移动金融App监管不断完善备案监测双管齐下
在移动互联网高速发展的当下,支付形态不断更迭,金融服务也将变得无处不在。各种移动金融App能够让用户随时随地享受便利的金融服务,也使得移动金融成为主流。
特别是2020年,无论从政策还是市场的角度来看,都给予移动金融App一个更大的发展空间。与此同时,发展过程中可能带来的一系列安全问题,也成为多方关注的重点。
近日,人民银行下发《关于开展金融科技应用风险专项摸排工作的通知》(银办发〔2020〕45号)(以下简称“45号文”),要求各地人民银行分支机构及相关监管机构开启金融科技风险专项摸排工作。
在摸排工作安排当中,“移动金融客户端应用软件”成为主要摸排对象之一。移动金融App的安全合规再次成为焦点。未来移动金融App市场会如何发展?监管又会如何做呢?
监管发力划明四大红线
2019年之前,在争抢移动端流量入口成为市场主旋律的总体环境下,各方机构在APP安全方面的重视程度、投入力度相对不足。
这一切在2019年的下半年发生了改变。
去年11月,央行发布了《关于发布金融行业标准加强移动金融客户端应用软件安全管理通知》(银发〔2019〕237号)(以下简称“237号文”)。在237号文中提出加强移动金融客户端应用软件安全管理,将安全要求分为基本要求和增强要求,所有相关客户端都应在满足基本要求的基础上,建议满足增强要求。
安全要求中包含身份认证安全、逻辑安全、安全功能设计、密码算法及密钥管理、数据安全等五大类要求,并划出四大红线:
一、在收集、使用个人金融信息时,央行明确,各金融机构不得以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得收集与其提供金融服务无关的个人金融信息。
二、金融机构应采取数据加密、访问控制、安全传输、签名认证等措施,防止个人金融信息在传输、存储、使用等过程被非法窃取、泄露或篡改。
三、在信息使用结束后,各金融机构应立即删除敏感信息,在客户端软件卸载后不得留存个人金融信息。
四、金融机构不得违反法律法规与用户约定,不得泄露、非法出售或非法向他入提供个人金融信息。
有分析人士称,央行此次通知对金融行业来说意义重大,今后对移动金融App的治理,监管将走向“事前的事前”,从源头解决数据泄露问题以及可能存在的各种风险,以确保不侵犯消费者权益,不滥用消费者数据。
而在“红线”标明之后,移动金融App的合规备案也在紧锣密鼓的进行中。
备案:机构的市场入场券
除了四大红线之外,237号文还要求展开移动金融App备案试点工作。目前,中国互联网金融协会(以下简称“协会”)正在全力推动移动金融App备案工作,为提高各金融机构备案工作的重视度,5月12日,协会联合人民银行分支机构举办“移动金融App备案”线上培训,协会、中金国盛认证中心、国家金融IC卡安全检测中心的专家分别就备案、认证和检测工作的要求、流程、重要事项等进行专题授课。
截至目前,千余家机构完成了注册工作,首批拟备案移动金融客户端应用软件名单通过协会网站已经公布,包括33家机构的73款App。
在中国互联网金融协会公布的33家机构中,有19家银行,4家支付机构,2家消金机构,4家小贷机构。
据移动支付网了解,此次备案主要按照《移动金融客户端应用软件安全管理规范》(JR/T 0092-2019)对移动金融App从软件设计、开发、发布、维护等环节提出了具体要求。特别是针对个人信息数据做出了明确的定义,以及收集、使用、保存的具体规定和要求。
备案是《移动金融客户端应用软件安全管理规范》、《个人金融信息保护技术规范》等规范落地非常重要的一环。备案需要金融机构聘请专业化的第三方安全机构对App做出全面、严谨的深度评估,将App的高风险漏洞在发布源头进行处置,可以有效敦促金融机构对移动金融App进行安全改造。备案给金融机构更多发展空间,让金融机构脱离以前“处罚-整改-合规”的圈子,进入“自律-合规-备案”的良性循环,金融机构可以在合规与安全上表现得更加主动,感受也会更友好。
虽然目前参与备案的移动金融App都是已经进入市场的应用,但可以预见,在未来,想要进入市场必须要先完成备案,备案将成为机构的市场入场券。
监测:实时动态的风险监控
划定红线、合规备案,在一系列的合规组合拳之下,监测也是移动金融App合规的重要一环。
237号文要求提高风险监测能力,充分利用客户端软件风险监测平台,识别和处置客户端软件潜在的安全漏洞、权限滥用、信息泄露等风险隐患。
在《规划》中,也明确指出组织建设统一的金融风险监控平台,引导金融机构加强金融领域App与门户网站实名制和安全管理,增强网上银行、手机银行、直销银行等业务系统的安全监测防护水平,提升对仿冒App、钓鱼网站的识别处置能力。
45号文风险摸排再次强调金融机构对仿冒App的识别处置能力。
央行为什么如此重视风险监测?与安全检测进行比较,可以发现,检测更多地聚焦于某个特定时间、特定版本的App,关注的更多是App自身的组件、代码、数据,在整个App生命周期中相对静态和局限。当前App版本更新速度快,安全攻击手段日益多样,风险漏洞逐步显现,必须实施频度更高、效率更高的持续性监测。风险监测是动态的、实时的防护措施,可以贯穿于App的全生命周期。它不仅关注于App自身,还覆盖App外围的生态环境,包括应用市场、开发者市场、用户反馈等等问题,能够形成统一的安全画像,识别和控制金融行业风险。
据移动支付网了解,目前金融科技应用风险监控平台已初步建成,已在金融App备案工作中投入使用。该平台连接移动金融客户端应用软件备案平台、金融科技产品认证管理平台,对已备案金融机构App的互联网发布渠道进行全覆盖式的监测。
相关人士透露,该平台工作由央行指导,国家金融IC卡安全检测中心(银行卡检测中心)承建,风险信息会报送央行。除此之外,该平台还会与中国互联网金融协会和中国支付清算协会等组织进行信息共享。
如果说备案工作是移动金融客户端进入市场的入场券,那么金融科技应用风险监控平台就是挂在红线上的铃铛,它会及时提醒监管有人踩线了、有人进行了风险操作,一旦有人碰到红线,平台就会发出声音进行警告。同时它又像是贴身安检仪,帮助机构了解风险所在,一旦风险靠近,它也会发出提醒。
细化监管措施正在来临
237号文只是一个开始,新的移动金融App细化监管措施正在逐步出台。
近日,央行印发了与JR/T 0092密切相关的《个人金融信息保护技术规范》(JR/T 0171-2020)。规范提出,与个人金融信息相关的客户端应用软件及应用软件开发工具包(SDK)应符合JR/T 0092-2019、JR/T 0068-2020客户端应用软件有关安全技术要求,并在上线前进行安全评估。该规范的出台进一步强调了移动金融App安全的重要性。
在金融信息安全监管体系逐渐完善的趋势下,各金融机构首先应该转变心态,去顺应时代的变化,主动拥抱监管,尽快完成检测、认证、备案等工作,如果现在不主动,未来形势可能会更被动。其次是转变合规的思维,不能以完成备案为合规目标,备案只是合规工作的开始,监测是长期的。监测也将会把监管落实成一种面向金融机构的科技服务,实现监管赋能。