龙0298浏览次数:1114  
在收集、使用个人金融信息时,央行明确,各金融机构不得以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得收集与其提供金融服务无关的个人金融信息。金融机构不得违反法律和法规与用户约定,不得泄露、非法出售或非法向他入提供个人金融信息。

金融业移动金融客户端应用软件(以下简称“移动金融APP”)备案试点工作已经拉开大幕,关于移动金融APP的监管顶层设计也浮出水面。

12月9日,券商中国记者独家获悉一份首批23家试点备案名单, 16家银行类金融机构(含5家国有大行、5家股份行、3家城商行、2家农商行、1家农信联社)、4家证券基金保险类金融机构,以及蚂蚁金服、腾讯旗下财付通、京东数科这三家非银支付机构在列。

“正在填材料、申请备案中。”一位参与备案的机构的知情人士告诉券商中国记者,后续还将引入第三方的评估公司出具报告等。据记者获悉,央行此前已向部分金融机构定向下发《关于发布金融行业标准加强移动金融客户端应用软件安全管理通知》(以下简称“237号文”)。

上述通知显示,央行对移动金融APP安全问题,主要从提升安全防护、加强个人金融信息保护、提高风险监测能力、健全投诉处理机制、强化行业自律5个方面做了管理规范,并对备受关注的个人金融信息保护划定了四大红线。

首批23家机构已试点备案,银行、非银、支付机构均在列

移动金融APP备案动真格。12月9日,一位参与备案的机构的知情人士向记者证实,当前正在参与APP试点工作的材料申报,“后续还会引入第三方的评估公司出具报告,证明没有泄露客户隐私。”

12月3日,中国互联网金融协会(以下简称“中互金协会”)在京召开移动金融APP备案管理工作试点启动会议;会议明确,各试点机构应于2019年底前完成首批试点备案APP的材料提交和备案申请,协会完成备案审核工作后择期发布第一批通过备案APP清单。下一步,协会将会在全国范围内分批次组织开展APP备案推广,并逐步落实风险信息共享、投诉处置机制以及行业公约、黑白名单、自律检查、违规约束等自律管理工作。

而谁将首批参与试点,备受外界广泛关注。12月9日,券商中国记者从权威信源处独家获悉了完整名单,该名单显示,试点机构涵盖了23家来自银行、证券、基金、保险、支付等领域的机构。具体来看,包括:

16家银行类金融机构:中国工商银行、中国农业银行、中国银行、中国建设银行、交通银行、中信银行、民生银行、招商银行、广发银行、平安银行、西安银行、吉林九台农村商业银行、广州农村商业银行、重庆三峡银行、徽商银行、安徽省农信联社;

4家证券基金保险类金融机构:国泰君安证券、众安保险、海通证券、汇添富基金;

3家非银支付机构:蚂蚁金服、财付通、京东数科。

上述知情人士和记者说,简要的说,这次试点工作的备案要点主要有三方面:

1、依托备案管理系统开展全线上的资料上传和审核;

2、备案分为机构基本信息登记、APP信息登记和APP软件上传三部分系统所有项目均需填写;

3、试点期间各试点单位至少提交1款有代表性的资金交易类或个人隐私信息采集类APP进行备案。

同时,按金融类APP首次发布、重大变更、一般变更或紧急变更、注销等不同情形,明确了备案流程。“首次发布(申请备案提交材料)、重大变更(申请变更备案更新材料),经过受理审核,再完成备案/更新备案,才能实现公告和上架;对于已经上架APP,需要一般变更或紧急变更,可提供变更备案更新材料,再受理审核,最后更新备案公告;对于需注销APP,申请注销备案提交材料,受理审核,注销备案再公告及下架。”上述知情人士介绍。

央行明确移动金融APP安全规范四大红线

券商中国记者了解到,这场中互金协会推动的移动金融APP备案试点背后,是签章日期为今年9月27日、央行向部分金融机构定向发布的“移动金融APP应用安全管理通知”(也即237号文),明确中国互联网金融协会作为该项工作的重要参与者承担三方面职责。

具体是风险监测(健全风险共享机制、加大联防联控)、投诉处理(通过机构核实、现场检查、技术检测、专家评议等方式查证,并督促整改),还需要加强自律管理,其中就要求制定行业公约、建立健全行业黑名单管理,做好客户端软件实名备案等工作,同时,定期向央行报送相关情况。

券商中国记者获悉的通知全文显示,央行对移动金融APP安全问题,主要从提升安全防护、加强个人金融信息保护、提高风险监测能力、健全投诉处理机制、强化行业自律5个方面做了管理规范,并对备受关注的个人金融信息保护划定了四大红线:

首先,在收集、使用个人金融信息时,央行明确,各金融机构不得以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得收集与其提供金融服务无关的个人金融信息。

第二,同时金融机构应采取数据加密、访问控制、安全传输、签名认证等措施,防止个人金融信息在传输、存储、使用等过程被非法窃取、泄露或篡改。

第三,在信息使用结束后,各金融机构应马上删除敏感信息,在客户端软件卸载后不得留存个人金融信息。

此外,金融机构不得违反法律和法规与用户约定,不得泄露、非法出售或非法向他入提供个人金融信息。

同时,与237号文同步发出的还有《移动金融APP应用软件安全管理规范》,其中相比之前金融行业标准,删除了应用场景、将人机交互安全改为身份证认证安全,增加了安全功能设计;修改了数据安全要求,在数据获取、数据访问控制、数据传输、数据存储、数据销毁等方面提出了具体安全要求。

苏宁金融研究院研究员孙扬认为,这次规范的下发和试点的启动,有望打破之前移动金融APP在市场上竞争较无序、缺乏全面治理的情况,今后,不但从事金融业务须有相应许可,在获取用户个人信息时也须遵守相应规范,同时对用户个人信息的保存、使用、流转等,都须在监管范畴下进行;从此次规范来看,移动金融APP监管已走向深水区,后期监管一定会将个人隐私信息保护、移动金融APP、金融数据等都纳入非现场检查的重要范畴。

12月3日的移动金融APP应用软件备案管理工作试点启动会议现场,央行科技司司长李伟指出,针对当前一些金融机构客户端软件存在的安全防护能力参差不齐、超范围收集个人隐私信息、仿冒钓鱼现象突出等问题,各金融机构要建立客户端软件安全管理全程覆盖机制,有关部门要建立健全客户端软件监督处置机制。

数据发展与安全隐私博弈平衡

近来,部分APP涉嫌违规采集用户个人隐私信息的风险事件频频引发广泛关注。针对用户个人隐私信息安全,监管频出重拳,今年年中以来,个人信息保护监管方面文件密集发布,然而,不单单是金融类APP,甚至蔓延到整个互联网行业,各类APP仍然屡现违规,问题出在哪里?

今年8月,工信部对外披露多个在线直播平台如YY、斗鱼直播,美团外卖、91短贷等32款应用软件被点名,多涉未经用户同意,收集、使用用户个人隐私信息。年初至今,公安部已依法查处违法违规采集个人隐私信息的APP共683款。

12月6日,国家网络安全通报中心称,集中查处整改了100款违法违规APP及其运营的互联网企业,光大银行、天津银行等的手机银行,以及樊登读书会、淘无忧、晋江小说等知名APP在榜,主要违规事由即,无隐私协议、收集使用个人隐私信息范围描述不清、超范围采集个人隐私信息和非必要采集个人隐私信息等情形。

事实上,记者注意到,今年5月份到8月份,监管部门密集出台了《数据安全管理办法(征求意见稿)》、《APP违法违规收集使用个人隐私信息行为认定方法(征求意见稿)》、《个人隐私信息安全规范(征求意见稿)》、《信息安全技术、移动互联网应用(APP)收集个人隐私信息基本规范(草案)》等。而据官方初步统计,截至目前,我国共近40部法律,30余部法规,200多个部门规章,涉及到个人隐私信息保护问题已形成了多层次、多领域、内容分散、体系庞杂的个人信息保护模式。

“关于数据使用的边界,不光是中国数字金融发展的问题,也是全世界都非常关注的重要问题。相对来说,在发达国家或者欧美市场,相关立法和政策规定会完善一点,特别是欧洲对这一块比较严格。”北京大学数字金融研究中心副主任黄卓介绍。

黄卓向券商中国记者分析,近年来中国的数字经济发展非常快,涉及到规范使用方面,“对于大数据的使用和把数据作为资产进行交易,这是两个不同的层次。在符合一定授权的基础上,在合理范围内进行使用,这是一个层次;把数据能够作为一种资产进行交易,这是另外一个层次。到了第二个层次,需要更加严格的标准,这里还涉及到数据的所有权,以及采集是不是合规,利益怎么分配等等。这方面是全世界都在探索的命题。至少现在大家把数据隐私保护提上了台面进行关注,从这个角度来说是一个好事情。”

而在业内人士看来,金融行业APP关于信息使用的安全规范并不是一朝一夕,需监管方、各类APP应用商店运营者、APP运营方及机构多方参与治理。

“数据的发展和数据的安全本来就是一个跷跷板,不同场景下的数据安全,没有一个边界,是一个动态平衡。”苏宁金融研究院院长助理薛洪言和记者说, 尽管APP违规收集用户位置信息须严查严管,但需注意的是,大环境的导向来看,监管鼓励金融科技应用,以及在合规前提下的大数据发展。

央行今年9月发布的的《金融科技(FinTech)发展规划(2019-2021年)》中,就将推动政务数据共享提上日程:“在切实保障个人隐私、商业秘密与敏感数据前提下,强化金融与刑罚、社保、工商、税务、海关、电力、电信等行业的数据静源融合应用,加快推进服务系统互联互通,建立健全跨地区、跨部门、跨层级的数据融合应用机制,实现数据资源有机整合与深度利用。”

“如果发现本网站发布的资讯影响到您的版权,可以联系本站!同时欢迎来本站投稿!