移動金融APP備案開閘 首批23家機(jī)構(gòu)試點(diǎn)

　　金融業(yè)移動金融客戶端應(yīng)用軟件備案試點(diǎn)工作拉開大幕，關(guān)于移動金融APP的監(jiān)管頂層設(shè)計也浮出水面。

　　12月9日，證券時報記者獨(dú)家獲悉一份首批23家機(jī)構(gòu)試點(diǎn)備案名單，包括16家銀行類金融機(jī)構(gòu)（含5家國有大行、5家股份行、3家城商行、2家農(nóng)商行和1家農(nóng)信聯(lián)社）、4家證券基金保險類金融機(jī)構(gòu)，以及3家非銀支付機(jī)構(gòu)。

　　“正在填材料、申請備案中�！币晃粎⑴c備案的機(jī)構(gòu)知情人士告訴證券時報記者，后續(xù)將引入第三方評估公司出具報告，“證明沒有泄露客戶隱私、符合客戶隱私保護(hù)條款等。”

　　今年來，公安部已依法查處違法違規(guī)采集個人信息的APP共683款。記者獲悉，央行此前已向部分金融機(jī)構(gòu)定向下發(fā)《關(guān)于發(fā)布金融行業(yè)標(biāo)準(zhǔn)加強(qiáng)移動金融客戶端應(yīng)用軟件安全管理通知》（簡稱“237號文”）。通知顯示，央行對移動金融APP安全問題進(jìn)行管理規(guī)范，主要從提升安全防護(hù)、加強(qiáng)個人金融信息保護(hù)、提高風(fēng)險監(jiān)測能力、健全投訴處理機(jī)制、強(qiáng)化行業(yè)自律5個方面入手，并對備受關(guān)注的個人金融信息保護(hù)劃定了四大紅線。

　　蘇寧金融研究院研究員孫揚(yáng)認(rèn)為，這次試點(diǎn)的啟動，有望打破之前移動金融APP在市場上競爭無序、缺乏全面治理的情況。今后，不但從事金融業(yè)務(wù)須有相應(yīng)許可，在獲取用戶信息時也須遵守相應(yīng)規(guī)范，同時對用戶信息的保存、使用、流轉(zhuǎn)等，都須在監(jiān)管范疇下進(jìn)行；從這次規(guī)范看，移動金融APP監(jiān)管已走向深水區(qū)，后期監(jiān)管一定會將個人信息保護(hù)、移動金融APP、金融數(shù)據(jù)等都納入非現(xiàn)場檢查的重要范疇。

　　備案流程明晰

　　近期，部分APP涉違規(guī)采集用戶個人信息的風(fēng)險事件引發(fā)廣泛關(guān)注。

　　今年9月，YY、斗魚直播、美團(tuán)外賣、91短貸等32款應(yīng)用軟件被工信部點(diǎn)名，涉未經(jīng)用戶同意，收集、使用用戶個人信息。12月6日，國家網(wǎng)絡(luò)安全通報中心稱，集中查處整改了100款違法違規(guī)APP及其運(yùn)營的互聯(lián)網(wǎng)企業(yè)，主要違規(guī)事由包括無隱私協(xié)議、收集使用個人信息范圍描述不清、超范圍采集個人信息和非必要采集個人信息等情形。

　　12月3日，中國互聯(lián)網(wǎng)金融協(xié)會在京召開移動金融APP備案管理工作試點(diǎn)啟動會議。會議明確，各試點(diǎn)機(jī)構(gòu)應(yīng)于2019年底前完成首批試點(diǎn)備案APP的材料提交和備案申請。

　　下一步，協(xié)會將會在全國范圍內(nèi)分批次組織開展APP備案推廣，并逐步落實風(fēng)險信息共享、投訴處置機(jī)制以及行業(yè)公約、黑白名單、自律檢查、違規(guī)約束等自律管理工作。

　　誰將首批參與試點(diǎn)，備受外界廣泛關(guān)注。記者獲悉的完整名單顯示，23家試點(diǎn)機(jī)構(gòu)包括：16家銀行類金融機(jī)構(gòu)（中國工商銀行、中國農(nóng)業(yè)銀行、中國銀行、中國建設(shè)銀行、交通銀行、中信銀行(601998,股吧)、中國民生銀行、招商銀行(600036,股吧)、廣發(fā)銀行、平安銀行(000001,股吧)、西安銀行(600928,股吧)、吉林九臺農(nóng)村商業(yè)銀行、廣州農(nóng)村商業(yè)銀行、重慶三峽銀行、徽商銀行、安徽省農(nóng)信聯(lián)社），4家證券基金保險類金融機(jī)構(gòu)（國泰君安證券、眾安保險、海通證券(600837,股吧)、匯添富基金），3家非銀支付機(jī)構(gòu)（螞蟻金服、財付通、京東數(shù)科）。

　　上述知情人士告訴記者，這次試點(diǎn)工作的備案要點(diǎn)主要有三方面：“依托備案管理系統(tǒng)開展全線上的資料上傳和審核；備案分為機(jī)構(gòu)基本信息登記、APP信息登記和APP軟件上傳三部分，系統(tǒng)所有項目均需填寫；試點(diǎn)期間各試點(diǎn)單位至少提交一款有代表性的資金交易類或個人信息采集類APP進(jìn)行備案。”

　　同時，按金融類APP首次發(fā)布、重大變更、一般變更或緊急變更、注銷等不同情形，明晰了備案流程�！笆状伟l(fā)布（申請備案提交材料）、重大變更（申請變更備案更新材料），經(jīng)過受理審核，再完成備案/更新備案，才能實現(xiàn)公告和上架；對于已上架APP，需要一般變更或緊急變更的，可提供變更備案更新材料，再受理審核，最后更新備案公告；對于注銷APP，需提交注銷備案申請材料，受理審核，注銷備案再公告及下架�！鄙鲜鲋�情人士介紹。

　　安全規(guī)范四大紅線

　　記者了解到，中國互金協(xié)會推動的移動金融APP備案試點(diǎn)背后，是央行“237號文”明確中國互金協(xié)會需承擔(dān)以下三大職責(zé)——風(fēng)險監(jiān)測（健全風(fēng)險共享機(jī)制、加大聯(lián)防聯(lián)控）；投訴處理（通過機(jī)構(gòu)核實、現(xiàn)場檢查、技術(shù)檢測、專家評議等方式查證，并督促整改）；加強(qiáng)自律管理，其中要求制定行業(yè)公約、建立健全行業(yè)黑名單管理，做好客戶端軟件實名備案等工作，同時，定期向央行報送相關(guān)情況。

　　“237號文”顯示，央行對移動金融APP安全問題進(jìn)行管理規(guī)范，主要從提升安全防護(hù)、加強(qiáng)個人金融信息保護(hù)、提高風(fēng)險監(jiān)測能力、健全投訴處理機(jī)制、強(qiáng)化行業(yè)自律5個方面入手，并對備受關(guān)注的個人金融信息保護(hù)劃定了四大紅線。

　　首先，在收集、使用個人金融信息時，央行明確，各金融機(jī)構(gòu)不得以默認(rèn)、捆綁、停止安裝使用等手段變相強(qiáng)迫用戶授權(quán)，不得收集與其提供金融服務(wù)無關(guān)的個人金融信息。第二，金融機(jī)構(gòu)應(yīng)采取數(shù)據(jù)加密、訪問控制、安全傳輸、簽名認(rèn)證等措施，防止個人金融信息在傳輸、存儲、使用等過程中被非法竊取、泄露或篡改。第三，在信息使用結(jié)束后，各金融機(jī)構(gòu)應(yīng)立即刪除敏感信息，在客戶端軟件卸載后不得留存?zhèn)�人金融信息。最后，金融機(jī)構(gòu)不得違反法律法規(guī)與用戶約定，不得泄露、非法出售或非法向他人提供個人金融信息。

　　“關(guān)于數(shù)據(jù)使用的邊界，不光是中國數(shù)字金融發(fā)展的問題，也是全世界都非常關(guān)注的重要問題。相對來說，在發(fā)達(dá)國家或者歐美市場，相關(guān)立法和政策規(guī)定會完善一點(diǎn)，特別是歐洲對這一塊比較嚴(yán)格。”北京大學(xué)數(shù)字金融研究中心副主任黃卓分析，“對于大數(shù)據(jù)的使用和把數(shù)據(jù)作為資產(chǎn)進(jìn)行交易，這是兩個不同的層次。在符合一定授權(quán)的基礎(chǔ)上，在合理范圍內(nèi)進(jìn)行使用，這是一個層次；把數(shù)據(jù)作為一種資產(chǎn)進(jìn)行交易，這是另外一個層次。到了第二個層次，需要更加嚴(yán)格的標(biāo)準(zhǔn)，這里還涉及數(shù)據(jù)的所有權(quán)，以及采集是不是合規(guī)、利益怎么分配等等。這方面是全世界都在探索的命題�！�

　　與“237號文”同步發(fā)出的《移動金融APP應(yīng)用軟件安全管理規(guī)范》，相比之前的金融行業(yè)標(biāo)準(zhǔn)，刪除了應(yīng)用場景、將人機(jī)交互安全改為身份證認(rèn)證安全，增加了安全功能設(shè)計；修改了數(shù)據(jù)安全要求，在數(shù)據(jù)獲取、數(shù)據(jù)訪問控制、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)銷毀等方面提出了具體安全要求。

　　該《規(guī)范》要求不同類型的軟件的責(zé)任。其中，資金交易類軟件應(yīng)符合資金交易、信息保護(hù)等所有技術(shù)及管理安全要求；信息采集類軟件應(yīng)重點(diǎn)符合信息保護(hù)相關(guān)技術(shù)及管理安全要求；資訊查詢類軟件應(yīng)符合相關(guān)客戶端軟件安全和管理要求。