金融業(yè)移動(dòng)金融客戶端應(yīng)用軟件備案試點(diǎn)工作拉開(kāi)大幕����,關(guān)于移動(dòng)金融APP的監(jiān)管頂層設(shè)計(jì)也浮出水面����。
12月9日,證券時(shí)報(bào)記者獨(dú)家獲悉一份首批23家機(jī)構(gòu)試點(diǎn)備案名單����,包括16家銀行類金融機(jī)構(gòu)(含5家國(guó)有大行�����、5家股份行����、3家城商行����、2家農(nóng)商行和1家農(nóng)信聯(lián)社)、4家證券基金保險(xiǎn)類金融機(jī)構(gòu)����,以及3家非銀支付機(jī)構(gòu)。
“正在填材料����、申請(qǐng)備案中�!币晃粎⑴c備案的機(jī)構(gòu)知情人士告訴證券時(shí)報(bào)記者,后續(xù)將引入第三方評(píng)估公司出具報(bào)告����,“證明沒(méi)有泄露客戶隱私、符合客戶隱私保護(hù)條款等����������!
今年來(lái)�����,公安部已依法查處違法違規(guī)采集個(gè)人信息的APP共683款����。記者獲悉,央行此前已向部分金融機(jī)構(gòu)定向下發(fā)《關(guān)于發(fā)布金融行業(yè)標(biāo)準(zhǔn)加強(qiáng)移動(dòng)金融客戶端應(yīng)用軟件安全管理通知》(簡(jiǎn)稱“237號(hào)文”)�。通知顯示,央行對(duì)移動(dòng)金融APP安全問(wèn)題進(jìn)行管理規(guī)范����,主要從提升安全防護(hù)、加強(qiáng)個(gè)人金融信息保護(hù)�、提高風(fēng)險(xiǎn)監(jiān)測(cè)能力、健全投訴處理機(jī)制�����、強(qiáng)化行業(yè)自律5個(gè)方面入手,并對(duì)備受關(guān)注的個(gè)人金融信息保護(hù)劃定了四大紅線����。
蘇寧金融研究院研究員孫揚(yáng)認(rèn)為,這次試點(diǎn)的啟動(dòng)�,有望打破之前移動(dòng)金融APP在市場(chǎng)上競(jìng)爭(zhēng)無(wú)序、缺乏全面治理的情況�。今后,不但從事金融業(yè)務(wù)須有相應(yīng)許可����,在獲取用戶信息時(shí)也須遵守相應(yīng)規(guī)范,同時(shí)對(duì)用戶信息的保存�、使用、流轉(zhuǎn)等����,都須在監(jiān)管范疇下進(jìn)行;從這次規(guī)范看�,移動(dòng)金融APP監(jiān)管已走向深水區(qū),后期監(jiān)管一定會(huì)將個(gè)人信息保護(hù)����、移動(dòng)金融APP����、金融數(shù)據(jù)等都納入非現(xiàn)場(chǎng)檢查的重要范疇�。
備案流程明晰
近期����,部分APP涉違規(guī)采集用戶個(gè)人信息的風(fēng)險(xiǎn)事件引發(fā)廣泛關(guān)注。
今年9月�����,YY�、斗魚直播、美團(tuán)外賣�、91短貸等32款應(yīng)用軟件被工信部點(diǎn)名,涉未經(jīng)用戶同意����,收集、使用用戶個(gè)人信息�����。12月6日�����,國(guó)家網(wǎng)絡(luò)安全通報(bào)中心稱,集中查處整改了100款違法違規(guī)APP及其運(yùn)營(yíng)的互聯(lián)網(wǎng)企業(yè)�,主要違規(guī)事由包括無(wú)隱私協(xié)議、收集使用個(gè)人信息范圍描述不清����、超范圍采集個(gè)人信息和非必要采集個(gè)人信息等情形。
12月3日�����,中國(guó)互聯(lián)網(wǎng)金融協(xié)會(huì)在京召開(kāi)移動(dòng)金融APP備案管理工作試點(diǎn)啟動(dòng)會(huì)議�����。會(huì)議明確�����,各試點(diǎn)機(jī)構(gòu)應(yīng)于2019年底前完成首批試點(diǎn)備案APP的材料提交和備案申請(qǐng)����。
下一步,協(xié)會(huì)將會(huì)在全國(guó)范圍內(nèi)分批次組織開(kāi)展APP備案推廣,并逐步落實(shí)風(fēng)險(xiǎn)信息共享�、投訴處置機(jī)制以及行業(yè)公約、黑白名單�、自律檢查、違規(guī)約束等自律管理工作����。
誰(shuí)將首批參與試點(diǎn),備受外界廣泛關(guān)注�。記者獲悉的完整名單顯示�����,23家試點(diǎn)機(jī)構(gòu)包括:16家銀行類金融機(jī)構(gòu)(中國(guó)工商銀行����、中國(guó)農(nóng)業(yè)銀行、中國(guó)銀行����、中國(guó)建設(shè)銀行、交通銀行����、中信銀行(601998,股吧)、中國(guó)民生銀行、招商銀行(600036,股吧)����、廣發(fā)銀行、平安銀行(000001,股吧)�、西安銀行(600928,股吧)、吉林九臺(tái)農(nóng)村商業(yè)銀行�����、廣州農(nóng)村商業(yè)銀行�����、重慶三峽銀行�����、徽商銀行�、安徽省農(nóng)信聯(lián)社),4家證券基金保險(xiǎn)類金融機(jī)構(gòu)(國(guó)泰君安證券�、眾安保險(xiǎn)、海通證券(600837,股吧)����、匯添富基金),3家非銀支付機(jī)構(gòu)(螞蟻金服、財(cái)付通�、京東數(shù)科)。
上述知情人士告訴記者����,這次試點(diǎn)工作的備案要點(diǎn)主要有三方面:“依托備案管理系統(tǒng)開(kāi)展全線上的資料上傳和審核;備案分為機(jī)構(gòu)基本信息登記�����、APP信息登記和APP軟件上傳三部分����,系統(tǒng)所有項(xiàng)目均需填寫����;試點(diǎn)期間各試點(diǎn)單位至少提交一款有代表性的資金交易類或個(gè)人信息采集類APP進(jìn)行備案����!
同時(shí),按金融類APP首次發(fā)布�����、重大變更、一般變更或緊急變更�、注銷等不同情形,明晰了備案流程������!笆状伟l(fā)布(申請(qǐng)備案提交材料)、重大變更(申請(qǐng)變更備案更新材料)�,經(jīng)過(guò)受理審核,再完成備案/更新備案�,才能實(shí)現(xiàn)公告和上架;對(duì)于已上架APP�����,需要一般變更或緊急變更的�����,可提供變更備案更新材料�,再受理審核,最后更新備案公告�����;對(duì)于注銷APP,需提交注銷備案申請(qǐng)材料�����,受理審核�����,注銷備案再公告及下架������!鄙鲜鲋槿耸拷榻B。
安全規(guī)范四大紅線
記者了解到����,中國(guó)互金協(xié)會(huì)推動(dòng)的移動(dòng)金融APP備案試點(diǎn)背后�,是央行“237號(hào)文”明確中國(guó)互金協(xié)會(huì)需承擔(dān)以下三大職責(zé)——風(fēng)險(xiǎn)監(jiān)測(cè)(健全風(fēng)險(xiǎn)共享機(jī)制、加大聯(lián)防聯(lián)控)����;投訴處理(通過(guò)機(jī)構(gòu)核實(shí)、現(xiàn)場(chǎng)檢查�、技術(shù)檢測(cè)�����、專家評(píng)議等方式查證����,并督促整改)�;加強(qiáng)自律管理,其中要求制定行業(yè)公約�、建立健全行業(yè)黑名單管理,做好客戶端軟件實(shí)名備案等工作�,同時(shí),定期向央行報(bào)送相關(guān)情況�。
“237號(hào)文”顯示,央行對(duì)移動(dòng)金融APP安全問(wèn)題進(jìn)行管理規(guī)范����,主要從提升安全防護(hù)、加強(qiáng)個(gè)人金融信息保護(hù)����、提高風(fēng)險(xiǎn)監(jiān)測(cè)能力、健全投訴處理機(jī)制�、強(qiáng)化行業(yè)自律5個(gè)方面入手,并對(duì)備受關(guān)注的個(gè)人金融信息保護(hù)劃定了四大紅線�。
首先�����,在收集�����、使用個(gè)人金融信息時(shí)�,央行明確����,各金融機(jī)構(gòu)不得以默認(rèn)、捆綁����、停止安裝使用等手段變相強(qiáng)迫用戶授權(quán),不得收集與其提供金融服務(wù)無(wú)關(guān)的個(gè)人金融信息�����。第二����,金融機(jī)構(gòu)應(yīng)采取數(shù)據(jù)加密�����、訪問(wèn)控制、安全傳輸�����、簽名認(rèn)證等措施�����,防止個(gè)人金融信息在傳輸�、存儲(chǔ)、使用等過(guò)程中被非法竊取�����、泄露或篡改�。第三,在信息使用結(jié)束后����,各金融機(jī)構(gòu)應(yīng)立即刪除敏感信息,在客戶端軟件卸載后不得留存?zhèn)人金融信息�。最后,金融機(jī)構(gòu)不得違反法律法規(guī)與用戶約定����,不得泄露�、非法出售或非法向他人提供個(gè)人金融信息�。
“關(guān)于數(shù)據(jù)使用的邊界,不光是中國(guó)數(shù)字金融發(fā)展的問(wèn)題����,也是全世界都非常關(guān)注的重要問(wèn)題。相對(duì)來(lái)說(shuō)�����,在發(fā)達(dá)國(guó)家或者歐美市場(chǎng)����,相關(guān)立法和政策規(guī)定會(huì)完善一點(diǎn),特別是歐洲對(duì)這一塊比較嚴(yán)格����。”北京大學(xué)數(shù)字金融研究中心副主任黃卓分析����,“對(duì)于大數(shù)據(jù)的使用和把數(shù)據(jù)作為資產(chǎn)進(jìn)行交易,這是兩個(gè)不同的層次。在符合一定授權(quán)的基礎(chǔ)上�,在合理范圍內(nèi)進(jìn)行使用�,這是一個(gè)層次;把數(shù)據(jù)作為一種資產(chǎn)進(jìn)行交易����,這是另外一個(gè)層次。到了第二個(gè)層次�����,需要更加嚴(yán)格的標(biāo)準(zhǔn)�����,這里還涉及數(shù)據(jù)的所有權(quán)�,以及采集是不是合規(guī)、利益怎么分配等等�。這方面是全世界都在探索的命題����!
與“237號(hào)文”同步發(fā)出的《移動(dòng)金融APP應(yīng)用軟件安全管理規(guī)范》,相比之前的金融行業(yè)標(biāo)準(zhǔn)����,刪除了應(yīng)用場(chǎng)景����、將人機(jī)交互安全改為身份證認(rèn)證安全����,增加了安全功能設(shè)計(jì);修改了數(shù)據(jù)安全要求�����,在數(shù)據(jù)獲取�����、數(shù)據(jù)訪問(wèn)控制����、數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)����、數(shù)據(jù)銷毀等方面提出了具體安全要求。
該《規(guī)范》要求不同類型的軟件的責(zé)任�����。其中,資金交易類軟件應(yīng)符合資金交易����、信息保護(hù)等所有技術(shù)及管理安全要求����;信息采集類軟件應(yīng)重點(diǎn)符合信息保護(hù)相關(guān)技術(shù)及管理安全要求;資訊查詢類軟件應(yīng)符合相關(guān)客戶端軟件安全和管理要求�。
(責(zé)任編輯:李崢 )
最新評(píng)論