2019年2月,中央网信办、工业和信息化部、公安部、国家市场监管总局联合发布了《关于开展App违法违规收集使用个人信息专项治理的公告》(以下简称《公告》),将在全国范围内组织开展App(应用程序)违法违规收集使用个人信息专项治理行动。
2019年9月27日,中国人民银行印发《关于发布金融行业标准 加强移动金融客户端应用软件安全管理的通知》(以下简称《通知》),明确中国互联网金融协会(以下简称协会)负责移动金融App的行业自律管理和实名备案工作,要求完善客户端软件投诉处理机制,建立健全黑名单管理、自律检查、违规约束、信息共享和联防联控机制。今年4月,发布《移动金融客户端应用软件安全管理规范》(以下简称《规范》),对客户端软件的安全防护能力和个人金融信息保护等做出具体要求。
对此,协会按照相关要求稳步推进移动金融客户端软件备案工作。截至目前,已有4000余家金融机构在协会备案系统注册,填写拟申请备案的App信息1342款,协会正式发布通过备案App产品141款。
严格执行标准,规范移动金融App备案登记
一是实现全流程线上办理,备案主体可通过移动金融客户端应用软件备案管理系统进行“一站式”备案登记工作,真正做到“让数据多跑路、机构少跑腿”,方便金融机构进行备案工作。二是严格审核备案主体的合规资质、安全管理水平和拟备案App安装包、隐私保护政策、收集用户权限范围,要求备案主体提交第三方检测机构出具的检测报告并获得由国家认监委授权的认证机构出具的认证证书。三是坚持备案信息公开,对拟通过备案的App产品进行网上公示,接受社会公众的监督。
加强风险监测与处置,实时保障金融App安全
一是通过与外部机构的系统对接,建立移动金融App行业联防联控机制,实现App安全漏洞、风险隐患、仿冒钓鱼等问题实时监测和信息共享。截至目前,已有多家金融机构获取了协会共享的App风险信息并及时采取了处置措施,有效提升了移动金融App的安全水平。
二是不断完善移动金融App的投诉受理与处置机制,调动社会公众参与移动金融App治理,作为行业自律管理的重要抓手之一,加大移动金融App的社会监督力度。在落实保护金融消费者合法权益的同时,引导社会公众整体提高个人信息安全防护意识。
三是积极发现、解决新问题。积极采取有效措施,对金融机构使用的公共SDK进行单独安全检测,推动解决移动金融App在使用SDK方面的共性问题。及时向各金融机构发出风险提示,严防短信验证码被截获等公共安全隐患。实时共享仿冒钓鱼App信息,督促机构对仿冒钓鱼App采取下架、关停等措施。
建立可信渠道,强化应用下载安全性
针对目前主流App分发渠道对于金融行业的特殊性和专业性尚未建立相关审核机制情况,上线移动金融可信公共服务平台(MFTPS,Mobile Finance Trusted Public Service,以下简称可信服务平台),将完成备案的金融App同步发布到可信服务平台中,方便社会公众查询、下载并使用。从源头管控金融App安全水平,正本清源,切实保障用户的根本利益。
多措并举,提升备案管理和风险治理水平
移动金融App的备案管理和风险治理是一件任重而道远的长期工作。检测机构调查显示,高达94%的移动金融App在备案过程中进行了安全修复,平均修复漏洞和隐患4.25个,修复5个以上的App占比达41.79%;约90%的移动金融App完善了对个人信息的收集和使用规范,优化5项以上的App占比达47%。
接下来,协会将继续多措并举,强化金融科技在备案工作中的应用,提升行业整体安全水平,建立健全移动金融App行业自律管理长效机制。
一是加强科技应用,不断优化备案App的安全防护能力。加强区块链等技术在移动金融App备案管理工作中的应用,利用区块链的优势,实现风险数据的加密共享,促进投诉处置信息的公正公开。研究基于OCR技术的智能合约,将备案业务流程信息通过虚拟机运行在计算链的可信执行环境中,实现可量化业务流程的自动处理,避免人工操作失误、标准理解偏差等问题。
二是加大面向社会公众的宣传力度。加大宣传,引导广大社会公众下载使用经备案、有一定安全保障的可信的移动客户端应用软件,切实维护金融消费者的合法权益。
三是完善自律管理,建立健全行业自律管理长效机制。研究制定《移动金融客户端应用软件备案管理自律公约》,完善投诉处置模块等,进一步丰富完善移动金融App行业自律管理方式。通过风险缓释降低行业整体发生风险的概率,并调动社会参与移动金融App监督治理,建立健全移动金融App行业自律管理长效机制。
(作者系中国互联网金融协会信息科技部负责人;编辑:袁满)
