張穎馨

移動金融App市場治理與規(guī)范是一場艱難的“持久戰(zhàn)”，尚需監(jiān)管、應用商店運營者、App運營機構、普通用戶等多方合力推進。圖/IC

使用某個App（即“移動客戶端應用軟件”），被強制要求獲取相機、定位等權限;不知從何時起，被與貸款、保險等相關的騷擾電話或短信瘋狂“轟炸”……你是否也有著同樣的經(jīng)歷？

上述種種，均指向一個共同的話題——“個人信息保護”。進入移動互聯(lián)網(wǎng)時代，僅是在App上一個簡單的操作，個人信息就會被輕易“捕捉”。而當這個行為發(fā)生在金融領域，那用戶將面臨的就不僅僅是個人隱私泄露的威脅，更可能是真金白銀的損失。

近年來，App侵害用戶權益現(xiàn)象頻發(fā)，而金融類App更是成為重災區(qū)。

7月24日，工信部發(fā)布關于2020年第三批侵害用戶權益行為的App通報稱，工業(yè)和信息化部近期組織第三方檢測機構對手機應用軟件進行檢查，督促存在問題的企業(yè)進行整改。截至目前，尚有58款App未完成整改。《財經(jīng)》記者注意到，其中涉及不少金融類App。

更早前的7月16日晚，央視“3·15”晚會曝光手機App違規(guī)收集個人信息問題，在其提到的50余款違規(guī)收集信息的App中，金融類的就超過40個。

由于金融類App直接涉及用戶的資金安全等問題，因此如何防范風險，有效為其“打補丁”，成為多方關注焦點。在此背景下，一場自上而下的金融類App整治行動已然開啟。

《財經(jīng)》記者從多家金融機構人士處了解到，今年4月，央行啟動全面摸排金融科技應用風險工作，移動金融客戶端應用軟件成為摸排重點之一。根據(jù)《關于開展金融科技應用風險專項摸排工作的通知》（下稱“45號文”），人民銀行各分支機構須在10月30日前形成書面報告報送總行。

與摸排工作同步進行的是，于2019年12月3日啟動的移動金融客戶端應用軟件備案試點。《財經(jīng)》記者獲悉，截至目前，已有4000余家金融機構在中國互聯(lián)網(wǎng)金融協(xié)會（下稱“協(xié)會”）App備案系統(tǒng)中注冊，填寫了1342款擬申請備案的App信息。另據(jù)協(xié)會官網(wǎng)披露，截至7月15日，已有127款App產(chǎn)品通過備案。

但顯然，移動金融App市場治理與規(guī)范是一場艱難的“持久戰(zhàn)”，尚需監(jiān)管、應用商店運營者、App運營機構、普通用戶等多方合力推進。

“技術發(fā)展瞬息萬變，若安全保障沒有跟上，就會引入新的風險。因此，要堅持技術和安全建設‘兩條腿走路，失去安全的技術突破不僅沒有實際價值，還會給社會、公眾帶來不利的影響?！蹦辰鹑诳萍脊矩撠熑颂寡浴?h3>備案強監(jiān)管啟幕

央視在上述“3·15”晚會報道中指出，上海市消費者權益保護委員會委托第三方對市場上的App進行檢測，包括國美易卡、美期分期、口袋錢包、九秒貸、趣花唄等金融App在內(nèi)的50多款App，存在違規(guī)第三方SDK（即：軟件開發(fā)工具包）。

“一些SDK插件會未經(jīng)用戶同意，收集用戶的聯(lián)系人、短信、位置、設備信息等。因為SDK能夠收集用戶的短信，以及應用安裝信息，一旦用戶有網(wǎng)絡交易的驗證碼被獲取，極有可能造成嚴重的經(jīng)濟損失?！睓z測人員介紹說。

另據(jù)中國信息通信研究院安全研究所發(fā)布的《2019金融行業(yè)移動App安全觀測報告》，約70.22%的移動金融App存在高危漏洞，約6.16%的App被檢測出惡意程序，僅有17.08%的移動金融App進行了安全加固。

與此同時，零壹智庫此前針對200款金融App測評的結果顯示，200款金融App都或多或少存在不合規(guī)情況，其中最為嚴重的問題包括：用戶不同意隱私政策，則強制退出，無法使用;違反必要原則，收集與其業(yè)務無關的個人信息;未向用戶提供定向推送的選項等。

移動金融App市場發(fā)展亟待規(guī)范。值得注意的是，相關監(jiān)管部門正通過一系列措施，力圖在對移動金融App治理中，走向“事前的事前”，進而有效保障消費者權益。

2019年6月，人民銀行下發(fā)《金融科技（FinTech）發(fā)展規(guī)劃（2019-2021年）》（下稱《規(guī)劃》）。就提升金融業(yè)務風險防范能力，人民銀行指出，組織建設統(tǒng)一的金融風險監(jiān)控平臺，引導金融機構加強金融領域App與門戶網(wǎng)站實名制和安全管理，提升對仿冒App、釣魚網(wǎng)站的識別處置能力等。

三個月后（2019年9月），人民銀行印發(fā)《關于發(fā)布金融行業(yè)標準 加強移動金融客戶端應用軟件安全管理的通知》（下稱“237號文”），明確中國互聯(lián)網(wǎng)金融協(xié)會負責移動金融App的行業(yè)自律管理和實名備案工作，并強調(diào)要完善客戶端軟件投訴處理機制，建立健全黑名單管理、自律檢查、違規(guī)約束、信息共享和聯(lián)防聯(lián)控機制。

隨237號文下發(fā)的還有《移動金融客戶端應用軟件安全管理規(guī)范》（下稱《管理規(guī)范》），后者對客戶端軟件的安全防護能力和個人金融信息保護等提出了明確的要求。

如在個人金融信息保護方面，央行從信息收集、使用、傳輸、存儲等多個環(huán)節(jié)，為金融機構劃定紅線。其中，在收集、使用個人金融信息時，央行明確指出，各金融機構不得以默認、捆綁、停止安裝使用等手段變相強迫用戶授權，不得收集與其提供金融服務無關的個人金融信息。

至此，移動金融App強監(jiān)管拉開序幕。

按照《規(guī)劃》和237號文的相關要求，2019年12月，協(xié)會召開金融業(yè)移動金融客戶端應用軟件備案管理工作試點啟動會議。根據(jù)會議內(nèi)容，協(xié)會將在全國范圍內(nèi)分批次組織開展App備案推廣，并逐步落實風險信息共享、投訴處置機制以及行業(yè)公約、黑白名單、自律檢查、違規(guī)約束等自律管理工作。

彼時，人民銀行科技司司長李偉指出，針對當前一些金融機構客戶端軟件存在的安全防護能力參差不齊、超范圍收集個人信息、仿冒釣魚現(xiàn)象突出等問題，各金融機構要建立客戶端軟件安全管理全程覆蓋機制，相關部門要建立健全客戶端軟件監(jiān)督處置機制。

《財經(jīng)》記者了解到，首批參與移動金融App試點備案名單中，涉及銀行、證券、基金、保險、支付等領域的23家持牌金融機構。

多名業(yè)內(nèi)人士指出，此前移動金融App市場較為無序，缺乏有效管理。隨著237號文的下發(fā)及備案試點啟動，移動金融App監(jiān)管逐步走向深水區(qū)。

備案App整改率達94%

據(jù)了解，移動金融App備案工作主要分為三個步驟，包括機構信息注冊登記、客戶端應用軟件信息登記、外部評估結果登記和備案受理。

具體來看，備案過程中，協(xié)會會對備案主體的合規(guī)資質(zhì)和安全管理水平、備案主體提交擬備案App的安裝包以及隱私保護政策、收集用戶權限范圍等進行審核。備案主體則需按照《管理規(guī)范》、《個人金融信息保護技術規(guī)范》等標準提交第三方檢測機構出具的檢測報告。

檢測過程中，備案主體須對檢測不符合項進行整改，直至檢測合格并獲得由國家認監(jiān)委授權的認證機構出具的認證證書。與此同時，協(xié)會還會對擬通過備案的App產(chǎn)品進行10個工作日的網(wǎng)上公示。公示期結束后，若無反饋或調(diào)整，則完成App產(chǎn)品備案。

《財經(jīng)》記者獲悉，截至目前，已有4000余家金融機構在中國互金協(xié)會App備案系統(tǒng)中注冊，填寫了1342款擬申請備案的App信息。另據(jù)協(xié)會官網(wǎng)信息，截至7月15日，已有127款App產(chǎn)品通過備案。

“從已備案的移動金融App來看，大部分工作主要集中在外部檢測和App整改上，通常情況下，從開始檢測到整改再到復測需要二至三周左右時間，但也存在部分App整改之處偏多，需要一個月甚至更多時間完成?！敝袊ヂ?lián)網(wǎng)金融協(xié)會信息科技部負責人李健告訴《財經(jīng)》記者，按照前期檢測的結果，申請備案的App約94%進行了整改復檢后才通過了備案。

據(jù)《財經(jīng)》記者了解，移動金融App備案過程中，集中存在的安全防護問題包括：密碼設定與重置時新舊密碼可相同、通信使用的加密算法復雜度低、明文存儲用戶個人敏感信息、關鍵業(yè)務數(shù)據(jù)未進行完整性校驗等;在客戶個人信息保護方面，則存在未征得同意就收集使用個人信息、未提供有效的更正刪除個人信息的功能等問題。

備案過程中的整改效果顯而易見。檢測機構調(diào)查顯示，高達94%的移動金融App在備案過程中進行了安全修復，平均修復漏洞和隱患4.25個，修復5個以上的App占比達41.79%;約90%的移動金融App完善了對個人信息的收集和使用規(guī)范，優(yōu)化5項以上的App占比達47%。

但需要注意，完成備案僅是移動金融App合規(guī)發(fā)展的第一步。

李健透露，對于完成備案的App產(chǎn)品，協(xié)會會通過風險監(jiān)測和接受社會公眾投訴等方式，加強對App產(chǎn)品的日常管理。例如通過日常監(jiān)控和風險共享工作，協(xié)會發(fā)現(xiàn)移動金融App在使用SDK時，可能帶來新的風險隱患。對此，接下來將采取對金融機構使用的公共SDK進行單獨安全檢測等措施，解決移動金融App在使用SDK方面的共性問題。

與此同時，社會公眾的監(jiān)督作用亦需充分發(fā)揮?！皞浒盖暗臋z測工作主要是從安全性和個人隱私保護角度出發(fā)，對App主要功能點進行檢測。但App本身功能點較多，很多問題需要在長期使用中才能發(fā)現(xiàn)。如果兼顧所有功能點進行‘深度檢測，會影響移動金融App備案的整體進度。因此，需要更多的公眾積極參與進來，向我們反饋使用過程中存在的問題?！?/p>

通過App產(chǎn)品備案的某金融機構技術負責人告訴《財經(jīng)》記者，此前確實存在一些漏洞或不完善的細節(jié)，從檢測環(huán)節(jié)到備案名單發(fā)布的過程中，一直處于反復修改的狀態(tài)，足以見得監(jiān)管層面對規(guī)范移動金融App市場的決心?！斑@其實是一個鍛造、提升安全能力，不斷走向合規(guī)的過程?！?h3>多方合力的持久戰(zhàn)

移動金融App備案工作穩(wěn)步推進，但其背后亦面臨不小的挑戰(zhàn)。一方面，在提及2020年重點工作時，2019年底召開的人民銀行金融科技委員會會議指出，推動金融App備案全覆蓋。

“目前面臨不小的壓力，會繼續(xù)加大檢測力度，提高時效，努力完成預定目標?！崩罱”硎?。

另一方面，如何讓更多的用戶知曉已備案的金融App產(chǎn)品情況，避免前者因下載仿冒或詐騙類App遭受財產(chǎn)損失，也是業(yè)內(nèi)頻頻提及的問題。據(jù)了解，此前協(xié)會已面向公眾上線了移動金融可信公共服務平臺，完成備案的金融App會同步發(fā)布到該平臺中，以便公眾查詢、下載并使用安全可信的App。

多名業(yè)內(nèi)人士接受《財經(jīng)》記者采訪時表示，規(guī)范移動金融App市場是一場艱難的“持久戰(zhàn)”，需監(jiān)管方、應用商店運營者、App運營機構等多管齊下、多方參與治理，用戶亦需不斷提高安全意識。

《財經(jīng)》記者注意到，針對移動金融App的監(jiān)管正持續(xù)加碼。據(jù)多名金融機構人士透露，今年4月，央行下發(fā)45號文，要求各分支機構及相關監(jiān)管機構啟動金融科技風險專項摸排工作。

根據(jù)45號文要求，相關金融機構在2020年5月至7月要根據(jù)摸排列表完成自評工作，并及時提交報告;8月至9月，由人民銀行分支機構等對報告完成復核，并于10月30日前形成書面報告報送總行。

摸排工作主要范圍包括移動金融客戶端應用軟件、應用程序編程接口、信息系統(tǒng)等，涉及人工智能、大數(shù)據(jù)、區(qū)塊鏈等新技術金融應用風險;與45號文同步下發(fā)的《金融科技應用風險專項摸排列表》則包括個人金融信息保護、交易安全、仿冒漏洞、技術使用安全以及內(nèi)控管理五大方面，涵蓋40個具體摸排項、123個摸排要點。

某大行金融科技業(yè)務負責人告訴《財經(jīng)》記者，目前已將摸排要點分解到不同產(chǎn)品線上，落實自評工作。

李健亦表示，協(xié)會正按照45號文要求開展相關工作。與此同時，正研究制定《移動金融客戶端應用軟件備案管理自律公約》，建設投訴處置模塊等，進一步完善移動金融App行業(yè)自律管理方式。

“目前在與主流應用商店運營主體加強溝通，希望大家聯(lián)合起來開展工作，比如針對通過備案的移動金融App，在應用市場中做出明確標識;與此同時，將備案作為金融App上架的前置條件?！崩罱≌f。

有金融行業(yè)研究員指出，除了監(jiān)管部門持續(xù)加大App治理力度外，各金融機構也應嚴格按照規(guī)范要求，構建全流程安全管控體制，覆蓋App軟件開發(fā)、發(fā)布、使用、維護等全生命周期，對于網(wǎng)絡攻擊、信息泄露等行為，應采取相應措施予以打擊，確保系統(tǒng)平穩(wěn)運行。

亦有觀點認為，下一步移動金融App治理推進重點，仍是要嚴把審核關。目前是申請備案階段，后期應把好源頭審核關，比如應用商店運營者或相應網(wǎng)站應履行好平臺審核責任，配合監(jiān)管部門或自律協(xié)會，對金融App從業(yè)資質(zhì)、業(yè)務合規(guī)性等進行審核。

而在監(jiān)管、App運營機構、應用商店運營者之外，用戶也需不斷加強自我防范意識和鑒別能力。有金融領域?qū)I(yè)人士提醒，用戶在使用金融App過程中，要注意選擇正規(guī)官方軟件，務必通過正規(guī)應用平臺下載;切勿點擊來歷不明的應用供應商、鏈接以及二維碼下載安裝軟件等。