金融App集中“补漏”:94%备案整改

来源:《财经》杂志 2021-04-13 15:08:48

使用某个App(即“移动客户端应用软件”),被强制要求获取相机、定位等权限;不知从何时起,被与贷款、保险等相关的骚扰电话或短信疯狂“轰炸”……你是否也有着同样的经历?

上述种种,均指向一个共同的话题——“个人信息保护”。进入移动互联网时代,仅是在App上一个简单的操作,个人信息就会被轻易“捕捉”。而当这个行为发生在金融领域,那用户将面临的就不仅仅是个人隐私泄露的威胁,更可能是真金白银的损失。

近年来,App侵害用户权益现象频发,而金融类App更是成为重灾区。

897592124185247844

 

7月24日,工信部发布关于2020年第三批侵害用户权益行为的App通报称,工业和信息化部近期组织第三方检测机构对手机应用软件进行检查,督促存在问题的企业进行整改。截至目前,尚有58款App未完成整改。《财经》记者注意到,其中涉及不少金融类App。

更早前的7月16日晚,央视“3·15”晚会曝光手机App违规收集个人信息问题,在其提到的50余款违规收集信息的App中,金融类的就超过40个。

由于金融类App直接涉及用户的资金安全等问题,因此如何防范风险,有效为其“打补丁”,成为多方关注焦点。在此背景下,一场自上而下的金融类App整治行动已然开启。

《财经》记者从多家金融机构人士处了解到,今年4月,央行启动全面摸排金融科技应用风险工作,移动金融客户端应用软件成为摸排重点之一。根据《关于开展金融科技应用风险专项摸排工作的通知》(下称“45号文”),人民银行各分支机构须在10月30日前形成书面报告报送总行。

与摸排工作同步进行的是,于2019年12月3日启动的移动金融客户端应用软件备案试点。《财经》记者获悉,截至目前,已有4000余家金融机构在中国互联网金融协会(下称“协会”)App备案系统中注册,填写了1342款拟申请备案的App信息。另据协会官网披露,截至7月15日,已有127款App产品通过备案。

但显然,移动金融App市场治理与规范是一场艰难的“持久战”,尚需监管、应用商店运营者、App运营机构、普通用户等多方合力推进。

“技术发展瞬息万变,若安全保障没有跟上,就会引入新的风险。因此,要坚持技术和安全建设‘两条腿’走路,失去安全的技术突破不仅没有实际价值,还会给社会、公众带来不利的影响。”某金融科技公司负责人坦言。

备案强监管启幕

央视在上述“3·15”晚会报道中指出,上海市消费者权益保护委员会委托第三方对市场上的App进行检测,包括国美易卡、美期分期、口袋钱包、九秒贷、趣花呗等金融App在内的50多款App,存在违规第三方SDK(即:软件开发工具包)。

“一些SDK插件会未经用户同意,收集用户的联系人、短信、位置、设备信息等。因为SDK能够收集用户的短信,以及应用安装信息,一旦用户有网络交易的验证码被获取,极有可能造成严重的经济损失。”检测人员介绍说。

另据中国信息通信研究院安全研究所发布的《2019金融行业移动App安全观测报告》,约70.22%的移动金融App存在高危漏洞,约6.16%的App被检测出恶意程序,仅有17.08%的移动金融App进行了安全加固。

与此同时,零壹智库此前针对200款金融App测评的结果显示,200款金融App都或多或少存在不合规情况,其中最为严重的问题包括:用户不同意隐私政策,则强制退出,无法使用;违反必要原则,收集与其业务无关的个人信息;未向用户提供定向推送的选项等。

移动金融App市场发展亟待规范。值得注意的是,相关监管部门正通过一系列措施,力图在对移动金融App治理中,走向“事前的事前”,进而有效保障消费者权益。

2019年6月,人民银行下发《金融科技(FinTech)发展规划(2019-2021年)》(下称《规划》)。就提升金融业务风险防范能力,人民银行指出,组织建设统一的金融风险监控平台,引导金融机构加强金融领域App与门户网站实名制和安全管理,提升对仿冒App、钓鱼网站的识别处置能力等。

三个月后(2019年9月),人民银行印发《关于发布金融行业标准 加强移动金融客户端应用软件安全管理的通知》(下称“237号文”),明确中国互联网金融协会负责移动金融App的行业自律管理和实名备案工作,并强调要完善客户端软件投诉处理机制,建立健全黑名单管理、自律检查、违规约束、信息共享和联防联控机制。

随237号文下发的还有《移动金融客户端应用软件安全管理规范》(下称《管理规范》),后者对客户端软件的安全防护能力和个人金融信息保护等提出了明确的要求。

如在个人金融信息保护方面,央行从信息收集、使用、传输、存储等多个环节,为金融机构划定红线。其中,在收集、使用个人金融信息时,央行明确指出,各金融机构不得以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得收集与其提供金融服务无关的个人金融信息。

至此,移动金融App强监管拉开序幕。

按照《规划》和237号文的相关要求,2019年12月,协会召开金融业移动金融客户端应用软件备案管理工作试点启动会议。根据会议内容,协会将在全国范围内分批次组织开展App备案推广,并逐步落实风险信息共享、投诉处置机制以及行业公约、黑白名单、自律检查、违规约束等自律管理工作。

彼时,人民银行科技司司长李伟指出,针对当前一些金融机构客户端软件存在的安全防护能力参差不齐、超范围收集个人信息、仿冒钓鱼现象突出等问题,各金融机构要建立客户端软件安全管理全程覆盖机制,相关部门要建立健全客户端软件监督处置机制。

《财经》记者了解到,首批参与移动金融App试点备案名单中,涉及银行、证券、基金、保险、支付等领域的23家持牌金融机构。

多名业内人士指出,此前移动金融App市场较为无序,缺乏有效管理。随着237号文的下发及备案试点启动,移动金融App监管逐步走向深水区。

备案App整改率达94%

据了解,移动金融App备案工作主要分为三个步骤,包括机构信息注册登记、客户端应用软件信息登记、外部评估结果登记和备案受理。

具体来看,备案过程中,协会会对备案主体的合规资质和安全管理水平、备案主体提交拟备案App的安装包以及隐私保护政策、收集用户权限范围等进行审核。备案主体则需按照《管理规范》、《个人金融信息保护技术规范》等标准提交第三方检测机构出具的检测报告。

检测过程中,备案主体须对检测不符合项进行整改,直至检测合格并获得由国家认监委授权的认证机构出具的认证证书。与此同时,协会还会对拟通过备案的App产品进行10个工作日的网上公示。公示期结束后,若无反馈或调整,则完成App产品备案。

《财经》记者获悉,截至目前,已有4000余家金融机构在中国互金协会App备案系统中注册,填写了1342款拟申请备案的App信息。另据协会官网信息,截至7月15日,已有127款App产品通过备案。

“从已备案的移动金融App来看,大部分工作主要集中在外部检测和App整改上,通常情况下,从开始检测到整改再到复测需要二至三周左右时间,但也存在部分App整改之处偏多,需要一个月甚至更多时间完成。”中国互联网金融协会信息科技部负责人李健告诉《财经》记者,按照前期检测的结果,申请备案的App约94%进行了整改复检后才通过了备案。

据《财经》记者了解,移动金融App备案过程中,集中存在的安全防护问题包括:密码设定与重置时新旧密码可相同、通信使用的加密算法复杂度低、明文存储用户个人敏感信息、关键业务数据未进行完整性校验等;在客户个人信息保护方面,则存在未征得同意就收集使用个人信息、未提供有效的更正删除个人信息的功能等问题。

备案过程中的整改效果显而易见。检测机构调查显示,高达94%的移动金融App在备案过程中进行了安全修复,平均修复漏洞和隐患4.25个,修复5个以上的App占比达41.79%;约90%的移动金融App完善了对个人信息的收集和使用规范,优化5项以上的App占比达47%。

但需要注意,完成备案仅是移动金融App合规发展的第一步。

李健透露,对于完成备案的App产品,协会会通过风险监测和接受社会公众投诉等方式,加强对App产品的日常管理。例如通过日常监控和风险共享工作,协会发现移动金融App在使用SDK时,可能带来新的风险隐患。对此,接下来将采取对金融机构使用的公共SDK进行单独安全检测等措施,解决移动金融App在使用SDK方面的共性问题。

与此同时,社会公众的监督作用亦需充分发挥。“备案前的检测工作主要是从安全性和个人隐私保护角度出发,对App主要功能点进行检测。但App本身功能点较多,很多问题需要在长期使用中才能发现。如果兼顾所有功能点进行‘深度检测’,会影响移动金融App备案的整体进度。因此,需要更多的公众积极参与进来,向我们反馈使用过程中存在的问题。”

通过App产品备案的某金融机构技术负责人告诉《财经》记者,此前确实存在一些漏洞或不完善的细节,从检测环节到备案名单发布的过程中,一直处于反复修改的状态,足以见得监管层面对规范移动金融App市场的决心。“这其实是一个锻造、提升安全能力,不断走向合规的过程。”

多方合力的持久战

移动金融App备案工作稳步推进,但其背后亦面临不小的挑战。一方面,在提及2020年重点工作时,2019年底召开的人民银行金融科技委员会会议指出,推动金融App备案全覆盖。

“目前面临不小的压力,会继续加大检测力度,提高时效,努力完成预定目标。”李健表示。

另一方面,如何让更多的用户知晓已备案的金融App产品情况,避免前者因下载仿冒或诈骗类App遭受财产损失,也是业内频频提及的问题。据了解,此前协会已面向公众上线了移动金融可信公共服务平台,完成备案的金融App会同步发布到该平台中,以便公众查询、下载并使用安全可信的App。

多名业内人士接受《财经》记者采访时表示,规范移动金融App市场是一场艰难的“持久战”,需监管方、应用商店运营者、App运营机构等多管齐下、多方参与治理,用户亦需不断提高安全意识。

《财经》记者注意到,针对移动金融App的监管正持续加码。据多名金融机构人士透露,今年4月,央行下发45号文,要求各分支机构及相关监管机构启动金融科技风险专项摸排工作。

根据45号文要求,相关金融机构在2020年5月至7月要根据摸排列表完成自评工作,并及时提交报告;8月至9月,由人民银行分支机构等对报告完成复核,并于10月30日前形成书面报告报送总行。

摸排工作主要范围包括移动金融客户端应用软件、应用程序编程接口、信息系统等,涉及人工智能、大数据、区块链等新技术金融应用风险;与45号文同步下发的《金融科技应用风险专项摸排列表》则包括个人金融信息保护、交易安全、仿冒漏洞、技术使用安全以及内控管理五大方面,涵盖40个具体摸排项、123个摸排要点。

某大行金融科技业务负责人告诉《财经》记者,目前已将摸排要点分解到不同产品线上,落实自评工作。

李健亦表示,协会正按照45号文要求开展相关工作。与此同时,正研究制定《移动金融客户端应用软件备案管理自律公约》,建设投诉处置模块等,进一步完善移动金融App行业自律管理方式。

“目前在与主流应用商店运营主体加强沟通,希望大家联合起来开展工作,比如针对通过备案的移动金融App,在应用市场中做出明确标识;与此同时,将备案作为金融App上架的前置条件。”李健说。

有金融行业研究员指出,除了监管部门持续加大App治理力度外,各金融机构也应严格按照规范要求,构建全流程安全管控体制,覆盖App软件开发、发布、使用、维护等全生命周期,对于网络攻击、信息泄露等行为,应采取相应措施予以打击,确保系统平稳运行。

亦有观点认为,下一步移动金融App治理推进重点,仍是要严把审核关。目前是申请备案阶段,后期应把好源头审核关,比如应用商店运营者或相应网站应履行好平台审核责任,配合监管部门或自律协会,对金融App从业资质、业务合规性等进行审核。

而在监管、App运营机构、应用商店运营者之外,用户也需不断加强自我防范意识和鉴别能力。有金融领域专业人士提醒,用户在使用金融App过程中,要注意选择正规官方软件,务必通过正规应用平台下载;切勿点击来历不明的应用供应商、链接以及二维码下载安装软件等。

张颖馨/文