央行给移动金融APP戴“紧箍” 23家首批试点备案 四大红线碰不得

(讯)在收集、使用个人金融信息时，央行明确，各金融机构不得以默认、捆绑、停止安装使用等手段变相强迫用户授权，不得收集与其提供金融服务无关的个人金融信息。金融机构不得违反法律法规与用户约定，不得泄露、非法出售或非法向他入提供个人金融信息。

金融业移动金融客户端应用软件（以下简称“移动金融APP”）备案试点工作已经拉开大幕，关于移动金融APP的监管顶层设计也浮出水面。

12月9日，券商中国记者独家获悉一份首批23家试点备案名单， 16家银行类金融机构（含5家国有大行、5家股份行、3家城商行、2家农商行、1家农信联社）、4家证券基金保险类金融机构，以及蚂蚁金服、腾讯旗下财付通、京东数科这三家非银支付机构在列。

“正在填材料、申请备案中。”一位参与备案的机构的知情人士告诉券商中国记者，后续还将引入第三方的评估公司出具报告等。据记者获悉，央行此前已向部分金融机构定向下发《关于发布金融行业标准加强移动金融客户端应用软件安全管理通知》（以下简称“237号文”）。

上述通知显示，央行对移动金融APP安全问题，主要从提升安全防护、加强个人金融信息保护、提高风险监测能力、健全投诉处理机制、强化行业自律5个方面进行了管理规范，并对备受关注的个人金融信息保护划定了四大红线。

首批23家机构已试点备案，银行、非银、支付机构均在列

移动金融APP备案动真格。12月9日，一位参与备案的机构的知情人士向记者证实，当前正在参与APP试点工作的材料申报，“后续还会引入第三方的评估公司出具报告，证明没有泄露客户隐私。”

12月3日，中国互联网金融协会（以下简称“中互金协会”）在京召开移动金融APP备案管理工作试点启动会议；会议明确，各试点机构应于2019年底前完成首批试点备案APP的材料提交和备案申请，协会完成备案审核工作后择期发布第一批通过备案APP清单。下一步，协会将会在全国范围内分批次组织开展APP备案推广，并逐步落实风险信息共享、投诉处置机制以及行业公约、黑白名单、自律检查、违规约束等自律管理工作。

而谁将首批参与试点，备受外界广泛关注。12月9日，券商中国记者从权威信源处独家获悉了完整名单，该名单显示，试点机构涵盖了23家来自银行、证券、基金、保险、支付等领域的机构。具体来看，包括：

16家银行类金融机构：中国工商银行、中国农业银行、中国银行、中国建设银行、交通银行、中信银行、民生银行、招商银行、广发银行、平安银行、西安银行、吉林九台农村商业银行、广州农村商业银行、重庆三峡银行、徽商银行、安徽省农信联社；

4家证券基金保险类金融机构：国泰君安证券、众安保险、海通证券、汇添富基金；

3家非银支付机构：蚂蚁金服、财付通、京东数科。

上述知情人士告诉记者，简要的说，这次试点工作的备案要点主要有三方面：

1、依托备案管理系统开展全线上的资料上传和审核；

2、备案分为机构基本信息登记、APP信息登记和APP软件上传三部分系统所有项目均需填写；

3、试点期间各试点单位至少提交1款有代表性的资金交易类或个人信息采集类APP进行备案。

同时，按金融类APP首次发布、重大变更、一般变更或紧急变更、注销等不同情形，明确了备案流程。“首次发布（申请备案提交材料）、重大变更（申请变更备案更新材料），经过受理审核，再完成备案/更新备案，才能实现公告和上架；对于已经上架APP，需要一般变更或紧急变更，可提供变更备案更新材料，再受理审核，最后更新备案公告；对于需注销APP，申请注销备案提交材料，受理审核，注销备案再公告及下架。”上述知情人士介绍。

央行明确移动金融APP安全规范四大红线

券商中国记者了解到，这场中互金协会推动的移动金融APP备案试点背后，是签章日期为今年9月27日、央行向部分金融机构定向发布的“移动金融APP应用安全管理通知”（也即237号文），明确中国互联网金融协会作为该项工作的重要参与者承担三方面职责。

具体是风险监测（健全风险共享机制、加大联防联控）、投诉处理（通过机构核实、现场检查、技术检测、专家评议等方式查证，并督促整改），还需要加强自律管理，其中就要求制定行业公约、建立健全行业黑名单管理，做好客户端软件实名备案等工作，同时，定期向央行报送相关情况。

券商中国记者获悉的通知全文显示，央行对移动金融APP安全问题，主要从提升安全防护、加强个人金融信息保护、提高风险监测能力、健全投诉处理机制、强化行业自律5个方面进行了管理规范，并对备受关注的个人金融信息保护划定了四大红线：

首先，在收集、使用个人金融信息时，央行明确，各金融机构不得以默认、捆绑、停止安装使用等手段变相强迫用户授权，不得收集与其提供金融服务无关的个人金融信息。

第二，同时金融机构应采取数据加密、访问控制、安全传输、签名认证等措施，防止个人金融信息在传输、存储、使用等过程被非法窃取、泄露或篡改。

第三，在信息使用结束后，各金融机构应立即删除敏感信息，在客户端软件卸载后不得留存个人金融信息。

此外，金融机构不得违反法律法规与用户约定，不得泄露、非法出售或非法向他入提供个人金融信息。

同时，与237号文同步发出的还有《移动金融APP应用软件安全管理规范》，其中相比之前金融行业标准，删除了应用场景、将人机交互安全改为身份证认证安全，增加了安全功能设计；修改了数据安全要求，在数据获取、数据访问控制、数据传输、数据存储、数据销毁等方面提出了具体安全要求。

苏宁金融研究院研究员孙扬认为，这次规范的下发和试点的启动，有望打破之前移动金融APP在市场上竞争较无序、缺乏全面治理的情况，今后，不但从事金融业务须有相应许可，在获取用户信息时也须遵守相应规范，同时对用户信息的保存、使用、流转等，都须在监管范畴下进行；从此次规范来看，移动金融APP监管已走向深水区，后期监管一定会将个人信息保护、移动金融APP、金融数据等都纳入非现场检查的重要范畴。

12月3日的移动金融APP应用软件备案管理工作试点启动会议现场，央行科技司司长李伟指出，针对当前一些金融机构客户端软件存在的安全防护能力参差不齐、超范围收集个人信息、仿冒钓鱼现象突出等问题，各金融机构要建立客户端软件安全管理全程覆盖机制，相关部门要建立健全客户端软件监督处置机制。

数据发展与安全隐私博弈平衡

近来，部分APP涉嫌违规采集用户个人信息的风险事件频频引发广泛关注。针对用户个人信息安全，监管频出重拳，今年年中以来，个人信息保护监管方面文件密集发布，然而，不仅仅是金融类APP，甚至蔓延到整个互联网行业，各类APP仍然屡现违规，问题出在哪里？

（编辑：上饶站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!