央行給移動金融App戴“緊箍”

　　隨著金融業移動金融客戶端應用軟件（以下簡稱“移動金融App”）備案試點工作的開啟，關于移動金融App的監管頂層設計也浮出水面。北京商報記者從知情人士處獲悉，央行此前已向部分金融機構定向下發《關于發布金融行業標準加強移動金融客戶端應用軟件安全管理通知》（以下簡稱“通知”），12月5日，北京商報記者獲悉了該通知全文。從通知來看，央行對移動金融App安全問題，主要從提升安全防護、加強個人金融信息保護、提高風險監測能力、健全投訴處理機制、強化行業自律五個方面進行了管理規范。

　　劃明四大紅線

　　在移動金融App安全規范中，針對個人金融信息泄露問題的整肅已成為重中之重。北京商報記者注意到，在個人金融信息保護方面，央行從信息收集、使用、傳輸、存儲等多個環節中，為各金融機構劃定了四條紅線。

　　首先，在收集、使用個人金融信息時，央行明確，各金融機構不得以默認、捆綁、停止安裝使用等手段變相強迫用戶授權，不得收集與其提供金融服務無關的個人金融信息。同時，金融機構應采取數據加密、訪問控制、安全傳輸、簽名認證等措施，防止個人金融信息在傳輸、存儲、使用等過程中被非法竊取、泄露或篡改。而在信息使用結束后，各金融機構應立即刪除敏感信息，在客戶端軟件卸載后不得留存個人金融信息。此外，金融機構不得違反法律法規與用戶約定，不得泄露、非法出售或非法向他人提供個人金融信息。

　　對此，杭州電子科技大學教授徐偉棟指出，對于移動金融App的合規化其實目標很明確，主要是從金融產品、風控與貸后的需求出發，尋找“最小”“必要”的信息項，然后提交客戶端開發出相應的提取信息功能，而不是以前的客戶端一股腦把能拿到的信息都塞到后端入庫，再看哪個信息可以用來加工變量。

　　蘇寧金融研究院研究員孫揚則指出，金融行業監管一直呈趨嚴態勢，包括從金融業態強監管、金融科技強監管、金融數據強監管等多方面來看，均在穩步推進。而從此次規范來看，移動金融App監管已走向深水區，后期監管一定會將個人信息保護、移動金融App、金融數據等都納入非現場檢查的重要范疇。

　　23家機構參與試點

　　值得關注的是，針對移動金融客戶端應用軟件安全管理，中國互聯網金融協會（以下簡稱“協會”）也已開始行動。12月3日，協會在京召開移動金融App備案管理工作試點啟動會議，明確各試點機構應于2019年底前完成首批試點備案申請。

　　北京商報記者從相關知情人士處獲悉，本次備案試點主要本著機構自愿申請的原則，首批參與移動金融App備案申請的有來自銀行、證券、基金、保險、支付等領域的23家試點機構，目前協會已出具體試點方案。該人士推測，“從首批申請機構類型來看，目前主要是從持牌類金融機構開始試點，后續協會或將根據試點情況進一步完善備案流程，統一行業標準和備案規則，從而進一步將備案覆蓋至更多金融業務類型從業機構”。

　　“試點一事對行業來說無疑是一大利好，一方面有利于形成行業標桿效應，另一方面，部分不規范的公司也會按照相應要求進行整改。”零壹研究院院長于百程在接受北京商報記者采訪時指出，盡管首批試點為持牌機構，但不乏后期會拓展至互聯網金融類公司，只要有金融相關業務的移動App，都應該會受到同樣的規范。

　　孫揚也稱，此前移動金融APP在市場上開展其實是較為無序的，缺乏全面治理，此次規范的下發和試點的啟動，對于金融App治理來說，可以稱之為一個里程碑式的事件，此后，不但從事金融業務須有相應許可，在獲取用戶信息時也須遵守相應規范，同時對用戶信息的保存、使用、流轉等，都須在監管范疇下進行，有利于從金融供給側層面對一些非法金融行為進行有效出清。

　　金融App頑疾何解

　　針對部分移動金融App安全問題，監管除加強審核規范外，同時也加大了對違規行為的打擊力度。12月4日，國家網絡安全通報中心官方披露，2019年11月以來，全國公安機關網安部門已集中查處整改100款違法違規App及其運營的互聯網企業,銀行和貸款等金融類App為“重災區”，其中不乏光大銀行、天津銀行等持牌類金融機構。多位業內人士一致認為，根治金融行業App頑疾是一場持久戰，仍需監管方、應用商店運營者、App運營方等多管齊下、多方參與治理。

　　中國民生銀行研究院研究員郭曉蓓指出，除了監管部門持續加大App治理力度外，各金融機構也應嚴格按照規范要求構建全流程安全管控體制，覆蓋App軟件開發、發布、使用、維護等全生命周期，對于網絡攻擊、信息泄露等行為，應采取相應措施予以打擊，確保系統平穩運行。對金融科技公司而言，應在軟件設計前就準確、充分評估相關風險，植入安全程序進App系統，在使用前進行多次模擬實驗。

　　在孫揚看來，下一步移動金融App治理推進重點，仍要嚴把審核關。目前是申請備案階段，后期應把好源頭審核關，比如應用商店運營者或相應網站應履行好平臺審核責任，配合監管部門或自律協會對金融App從業資質、業務合規性等進行審核,“建議金融機構和互金企業務必遵守監管規定，學習法律知識，配合協會和監管，后期做好相應備案。包括在各自App的開發、上架以及數據、保存等方面，都應建立一個更加嚴格的流程和制度。此外，還要對App開發人員、運營人員等做好相應培訓，以做到合法合規” 。

　　北京商報記者 孟凡霞 實習記者 劉四紅