驚動央行！監(jiān)管劍指金融APP，不得非法出售個人信息，劃定四大紅線！23家首批試點備案，五大行、國君海通在列

　　金融業(yè)移動金融客戶端應用軟件（以下簡稱“移動金融APP”）備案試點工作已經(jīng)拉開大幕，關于移動金融APP的監(jiān)管頂層設計也浮出水面。

　　12月9日，券商中國記者獨家獲悉一份首批23家試點備案名單， 16家銀行類金融機構（含5家國有大行、5家股份行、3家城商行、2家農(nóng)商行、1家農(nóng)信聯(lián)社）、4家證券基金保險類金融機構，以及螞蟻金服、騰訊旗下財付通、京東數(shù)科這三家非銀支付機構在列。

　　“正在填材料、申請備案中�！币晃粎⑴c備案的機構的知情人士告訴券商中國記者，后續(xù)還將引入第三方的評估公司出具報告等。據(jù)記者獲悉，央行此前已向部分金融機構定向下發(fā)《關于發(fā)布金融行業(yè)標準加強移動金融客戶端應用軟件安全管理通知》（以下簡稱“237號文”）。

　　上述通知顯示，央行對移動金融APP安全問題，主要從提升安全防護、加強個人金融信息保護、提高風險監(jiān)測能力、健全投訴處理機制、強化行業(yè)自律5個方面進行了管理規(guī)范，并對備受關注的個人金融信息保護劃定了四大紅線。

　　首批23家機構已試點備案，銀行、非銀、支付機構均在列

　　移動金融APP備案動真格。12月9日，一位參與備案的機構的知情人士向記者證實，當前正在參與APP試點工作的材料申報，“后續(xù)還會引入第三方的評估公司出具報告，證明沒有泄露客戶隱私。”

　　12月3日，中國互聯(lián)網(wǎng)金融協(xié)會（以下簡稱“中互金協(xié)會”）在京召開移動金融APP備案管理工作試點啟動會議；會議明確，各試點機構應于2019年底前完成首批試點備案APP的材料提交和備案申請，協(xié)會完成備案審核工作后擇期發(fā)布第一批通過備案APP清單。下一步，協(xié)會將會在全國范圍內(nèi)分批次組織開展APP備案推廣，并逐步落實風險信息共享、投訴處置機制以及行業(yè)公約、黑白名單、自律檢查、違規(guī)約束等自律管理工作。

　　而誰將首批參與試點，備受外界廣泛關注。12月9日，券商中國記者從權威信源處獨家獲悉了完整名單，該名單顯示，試點機構涵蓋了23家來自銀行、證券、基金、保險、支付等領域的機構。具體來看，包括：

　　16家銀行類金融機構：中國工商銀行、中國農(nóng)業(yè)銀行、中國銀行、中國建設銀行、交通銀行、中信銀行(601998,股吧)、民生銀行(600016,股吧)、招商銀行(600036,股吧)、廣發(fā)銀行、平安銀行(000001,股吧)、西安銀行(600928,股吧)、吉林九臺農(nóng)村商業(yè)銀行、廣州農(nóng)村商業(yè)銀行、重慶三峽銀行、徽商銀行、安徽省農(nóng)信聯(lián)社；

　　4家證券基金保險類金融機構：國泰君安證券、眾安保險、海通證券(600837,股吧)、匯添富基金；

　　3家非銀支付機構：螞蟻金服、財付通、京東數(shù)科。

　　上述知情人士告訴記者，簡要的說，這次試點工作的備案要點主要有三方面：

　　1、依托備案管理系統(tǒng)開展全線上的資料上傳和審核；

　　2、備案分為機構基本信息登記、APP信息登記和APP軟件上傳三部分系統(tǒng)所有項目均需填寫；

　　3、試點期間各試點單位至少提交1款有代表性的資金交易類或個人信息采集類APP進行備案。

　　同時，按金融類APP首次發(fā)布、重大變更、一般變更或緊急變更、注銷等不同情形，明確了備案流程�！笆状伟l(fā)布（申請備案提交材料）、重大變更（申請變更備案更新材料），經(jīng)過受理審核，再完成備案/更新備案，才能實現(xiàn)公告和上架；對于已經(jīng)上架APP，需要一般變更或緊急變更，可提供變更備案更新材料，再受理審核，最后更新備案公告；對于需注銷APP，申請注銷備案提交材料，受理審核，注銷備案再公告及下架�！鄙鲜鲋�情人士介紹。

　　央行明確移動金融APP安全規(guī)范四大紅線

　　券商中國記者了解到，這場中互金協(xié)會推動的移動金融APP備案試點背后，是簽章日期為今年9月27日、央行向部分金融機構定向發(fā)布的“移動金融APP應用安全管理通知”（也即237號文），明確中國互聯(lián)網(wǎng)金融協(xié)會作為該項工作的重要參與者承擔三方面職責。

　　具體是風險監(jiān)測（健全風險共享機制、加大聯(lián)防聯(lián)控）、投訴處理（通過機構核實、現(xiàn)場檢查、技術檢測、專家評議等方式查證，并督促整改），還需要加強自律管理，其中就要求制定行業(yè)公約、建立健全行業(yè)黑名單管理，做好客戶端軟件實名備案等工作，同時，定期向央行報送相關情況。

　　券商中國記者獲悉的通知全文顯示，央行對移動金融APP安全問題，主要從提升安全防護、加強個人金融信息保護、提高風險監(jiān)測能力、健全投訴處理機制、強化行業(yè)自律5個方面進行了管理規(guī)范，并對備受關注的個人金融信息保護劃定了四大紅線：

　　首先，在收集、使用個人金融信息時，央行明確，各金融機構不得以默認、捆綁、停止安裝使用等手段變相強迫用戶授權，不得收集與其提供金融服務無關的個人金融信息。

　　第二，同時金融機構應采取數(shù)據(jù)加密、訪問控制、安全傳輸、簽名認證等措施，防止個人金融信息在傳輸、存儲、使用等過程被非法竊取、泄露或篡改。

　　第三，在信息使用結束后，各金融機構應立即刪除敏感信息，在客戶端軟件卸載后不得留存?zhèn)�人金融信息。

　　此外，金融機構不得違反法律法規(guī)與用戶約定，不得泄露、非法出售或非法向他入提供個人金融信息。

　　同時，與237號文同步發(fā)出的還有《移動金融APP應用軟件安全管理規(guī)范》，其中相比之前金融行業(yè)標準，刪除了應用場景、將人機交互安全改為身份證認證安全，增加了安全功能設計；修改了數(shù)據(jù)安全要求，在數(shù)據(jù)獲取、數(shù)據(jù)訪問控制、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)銷毀等方面提出了具體安全要求。

　　蘇寧金融研究院研究員孫揚認為，這次規(guī)范的下發(fā)和試點的啟動，有望打破之前移動金融APP在市場上競爭較無序、缺乏全面治理的情況，今后，不但從事金融業(yè)務須有相應許可，在獲取用戶信息時也須遵守相應規(guī)范，同時對用戶信息的保存、使用、流轉等，都須在監(jiān)管范疇下進行；從此次規(guī)范來看，移動金融APP監(jiān)管已走向深水區(qū)，后期監(jiān)管一定會將個人信息保護、移動金融APP、金融數(shù)據(jù)等都納入非現(xiàn)場檢查的重要范疇。

　　12月3日的移動金融APP應用軟件備案管理工作試點啟動會議現(xiàn)場，央行科技司司長李偉指出，針對當前一些金融機構客戶端軟件存在的安全防護能力參差不齊、超范圍收集個人信息、仿冒釣魚現(xiàn)象突出等問題，各金融機構要建立客戶端軟件安全管理全程覆蓋機制，相關部門要建立健全客戶端軟件監(jiān)督處置機制。

　　數(shù)據(jù)發(fā)展與安全隱私博弈平衡

　　近來，部分APP涉嫌違規(guī)采集用戶個人信息的風險事件頻頻引發(fā)廣泛關注。針對用戶個人信息安全，監(jiān)管頻出重拳，今年年中以來，個人信息保護監(jiān)管方面文件密集發(fā)布，然而，不僅僅是金融類APP，甚至蔓延到整個互聯(lián)網(wǎng)行業(yè)，各類APP仍然屢現(xiàn)違規(guī)，問題出在哪里？

　　今年8月，工信部對外披露多個在線直播平臺如YY、斗魚直播，美團外賣、91短貸等32款應用軟件被點名，多涉未經(jīng)用戶同意，收集、使用用戶個人信息。年初至今，公安部已依法查處違法違規(guī)采集個人信息的APP共683款。

　　12月6日，國家網(wǎng)絡安全通報中心稱，集中查處整改了100款違法違規(guī)APP及其運營的互聯(lián)網(wǎng)企業(yè)，光大銀行(601818,股吧)、天津銀行等的手機銀行，以及樊登讀書會、淘無憂、晉江小說等知名APP在榜，主要違規(guī)事由即，無隱私協(xié)議、收集使用個人信息范圍描述不清、超范圍采集個人信息和非必要采集個人信息等情形。

　　事實上，記者注意到，今年5月份到8月份，監(jiān)管部門密集出臺了《數(shù)據(jù)安全管理辦法（征求意見稿）》、《APP違法違規(guī)收集使用個人信息行為認定方法（征求意見稿）》、《個人信息安全規(guī)范（征求意見稿）》、《信息安全技術、移動互聯(lián)網(wǎng)應用（APP）收集個人信息基本規(guī)范（草案）》等。而據(jù)官方初步統(tǒng)計，截至目前，我國共近40部法律，30余部法規(guī)，200多個部門規(guī)章，涉及到個人信息保護問題已形成了多層次、多領域、內(nèi)容分散、體系龐雜的個人信息保護模式。

　　“關于數(shù)據(jù)使用的邊界，不光是中國數(shù)字金融發(fā)展的問題，也是全世界都非常關注的重要問題。相對來說，在發(fā)達國家或者歐美市場，相關立法和政策規(guī)定會完善一點，特別是歐洲對這一塊比較嚴格。”北京大學數(shù)字金融研究中心副主任黃卓介紹。

　　黃卓向券商中國記者分析，近年來中國的數(shù)字經(jīng)濟發(fā)展非�？�，涉及到規(guī)范使用方面，“對于大數(shù)據(jù)的使用和把數(shù)據(jù)作為資產(chǎn)進行交易，這是兩個不同的層次。在符合一定授權的基礎上，在合理范圍內(nèi)進行使用，這是一個層次；把數(shù)據(jù)能夠作為一種資產(chǎn)進行交易，這是另外一個層次。到了第二個層次，需要更加嚴格的標準，這里還涉及到數(shù)據(jù)的所有權，以及采集是不是合規(guī)，利益怎么分配等等。這方面是全世界都在探索的命題。至少現(xiàn)在大家把數(shù)據(jù)隱私保護提上了臺面進行關注，從這個角度來說是一個好事情�！�

　　而在業(yè)內(nèi)人士看來，金融行業(yè)APP關于信息使用的安全規(guī)范并不是一朝一夕，需監(jiān)管方、各類APP應用商店運營者、APP運營方及機構多方參與治理。

　　“數(shù)據(jù)的發(fā)展和數(shù)據(jù)的安全本來就是一個蹺蹺板，不同場景下的數(shù)據(jù)安全，沒有一個邊界，是一個動態(tài)平衡�！碧K寧金融研究院院長助理薛洪言告訴記者， 盡管APP違規(guī)收集用戶位置信息須嚴查嚴管，但需注意的是，大環(huán)境的導向來看，監(jiān)管鼓勵金融科技應用，以及在合規(guī)前提下的大數(shù)據(jù)發(fā)展。

　　央行今年9月發(fā)布的的《金融科技(FinTech)發(fā)展規(guī)劃(2019-2021年)》中，就將推動政務數(shù)據(jù)共享提上日程：“在切實保障個人隱私、商業(yè)秘密與敏感數(shù)據(jù)前提下，強化金融與刑罰、社保、工商、稅務、海關、電力、電信等行業(yè)的數(shù)據(jù)靜源融合應用，加快推進服務系統(tǒng)互聯(lián)互通，建立健全跨地區(qū)、跨部門、跨層級的數(shù)據(jù)融合應用機制，實現(xiàn)數(shù)據(jù)資源有機整合與深度利用�！�

    本文首發(fā)于微信公眾號：券商中國。文章內(nèi)容屬作者個人觀點，不代表和訊網(wǎng)立場。投資者據(jù)此操作，風險請自擔。