張穎馨
移動(dòng)金融App市場治理與規(guī)范是一場艱難的“持久戰(zhàn)”,尚需監(jiān)管、應(yīng)用商店運(yùn)營者、App運(yùn)營機(jī)構(gòu)、普通用戶等多方合力推進(jìn)。圖/IC
使用某個(gè)App(即“移動(dòng)客戶端應(yīng)用軟件”),被強(qiáng)制要求獲取相機(jī)、定位等權(quán)限;不知從何時(shí)起,被與貸款、保險(xiǎn)等相關(guān)的騷擾電話或短信瘋狂“轟炸”……你是否也有著同樣的經(jīng)歷?
上述種種,均指向一個(gè)共同的話題——“個(gè)人信息保護(hù)”。進(jìn)入移動(dòng)互聯(lián)網(wǎng)時(shí)代,僅是在App上一個(gè)簡單的操作,個(gè)人信息就會被輕易“捕捉”。而當(dāng)這個(gè)行為發(fā)生在金融領(lǐng)域,那用戶將面臨的就不僅僅是個(gè)人隱私泄露的威脅,更可能是真金白銀的損失。
近年來,App侵害用戶權(quán)益現(xiàn)象頻發(fā),而金融類App更是成為重災(zāi)區(qū)。
7月24日,工信部發(fā)布關(guān)于2020年第三批侵害用戶權(quán)益行為的App通報(bào)稱,工業(yè)和信息化部近期組織第三方檢測機(jī)構(gòu)對手機(jī)應(yīng)用軟件進(jìn)行檢查,督促存在問題的企業(yè)進(jìn)行整改。截至目前,尚有58款A(yù)pp未完成整改?!敦?cái)經(jīng)》記者注意到,其中涉及不少金融類App。
更早前的7月16日晚,央視“3·15”晚會曝光手機(jī)App違規(guī)收集個(gè)人信息問題,在其提到的50余款違規(guī)收集信息的App中,金融類的就超過40個(gè)。
由于金融類App直接涉及用戶的資金安全等問題,因此如何防范風(fēng)險(xiǎn),有效為其“打補(bǔ)丁”,成為多方關(guān)注焦點(diǎn)。在此背景下,一場自上而下的金融類App整治行動(dòng)已然開啟。
《財(cái)經(jīng)》記者從多家金融機(jī)構(gòu)人士處了解到,今年4月,央行啟動(dòng)全面摸排金融科技應(yīng)用風(fēng)險(xiǎn)工作,移動(dòng)金融客戶端應(yīng)用軟件成為摸排重點(diǎn)之一。根據(jù)《關(guān)于開展金融科技應(yīng)用風(fēng)險(xiǎn)專項(xiàng)摸排工作的通知》(下稱“45號文”),人民銀行各分支機(jī)構(gòu)須在10月30日前形成書面報(bào)告報(bào)送總行。
與摸排工作同步進(jìn)行的是,于2019年12月3日啟動(dòng)的移動(dòng)金融客戶端應(yīng)用軟件備案試點(diǎn)。《財(cái)經(jīng)》記者獲悉,截至目前,已有4000余家金融機(jī)構(gòu)在中國互聯(lián)網(wǎng)金融協(xié)會(下稱“協(xié)會”)App備案系統(tǒng)中注冊,填寫了1342款擬申請備案的App信息。另據(jù)協(xié)會官網(wǎng)披露,截至7月15日,已有127款A(yù)pp產(chǎn)品通過備案。
但顯然,移動(dòng)金融App市場治理與規(guī)范是一場艱難的“持久戰(zhàn)”,尚需監(jiān)管、應(yīng)用商店運(yùn)營者、App運(yùn)營機(jī)構(gòu)、普通用戶等多方合力推進(jìn)。
“技術(shù)發(fā)展瞬息萬變,若安全保障沒有跟上,就會引入新的風(fēng)險(xiǎn)。因此,要堅(jiān)持技術(shù)和安全建設(shè)‘兩條腿走路,失去安全的技術(shù)突破不僅沒有實(shí)際價(jià)值,還會給社會、公眾帶來不利的影響?!蹦辰鹑诳萍脊矩?fù)責(zé)人坦言。
央視在上述“3·15”晚會報(bào)道中指出,上海市消費(fèi)者權(quán)益保護(hù)委員會委托第三方對市場上的App進(jìn)行檢測,包括國美易卡、美期分期、口袋錢包、九秒貸、趣花唄等金融App在內(nèi)的50多款A(yù)pp,存在違規(guī)第三方SDK(即:軟件開發(fā)工具包)。
“一些SDK插件會未經(jīng)用戶同意,收集用戶的聯(lián)系人、短信、位置、設(shè)備信息等。因?yàn)镾DK能夠收集用戶的短信,以及應(yīng)用安裝信息,一旦用戶有網(wǎng)絡(luò)交易的驗(yàn)證碼被獲取,極有可能造成嚴(yán)重的經(jīng)濟(jì)損失。”檢測人員介紹說。
另據(jù)中國信息通信研究院安全研究所發(fā)布的《2019金融行業(yè)移動(dòng)App安全觀測報(bào)告》,約70.22%的移動(dòng)金融App存在高危漏洞,約6.16%的App被檢測出惡意程序,僅有17.08%的移動(dòng)金融App進(jìn)行了安全加固。
與此同時(shí),零壹智庫此前針對200款金融App測評的結(jié)果顯示,200款金融App都或多或少存在不合規(guī)情況,其中最為嚴(yán)重的問題包括:用戶不同意隱私政策,則強(qiáng)制退出,無法使用;違反必要原則,收集與其業(yè)務(wù)無關(guān)的個(gè)人信息;未向用戶提供定向推送的選項(xiàng)等。
移動(dòng)金融App市場發(fā)展亟待規(guī)范。值得注意的是,相關(guān)監(jiān)管部門正通過一系列措施,力圖在對移動(dòng)金融App治理中,走向“事前的事前”,進(jìn)而有效保障消費(fèi)者權(quán)益。
2019年6月,人民銀行下發(fā)《金融科技(FinTech)發(fā)展規(guī)劃(2019-2021年)》(下稱《規(guī)劃》)。就提升金融業(yè)務(wù)風(fēng)險(xiǎn)防范能力,人民銀行指出,組織建設(shè)統(tǒng)一的金融風(fēng)險(xiǎn)監(jiān)控平臺,引導(dǎo)金融機(jī)構(gòu)加強(qiáng)金融領(lǐng)域App與門戶網(wǎng)站實(shí)名制和安全管理,提升對仿冒App、釣魚網(wǎng)站的識別處置能力等。
三個(gè)月后(2019年9月),人民銀行印發(fā)《關(guān)于發(fā)布金融行業(yè)標(biāo)準(zhǔn) 加強(qiáng)移動(dòng)金融客戶端應(yīng)用軟件安全管理的通知》(下稱“237號文”),明確中國互聯(lián)網(wǎng)金融協(xié)會負(fù)責(zé)移動(dòng)金融App的行業(yè)自律管理和實(shí)名備案工作,并強(qiáng)調(diào)要完善客戶端軟件投訴處理機(jī)制,建立健全黑名單管理、自律檢查、違規(guī)約束、信息共享和聯(lián)防聯(lián)控機(jī)制。
隨237號文下發(fā)的還有《移動(dòng)金融客戶端應(yīng)用軟件安全管理規(guī)范》(下稱《管理規(guī)范》),后者對客戶端軟件的安全防護(hù)能力和個(gè)人金融信息保護(hù)等提出了明確的要求。
如在個(gè)人金融信息保護(hù)方面,央行從信息收集、使用、傳輸、存儲等多個(gè)環(huán)節(jié),為金融機(jī)構(gòu)劃定紅線。其中,在收集、使用個(gè)人金融信息時(shí),央行明確指出,各金融機(jī)構(gòu)不得以默認(rèn)、捆綁、停止安裝使用等手段變相強(qiáng)迫用戶授權(quán),不得收集與其提供金融服務(wù)無關(guān)的個(gè)人金融信息。
至此,移動(dòng)金融App強(qiáng)監(jiān)管拉開序幕。
按照《規(guī)劃》和237號文的相關(guān)要求,2019年12月,協(xié)會召開金融業(yè)移動(dòng)金融客戶端應(yīng)用軟件備案管理工作試點(diǎn)啟動(dòng)會議。根據(jù)會議內(nèi)容,協(xié)會將在全國范圍內(nèi)分批次組織開展App備案推廣,并逐步落實(shí)風(fēng)險(xiǎn)信息共享、投訴處置機(jī)制以及行業(yè)公約、黑白名單、自律檢查、違規(guī)約束等自律管理工作。
彼時(shí),人民銀行科技司司長李偉指出,針對當(dāng)前一些金融機(jī)構(gòu)客戶端軟件存在的安全防護(hù)能力參差不齊、超范圍收集個(gè)人信息、仿冒釣魚現(xiàn)象突出等問題,各金融機(jī)構(gòu)要建立客戶端軟件安全管理全程覆蓋機(jī)制,相關(guān)部門要建立健全客戶端軟件監(jiān)督處置機(jī)制。
《財(cái)經(jīng)》記者了解到,首批參與移動(dòng)金融App試點(diǎn)備案名單中,涉及銀行、證券、基金、保險(xiǎn)、支付等領(lǐng)域的23家持牌金融機(jī)構(gòu)。
多名業(yè)內(nèi)人士指出,此前移動(dòng)金融App市場較為無序,缺乏有效管理。隨著237號文的下發(fā)及備案試點(diǎn)啟動(dòng),移動(dòng)金融App監(jiān)管逐步走向深水區(qū)。
據(jù)了解,移動(dòng)金融App備案工作主要分為三個(gè)步驟,包括機(jī)構(gòu)信息注冊登記、客戶端應(yīng)用軟件信息登記、外部評估結(jié)果登記和備案受理。
具體來看,備案過程中,協(xié)會會對備案主體的合規(guī)資質(zhì)和安全管理水平、備案主體提交擬備案App的安裝包以及隱私保護(hù)政策、收集用戶權(quán)限范圍等進(jìn)行審核。備案主體則需按照《管理規(guī)范》、《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》等標(biāo)準(zhǔn)提交第三方檢測機(jī)構(gòu)出具的檢測報(bào)告。
檢測過程中,備案主體須對檢測不符合項(xiàng)進(jìn)行整改,直至檢測合格并獲得由國家認(rèn)監(jiān)委授權(quán)的認(rèn)證機(jī)構(gòu)出具的認(rèn)證證書。與此同時(shí),協(xié)會還會對擬通過備案的App產(chǎn)品進(jìn)行10個(gè)工作日的網(wǎng)上公示。公示期結(jié)束后,若無反饋或調(diào)整,則完成App產(chǎn)品備案。
《財(cái)經(jīng)》記者獲悉,截至目前,已有4000余家金融機(jī)構(gòu)在中國互金協(xié)會App備案系統(tǒng)中注冊,填寫了1342款擬申請備案的App信息。另據(jù)協(xié)會官網(wǎng)信息,截至7月15日,已有127款A(yù)pp產(chǎn)品通過備案。
“從已備案的移動(dòng)金融App來看,大部分工作主要集中在外部檢測和App整改上,通常情況下,從開始檢測到整改再到復(fù)測需要二至三周左右時(shí)間,但也存在部分App整改之處偏多,需要一個(gè)月甚至更多時(shí)間完成?!敝袊ヂ?lián)網(wǎng)金融協(xié)會信息科技部負(fù)責(zé)人李健告訴《財(cái)經(jīng)》記者,按照前期檢測的結(jié)果,申請備案的App約94%進(jìn)行了整改復(fù)檢后才通過了備案。
據(jù)《財(cái)經(jīng)》記者了解,移動(dòng)金融App備案過程中,集中存在的安全防護(hù)問題包括:密碼設(shè)定與重置時(shí)新舊密碼可相同、通信使用的加密算法復(fù)雜度低、明文存儲用戶個(gè)人敏感信息、關(guān)鍵業(yè)務(wù)數(shù)據(jù)未進(jìn)行完整性校驗(yàn)等;在客戶個(gè)人信息保護(hù)方面,則存在未征得同意就收集使用個(gè)人信息、未提供有效的更正刪除個(gè)人信息的功能等問題。
備案過程中的整改效果顯而易見。檢測機(jī)構(gòu)調(diào)查顯示,高達(dá)94%的移動(dòng)金融App在備案過程中進(jìn)行了安全修復(fù),平均修復(fù)漏洞和隱患4.25個(gè),修復(fù)5個(gè)以上的App占比達(dá)41.79%;約90%的移動(dòng)金融App完善了對個(gè)人信息的收集和使用規(guī)范,優(yōu)化5項(xiàng)以上的App占比達(dá)47%。
但需要注意,完成備案僅是移動(dòng)金融App合規(guī)發(fā)展的第一步。
李健透露,對于完成備案的App產(chǎn)品,協(xié)會會通過風(fēng)險(xiǎn)監(jiān)測和接受社會公眾投訴等方式,加強(qiáng)對App產(chǎn)品的日常管理。例如通過日常監(jiān)控和風(fēng)險(xiǎn)共享工作,協(xié)會發(fā)現(xiàn)移動(dòng)金融App在使用SDK時(shí),可能帶來新的風(fēng)險(xiǎn)隱患。對此,接下來將采取對金融機(jī)構(gòu)使用的公共SDK進(jìn)行單獨(dú)安全檢測等措施,解決移動(dòng)金融App在使用SDK方面的共性問題。
與此同時(shí),社會公眾的監(jiān)督作用亦需充分發(fā)揮。“備案前的檢測工作主要是從安全性和個(gè)人隱私保護(hù)角度出發(fā),對App主要功能點(diǎn)進(jìn)行檢測。但App本身功能點(diǎn)較多,很多問題需要在長期使用中才能發(fā)現(xiàn)。如果兼顧所有功能點(diǎn)進(jìn)行‘深度檢測,會影響移動(dòng)金融App備案的整體進(jìn)度。因此,需要更多的公眾積極參與進(jìn)來,向我們反饋使用過程中存在的問題。”
通過App產(chǎn)品備案的某金融機(jī)構(gòu)技術(shù)負(fù)責(zé)人告訴《財(cái)經(jīng)》記者,此前確實(shí)存在一些漏洞或不完善的細(xì)節(jié),從檢測環(huán)節(jié)到備案名單發(fā)布的過程中,一直處于反復(fù)修改的狀態(tài),足以見得監(jiān)管層面對規(guī)范移動(dòng)金融App市場的決心?!斑@其實(shí)是一個(gè)鍛造、提升安全能力,不斷走向合規(guī)的過程?!?h3>多方合力的持久戰(zhàn)
移動(dòng)金融App備案工作穩(wěn)步推進(jìn),但其背后亦面臨不小的挑戰(zhàn)。一方面,在提及2020年重點(diǎn)工作時(shí),2019年底召開的人民銀行金融科技委員會會議指出,推動(dòng)金融App備案全覆蓋。
“目前面臨不小的壓力,會繼續(xù)加大檢測力度,提高時(shí)效,努力完成預(yù)定目標(biāo)?!崩罱”硎?。
另一方面,如何讓更多的用戶知曉已備案的金融App產(chǎn)品情況,避免前者因下載仿冒或詐騙類App遭受財(cái)產(chǎn)損失,也是業(yè)內(nèi)頻頻提及的問題。據(jù)了解,此前協(xié)會已面向公眾上線了移動(dòng)金融可信公共服務(wù)平臺,完成備案的金融App會同步發(fā)布到該平臺中,以便公眾查詢、下載并使用安全可信的App。
多名業(yè)內(nèi)人士接受《財(cái)經(jīng)》記者采訪時(shí)表示,規(guī)范移動(dòng)金融App市場是一場艱難的“持久戰(zhàn)”,需監(jiān)管方、應(yīng)用商店運(yùn)營者、App運(yùn)營機(jī)構(gòu)等多管齊下、多方參與治理,用戶亦需不斷提高安全意識。
《財(cái)經(jīng)》記者注意到,針對移動(dòng)金融App的監(jiān)管正持續(xù)加碼。據(jù)多名金融機(jī)構(gòu)人士透露,今年4月,央行下發(fā)45號文,要求各分支機(jī)構(gòu)及相關(guān)監(jiān)管機(jī)構(gòu)啟動(dòng)金融科技風(fēng)險(xiǎn)專項(xiàng)摸排工作。
根據(jù)45號文要求,相關(guān)金融機(jī)構(gòu)在2020年5月至7月要根據(jù)摸排列表完成自評工作,并及時(shí)提交報(bào)告;8月至9月,由人民銀行分支機(jī)構(gòu)等對報(bào)告完成復(fù)核,并于10月30日前形成書面報(bào)告報(bào)送總行。
摸排工作主要范圍包括移動(dòng)金融客戶端應(yīng)用軟件、應(yīng)用程序編程接口、信息系統(tǒng)等,涉及人工智能、大數(shù)據(jù)、區(qū)塊鏈等新技術(shù)金融應(yīng)用風(fēng)險(xiǎn);與45號文同步下發(fā)的《金融科技應(yīng)用風(fēng)險(xiǎn)專項(xiàng)摸排列表》則包括個(gè)人金融信息保護(hù)、交易安全、仿冒漏洞、技術(shù)使用安全以及內(nèi)控管理五大方面,涵蓋40個(gè)具體摸排項(xiàng)、123個(gè)摸排要點(diǎn)。
某大行金融科技業(yè)務(wù)負(fù)責(zé)人告訴《財(cái)經(jīng)》記者,目前已將摸排要點(diǎn)分解到不同產(chǎn)品線上,落實(shí)自評工作。
李健亦表示,協(xié)會正按照45號文要求開展相關(guān)工作。與此同時(shí),正研究制定《移動(dòng)金融客戶端應(yīng)用軟件備案管理自律公約》,建設(shè)投訴處置模塊等,進(jìn)一步完善移動(dòng)金融App行業(yè)自律管理方式。
“目前在與主流應(yīng)用商店運(yùn)營主體加強(qiáng)溝通,希望大家聯(lián)合起來開展工作,比如針對通過備案的移動(dòng)金融App,在應(yīng)用市場中做出明確標(biāo)識;與此同時(shí),將備案作為金融App上架的前置條件?!崩罱≌f。
有金融行業(yè)研究員指出,除了監(jiān)管部門持續(xù)加大App治理力度外,各金融機(jī)構(gòu)也應(yīng)嚴(yán)格按照規(guī)范要求,構(gòu)建全流程安全管控體制,覆蓋App軟件開發(fā)、發(fā)布、使用、維護(hù)等全生命周期,對于網(wǎng)絡(luò)攻擊、信息泄露等行為,應(yīng)采取相應(yīng)措施予以打擊,確保系統(tǒng)平穩(wěn)運(yùn)行。
亦有觀點(diǎn)認(rèn)為,下一步移動(dòng)金融App治理推進(jìn)重點(diǎn),仍是要嚴(yán)把審核關(guān)。目前是申請備案階段,后期應(yīng)把好源頭審核關(guān),比如應(yīng)用商店運(yùn)營者或相應(yīng)網(wǎng)站應(yīng)履行好平臺審核責(zé)任,配合監(jiān)管部門或自律協(xié)會,對金融App從業(yè)資質(zhì)、業(yè)務(wù)合規(guī)性等進(jìn)行審核。
而在監(jiān)管、App運(yùn)營機(jī)構(gòu)、應(yīng)用商店運(yùn)營者之外,用戶也需不斷加強(qiáng)自我防范意識和鑒別能力。有金融領(lǐng)域?qū)I(yè)人士提醒,用戶在使用金融App過程中,要注意選擇正規(guī)官方軟件,務(wù)必通過正規(guī)應(yīng)用平臺下載;切勿點(diǎn)擊來歷不明的應(yīng)用供應(yīng)商、鏈接以及二維碼下載安裝軟件等。