财经

央行发声金融类App监管加码信息安全如何保护？

360截图20191212133829570.jpg

监管对金融类App的规范在加码。12月11日，央行科技司司长李伟在2019年“中国金融科技全球峰会”上表示，前不久对金融类App开展标准测评和认证后，近期注意到几部委开展的对App风险的整治，其中银行类App是风险重灾区，所以将加快推进有关工作，切实防范化解风险。

峰会上还宣布成立国家金融科技测评中心，致力于开展金融科技应用测评、风险监测以及监管科技与合规科技建设。

今年9月以来，监管方面已先后推出金融类App安全管理规范、整改多家金融App、敲定首批备案试点名单。其中，整改名单里因出现光大银行、天津银行等机构一度令市场哗然，将个人信息保护再度推向一个高潮。

央行官员称注意到多银行App被整治

将加快推进相关测评工作

李伟在上述峰会上表示，标准决定质量，央行正积极推动现金、机具等方面强制性国家标准出台，抓紧研究涉及人工智能、区块链、大数据、云计算等领域17项行业标准。他特别提到，今年9月央行发布的《移动金融客户端应用软件安全管理规范》，就是一个推荐性的标准，从风险防控、信息保护、实名备案、监督处置等方面，提出了针对性的要求。

“前不久央行发文指导互联网金融协会启动了金融App的备案管理试点工作，简单来说，就是对金融类App（包括银行类、证券类等）开展标准测评和认证，实施动态监测，及时处置相关风险。”李伟称。

相比这些监管动作，更令市场瞩目的，是日前国家网络安全通报中心的一则通报，公安部门集中发现、侦办、查处整改了100款违法违规App及其运营的互联网企业，其中的银行和贷款等金融类APP受到关注，包括光大银行、天津银行、天津农商行等机构。

三家银行都对此回应称，高度重视客户隐私信息保护工作，App可正常提供服务。三家银行的多位员工也对新京报记者表示，自己一直在使用本行App，没有发现异常。

但一时间消息仍令市场哗然，李伟也称，“近期我注意到几部委开展的对App风险的整治，前几天100多个App下架，其中银行类App是风险重灾区，所以我们将加快推进有关工作，切实防范化解风险。”

李伟表示，加快标准供给的同时，也在积极推进标准的落地实施，把金融科技标准实施与加强金融科技创新监管相结合，通过标准、测评和认证三个环节的工作规范金融科技创新应用，提升金融科技的监管效能。

密集发声背后：

报告称七成金融App存高危漏洞风险

今年9月以来，监管方面已先后推出金融类App安全管理规范、整改多家金融App、敲定首批23家备案试点名单。密集发声背后，金融App存在着怎样的风险？

中国信息通信研究院日前发布的《2019金融行业移动App安全观测报告》显示，截止2019年9月11日，该报告团队从232个安卓应用市场中收录了133327款金融行业App，其中，面向个人用户的消费金融类App数量最多，占观测总数的36.74%；彩票类App排名第二，占观测总数的27.19%；面向企业的P2P金融类App排名第三，占观测总数的11.38%。

根据报告，在本次观测中，发现有70.22%的金融行业App存在高危漏洞，攻击者可利用这些漏洞窃取用户数据、进行App仿冒、植入恶意程序、攻击服务等，对App安全具有严重威胁。其中Top3的高危漏洞均存在导致App数据泄露的风险。

本次观测还发现，共有8217款金融行业App被检测出恶意程序，感染率为6.16%，主要涉及的恶意行为包括流氓行为、信息窃取、恶意传播、资费消耗、远程控制等多种恶意行为。

和前述被整改银行App问题较为近似的，“在具有典型代表性的12款下载量过亿的金融行业App中，多款App存在不同程度的超范围索取用户权限的情况，在隐私政策方面也存在多种违法违规行为，给用户个人隐私信息安全带来隐患。App用户的个人隐私信息一旦泄露，将带来严重的后果，如骚扰电话、信息诈骗、恶意推销、网络情感诈骗等，会严重损害App用户的利益。”报告称。

个人信息采集和使用的合规边界在哪儿？

事实上，近年随着金融科技的发展，个人信息采集和使用的合规边界问题一直备受关注。

金融科技专栏作家、资深观察人士毕研广对新京报记者表示，金融App正常收集个人信息，以便于风险控制、门槛设立、投资者测评等是有必要的。比如个人办理贷款时，银行需要掌握个人基本的身份信息、财力状况等，至于读取相应通讯录信息、短信信息等则没有必要。

他还举例称，比如到银行办一些业务时，银行需要留下身份证复印件，但同时会在上面盖章，注明该复印件仅能用于办理银行指定业务，这样的信息收集属合规。另外常看到一些金融机构和大数据机构合作的新闻，数据公司采集的信息供金融机构使用，如果仅是从业务角度，比如供金融机构对贷款用户进行审核、验证等，而非进行买卖，也属合规。

近期网传的《个人金融信息保护试行办法》拟定细节显示，监管对“个人金融信息”进行了定义，分为个人的原始信息以及延伸信息，包括身份、账号、资产等金融信息，也包含个人的敏感信息。

“现在金融机构贷款很多都转到线上办理，省去面签等环节，需要提供的信息量自然也会变大。另外，怎么保证收集的个人信息只用于该项业务，不拿去倒买倒卖，这个很难，需要监管下死命令。如果泄露了，进行什么样的处罚。”一位不愿透露姓名的业内人士称，如果信息被倒卖到不法分子手里，有可能进行电话诈骗等，对用户利益造成损害。

在技术方面，一位银行研究员认为，除了监管部门持续加大App治理力度外，各金融机构也应严格按照规范要求，构建全流程安全管控体制，覆盖APP软件开发、发布、使用、维护等全生命周期，对于网络攻击、信息泄露等行为，应采取相应措施予以打击，确保系统平稳运行。对于金融科技公司而言，则应从在软件设计前就准确、充分评估相关风险，植入安全程序进APP系统，在使用前进行多次模拟实验。

新京报记者获悉，上述峰会还宣布成立了国家金融科技测评中心，并落户深圳。该中心由央行、深圳市人民政府指导，国家金融IC卡安全检测中心（银行卡检测中心）牵头建设，致力于开展金融科技应用测评、风险监测以及监管科技与合规科技建设。

【责任编辑：欧阳雪】