央行发声,金融类App监管加码,信息安全如何保护?

监管对金融类App的规范在加码。12月11日,央行科技司司长李伟在2019年“中国金融科技全球峰会”上表示,前不久对金融类App开展标准测评和认证后,近期注意到几部委开展的对App风险的整治,其中银行类App是风险重灾区,所以将加快推进有关工作,切实防范化解风险。峰会上还宣布成立国家金融科技测评中心,致力于开展金融科技应用测评、风险监测以及监管科技与合规科技建设。

今年9月以来,监管方面已先后推出金融类App安全管理规范、整改多家金融App、敲定首批备案试点名单。其中,整改名单里因出现光大银行、天津银行等机构一度令市场哗然,将个人信息保护再度推向一个高潮。

央行官员称注意到多银行App被整治

将加快推进相关测评工作李伟在上述峰会上表示,标准决定质量,央行正积极推动现金、机具等方面强制性国家标准出台,抓紧研究涉及人工智能、区块链、大数据、云计算等领域17项行业标准。他特别提到,今年9月央行发布的《移动金融客户端应用软件安全管理规范》,就是一个推荐性的标准,从风险防控、信息保护、实名备案、监督处置等方面,提出了针对性的要求。“前不久央行发文指导互联网金融协会启动了金融App的备案管理试点工作,简单来说,就是对金融类App(包括银行类、证券类等)开展标准测评和认证,实施动态监测,及时处置相关风险。”李伟称。相比这些监管动作,更令市场瞩目的,是日前国家网络安全通报中心的一则通报,公安部门集中发现、侦办、查处整改了100款违法违规App及其运营的互联网企业,其中的银行和贷款等金融类APP受到关注,包括光大银行、天津银行、天津农商行等机构。三家银行都对此回应称,高度重视客户隐私信息保护工作,App可正常提供服务。三家银行的多位员工也对新京报记者表示,自己一直在使用本行App,没有发现异常。但一时间消息仍令市场哗然,李伟也称,“近期我注意到几部委开展的对App风险的整治,前几天100多个App下架,其中银行类App是风险重灾区,所以我们将加快推进有关工作,切实防范化解风险。”

李伟表示,加快标准供给的同时,也在积极推进标准的落地实施,把金融科技标准实施与加强金融科技创新监管相结合,通过标准、测评和认证三个环节的工作规范金融科技创新应用,提升金融科技的监管效能。

密集发声背后:

报告称七成金融App存高危漏洞风险今年9月以来,监管方面已先后推出金融类App安全管理规范、整改多家金融App、敲定首批23家备案试点名单。密集发声背后,金融App存在着怎样的风险?中国信息通信研究院日前发布的《2019金融行业移动App安全观测报告》显示,截止2019年9月11日,该报告团队从232个安卓应用市场中收录了133327款金融行业App,其中,面向个人用户的消费金融类App数量最多,占观测总数的36.74%;彩票类App排名第二,占观测总数的27.19%;面向企业的P2P金融类App排名第三,占观测总数的11.38%。根据报告,在本次观测中,发现有70.22%的金融行业App存在高危漏洞,攻击者可利用这些漏洞窃取用户数据、进行App仿冒、植入恶意程序、攻击服务等,对App安全具有严重威胁。其中Top3的高危漏洞均存在导致App数据泄露的风险。本次观测还发现,共有8217款金融行业App被检测出恶意程序,感染率为6.16%,主要涉及的恶意行为包括流氓行为、信息窃取、恶意传播、资费消耗、远程控制等多种恶意行为。

和前述被整改银行App问题较为近似的,“在具有典型代表性的12款下载量过亿的金融行业App中,多款App存在不同程度的超范围索取用户权限的情况,在隐私政策方面也存在多种违法违规行为,给用户个人隐私信息安全带来隐患。App用户的个人隐私信息一旦泄露,将带来严重的后果,如骚扰电话、信息诈骗、恶意推销、网络情感诈骗等,会严重损害App用户的利益。”报告称。

个人信息采集和使用的合规边界在哪儿?事实上,近年随着金融科技的发展,个人信息采集和使用的合规边界问题一直备受关注。金融科技专栏作家、资深观察人士毕研广对新京报记者表示,金融App正常收集个人信息,以便于风险控制、门槛设立、投资者测评等是有必要的。比如个人办理贷款时,银行需要掌握个人基本的身份信息、财力状况等,至于读取相应通讯录信息、短信信息等则没有必要。他还举例称,比如到银行办一些业务时,银行需要留下身份证复印件,但同时会在上面盖章,注明该复印件仅能用于办理银行指定业务,这样的信息收集属合规。另外常看到一些金融机构和大数据机构合作的新闻,数据公司采集的信息供金融机构使用,如果仅是从业务角度,比如供金融机构对贷款用户进行审核、验证等,而非进行买卖,也属合规。近期网传的《个人金融信息保护试行办法》拟定细节显示,监管对“个人金融信息”进行了定义,分为个人的原始信息以及延伸信息,包括身份、账号、资产等金融信息,也包含个人的敏感信息。“现在金融机构贷款很多都转到线上办理,省去面签等环节,需要提供的信息量自然也会变大。另外,怎么保证收集的个人信息只用于该项业务,不拿去倒买倒卖,这个很难,需要监管下死命令。如果泄露了,进行什么样的处罚。”一位不愿透露姓名的业内人士称,如果信息被倒卖到不法分子手里,有可能进行电话诈骗等,对用户利益造成损害。在技术方面,一位银行研究员认为,除了监管部门持续加大App治理力度外,各金融机构也应严格按照规范要求,构建全流程安全管控体制,覆盖APP软件开发、发布、使用、维护等全生命周期,对于网络攻击、信息泄露等行为,应采取相应措施予以打击,确保系统平稳运行。对于金融科技公司而言,则应从在软件设计前就准确、充分评估相关风险,植入安全程序进APP系统,在使用前进行多次模拟实验。

记者获悉,上述峰会还宣布成立了国家金融科技测评中心,并落户深圳。该中心由央行、深圳市人民政府指导,国家金融IC卡安全检测中心(银行卡检测中心)牵头建设,致力于开展金融科技应用测评、风险监测以及监管科技与合规科技建设。