央行给移动金融APP戴“紧箍” 哪些红线不能踩

　　随着金融业移动金融客户端应用软件（以下简称“移动金融APP”）备案试点工作的开启，关于移动金融APP的监管顶层设计也浮出水面。北京商报记者从知情人士处获悉，央行此前已向部分金融机构定向下发《关于发布金融行业标准加强移动金融客户端应用软件安全管理通知》（以下简称“通知”），12月5日，北京商报记者获悉了该通知全文。从通知来看，央行对移动金融APP安全问题，主要从提升安全防护、加强个人金融信息保护、提高风险监测能力、健全投诉处理机制、强化行业自律5个方面进行了管理规范。有分析人士称，央行此次通知对金融行业来说意义重大，今后对移动金融APP治理，监管将走向“事前的事前”，并从业务源头、数据产生源头等，对金融APP进行插入式监管，以确保不侵犯消费者权益，不滥用消费者数据。

　　划明四大红线

　　在移动金融APP安全规范中，针对个人金融信息泄露问题的整肃已成为重中之重。北京商报记者注意到，在个人金融信息保护方面，央行从信息收集、使用、传输、存储等多个环节中，为各金融机构划定了四条红线。

　　首先，在收集、使用个人金融信息时，央行明确，各金融机构不得以默认、捆绑、停止安装使用等手段变相强迫用户授权，不得收集与其提供金融服务无关的个人金融信息。同时，金融机构应采取数据加密、访问控制、安全传输、签名认证等措施，防止个人金融信息在传输、存储、使用等过程被非法窃取、泄露或篡改。而在信息使用结束后，各金融机构应立即删除敏感信息，在客户端软件卸载后不得留存个人金融信息。此外，金融机构不得违反法律法规与用户约定，不得泄露、非法出售或非法向他入提供个人金融信息。

　　对此，杭州电子科技大学教授徐伟栋指出，对于移动金融APP的合规化其实目标很明确，主要是从金融产品、风控与贷后的需求出发，寻找“最小”、“必要”的信息项，然后提交客户端开发出相应的提取信息功能，而不是以前的、客户端一股脑把能拿到的信息都塞到后端入库，再看哪个信息可以用来加工变量。

　　苏宁金融研究院研究员孙扬则指出，金融行业监管一直呈趋严态势，包括从金融业态强监管、金融科技强监管、金融数据强监管等多方面来看，均在稳步推进。而从此次规范来看，移动金融APP监管已走向深水区，后期监管一定会将个人信息保护、移动金融APP、金融数据等都纳入非线场检查的重要范畴。

　　首批23家机构参与备案试点

　　值得关注的是，针对移动金融客户端应用软件安全管理，中国互联网金融协会（以下简称“协会”）也已开始行动。12月3日，协会在京召开移动金融APP备案管理工作试点启动会议。会议明确，各试点机构应于2019年底前完成首批试点备案申请。

　　下一步，协会将会在全国范围内分批次组织开展APP备案推广，并逐步落实风险信息共享、投诉处置机制以及行业公约、黑白名单、自律检查、违规约束等自律管理工作。

　　试点启动会上，央行科技司司长李伟指出，针对当前一些金融机构客户端软件存在的安全防护能力参差不齐、超范围收集个人信息、仿冒钓鱼现象突出等问题，各金融机构要建立客户端软件安全管理全程覆盖机制，相关部门要建立健全客户端软件监督处置机制。

　　北京商报记者从相关知情人士处获悉，本次备案试点主要本着机构自愿申请的原则，首批参与移动金融APP备案申请的有来自银行、证券、基金、保险、支付等领域的23家试点机构，目前协会已出具体试点方案。该人士推测，“从首批申请机构类型来看，目前主要是从持牌类金融机构开始试点，后续协会或将根据试点情况，进一步完善备案流程，统一行业标准和备案规则，从而进一步将备案覆盖至更多金融业务类型从业机构。”

　　“试点一事对行业来说无疑是一大利好，一方面有利于形成行业标杆效应，另一方面，部分不规范的公司也会按照相应要求进行整改。”零壹研究院院长于百程在接受北京商报记者采访时指出，尽管首批试点为持牌机构，但不乏后期会拓展至互联网金融类公司，只要有金融相关业务的移动APP，都应该会受到同样的规范。

　　苏宁金融研究院研究员孙扬同样指出，此前移动金融APP在市场上开展其实是较为无序的，缺乏全面治理，此次规范的下发和试点的启动，对于金融App治理来说，可以称之为一个里程碑式的事件，此后，不但从事金融业务须有相应许可，在获取用户信息时也须遵守相应规范，同时对用户信息的保存、使用、流转等，都须在监管范畴下进行，有利于从金融供给侧层面，对一些非法金融行为进行有效出清。

　　“顽疾”何解？

　　值得注意的是，针对部分移动金融APP安全问题，监管除加强审核规范外，同时也加大了对违规行为的打击力度。12月4日，国家网络安全通报中心官方披露，2019年11月以来，全国公安机关网安部门已集中查处整改100款违法违规App及其运营的互联网企业。北京商报记者注意到，被查处下架整改的百款App中，银行和贷款等金融类APP为“重灾区”，其中不乏光大银行、天津银行等持牌类金融机构。

　　不过，光大银行回应称，高度重视提升客户体验与客户隐私信息保护工作，切实保证用户个人信息安全，目前提示的用户隐私政策条款符合相关要求。手机银行App一直正常运行，从未停止过服务。天津银行在官网发布声明称，截至目前，我行未收到任何行政机关要求“天津银行手机银行APP”下架的官方通知，“天津银行手机银行APP”正常面向公众提供下载、更新、使用等服务。

　　移动金融APP屡现违规，具体如何破题？多位接受北京商报记者采访的业内人士一致认为，要根治金融行业App“顽疾”是一场“持久战”，仍需监管方、应用商店运营者、APP运营方等多管齐下、多方参与治理。

　　中国民生银行研究院研究员郭晓蓓指出，除了监管部门持续加大App治理力度外，各金融机构也应严格按照规范要求，构建全流程安全管控体制，覆盖APP软件开发、发布、使用、维护等全生命周期，对于网络攻击、信息泄露等行为，应采取相应措施予以打击，确保系统平稳运行。而对于金融科技公司而言，则应从在软件设计前就准确、充分评估相关风险，植入安全程序进APP系统，在使用前进行多次模拟实验。

　　在孙扬看来，下一步移动金融APP治理推进重点，仍要严把审核管。目前是申请备案阶段，后期应把好源头审核关，比如应用商店运营者或相应网站应履行好平台审核责任，配合监管部门或自律协会，对金融APP从业资质、业务合规性等进行审核。

　　“出来混总是要还的，从业者若违规使用个人信息，肯定要承担法律责任。因此建议金融机构和互金企业，务必遵守监管规定，学习法律知识，配合协会和监管，后期做好相应备案。包括在各自APP的开发、上架，以及数据、保存等方面，都应建立一个更加严格的流程和制度。此外，还要对App开发人员运营人员等做好相应培训，以做到合法合规。” 孙扬称。