金融App集中“補(bǔ)漏”：94％備案整改

張穎馨

移動(dòng)金融App市場治理與規(guī)范是一場艱難的“持久戰(zhàn)”，尚需監(jiān)管、應(yīng)用商店運(yùn)營者、App運(yùn)營機(jī)構(gòu)、普通用戶等多方合力推進(jìn)。圖/IC

使用某個(gè)App（即“移動(dòng)客戶端應(yīng)用軟件”），被強(qiáng)制要求獲取相機(jī)、定位等權(quán)限;不知從何時(shí)起，被與貸款、保險(xiǎn)等相關(guān)的騷擾電話或短信瘋狂“轟炸”……你是否也有著同樣的經(jīng)歷？

上述種種，均指向一個(gè)共同的話題——“個(gè)人信息保護(hù)”。進(jìn)入移動(dòng)互聯(lián)網(wǎng)時(shí)代，僅是在App上一個(gè)簡單的操作，個(gè)人信息就會被輕易“捕捉”。而當(dāng)這個(gè)行為發(fā)生在金融領(lǐng)域，那用戶將面臨的就不僅僅是個(gè)人隱私泄露的威脅，更可能是真金白銀的損失。

近年來，App侵害用戶權(quán)益現(xiàn)象頻發(fā)，而金融類App更是成為重災(zāi)區(qū)。

7月24日，工信部發(fā)布關(guān)于2020年第三批侵害用戶權(quán)益行為的App通報(bào)稱，工業(yè)和信息化部近期組織第三方檢測機(jī)構(gòu)對手機(jī)應(yīng)用軟件進(jìn)行檢查，督促存在問題的企業(yè)進(jìn)行整改。截至目前，尚有58款A(yù)pp未完成整改?！敦?cái)經(jīng)》記者注意到，其中涉及不少金融類App。

更早前的7月16日晚，央視“3·15”晚會曝光手機(jī)App違規(guī)收集個(gè)人信息問題，在其提到的50余款違規(guī)收集信息的App中，金融類的就超過40個(gè)。

由于金融類App直接涉及用戶的資金安全等問題，因此如何防范風(fēng)險(xiǎn)，有效為其“打補(bǔ)丁”，成為多方關(guān)注焦點(diǎn)。在此背景下，一場自上而下的金融類App整治行動(dòng)已然開啟。

《財(cái)經(jīng)》記者從多家金融機(jī)構(gòu)人士處了解到，今年4月，央行啟動(dòng)全面摸排金融科技應(yīng)用風(fēng)險(xiǎn)工作，移動(dòng)金融客戶端應(yīng)用軟件成為摸排重點(diǎn)之一。根據(jù)《關(guān)于開展金融科技應(yīng)用風(fēng)險(xiǎn)專項(xiàng)摸排工作的通知》（下稱“45號文”），人民銀行各分支機(jī)構(gòu)須在10月30日前形成書面報(bào)告報(bào)送總行。

與摸排工作同步進(jìn)行的是，于2019年12月3日啟動(dòng)的移動(dòng)金融客戶端應(yīng)用軟件備案試點(diǎn)。《財(cái)經(jīng)》記者獲悉，截至目前，已有4000余家金融機(jī)構(gòu)在中國互聯(lián)網(wǎng)金融協(xié)會（下稱“協(xié)會”）App備案系統(tǒng)中注冊，填寫了1342款擬申請備案的App信息。另據(jù)協(xié)會官網(wǎng)披露，截至7月15日，已有127款A(yù)pp產(chǎn)品通過備案。

但顯然，移動(dòng)金融App市場治理與規(guī)范是一場艱難的“持久戰(zhàn)”，尚需監(jiān)管、應(yīng)用商店運(yùn)營者、App運(yùn)營機(jī)構(gòu)、普通用戶等多方合力推進(jìn)。

“技術(shù)發(fā)展瞬息萬變，若安全保障沒有跟上，就會引入新的風(fēng)險(xiǎn)。因此，要堅(jiān)持技術(shù)和安全建設(shè)‘兩條腿走路，失去安全的技術(shù)突破不僅沒有實(shí)際價(jià)值，還會給社會、公眾帶來不利的影響?！蹦辰鹑诳萍脊矩?fù)責(zé)人坦言。

備案強(qiáng)監(jiān)管啟幕

央視在上述“3·15”晚會報(bào)道中指出，上海市消費(fèi)者權(quán)益保護(hù)委員會委托第三方對市場上的App進(jìn)行檢測，包括國美易卡、美期分期、口袋錢包、九秒貸、趣花唄等金融App在內(nèi)的50多款A(yù)pp，存在違規(guī)第三方SDK（即：軟件開發(fā)工具包）。

“一些SDK插件會未經(jīng)用戶同意，收集用戶的聯(lián)系人、短信、位置、設(shè)備信息等。因?yàn)镾DK能夠收集用戶的短信，以及應(yīng)用安裝信息，一旦用戶有網(wǎng)絡(luò)交易的驗(yàn)證碼被獲取，極有可能造成嚴(yán)重的經(jīng)濟(jì)損失。”檢測人員介紹說。

另據(jù)中國信息通信研究院安全研究所發(fā)布的《2019金融行業(yè)移動(dòng)App安全觀測報(bào)告》，約70.22%的移動(dòng)金融App存在高危漏洞，約6.16%的App被檢測出惡意程序，僅有17.08%的移動(dòng)金融App進(jìn)行了安全加固。

與此同時(shí)，零壹智庫此前針對200款金融App測評的結(jié)果顯示，200款金融App都或多或少存在不合規(guī)情況，其中最為嚴(yán)重的問題包括：用戶不同意隱私政策，則強(qiáng)制退出，無法使用;違反必要原則，收集與其業(yè)務(wù)無關(guān)的個(gè)人信息;未向用戶提供定向推送的選項(xiàng)等。

移動(dòng)金融App市場發(fā)展亟待規(guī)范。值得注意的是，相關(guān)監(jiān)管部門正通過一系列措施，力圖在對移動(dòng)金融App治理中，走向“事前的事前”，進(jìn)而有效保障消費(fèi)者權(quán)益。

2019年6月，人民銀行下發(fā)《金融科技（FinTech）發(fā)展規(guī)劃（2019-2021年）》（下稱《規(guī)劃》）。就提升金融業(yè)務(wù)風(fēng)險(xiǎn)防范能力，人民銀行指出，組織建設(shè)統(tǒng)一的金融風(fēng)險(xiǎn)監(jiān)控平臺，引導(dǎo)金融機(jī)構(gòu)加強(qiáng)金融領(lǐng)域App與門戶網(wǎng)站實(shí)名制和安全管理，提升對仿冒App、釣魚網(wǎng)站的識別處置能力等。

三個(gè)月后（2019年9月），人民銀行印發(fā)《關(guān)于發(fā)布金融行業(yè)標(biāo)準(zhǔn) 加強(qiáng)移動(dòng)金融客戶端應(yīng)用軟件安全管理的通知》（下稱“237號文”），明確中國互聯(lián)網(wǎng)金融協(xié)會負(fù)責(zé)移動(dòng)金融App的行業(yè)自律管理和實(shí)名備案工作，并強(qiáng)調(diào)要完善客戶端軟件投訴處理機(jī)制，建立健全黑名單管理、自律檢查、違規(guī)約束、信息共享和聯(lián)防聯(lián)控機(jī)制。

隨237號文下發(fā)的還有《移動(dòng)金融客戶端應(yīng)用軟件安全管理規(guī)范》（下稱《管理規(guī)范》），后者對客戶端軟件的安全防護(hù)能力和個(gè)人金融信息保護(hù)等提出了明確的要求。

如在個(gè)人金融信息保護(hù)方面，央行從信息收集、使用、傳輸、存儲等多個(gè)環(huán)節(jié)，為金融機(jī)構(gòu)劃定紅線。其中，在收集、使用個(gè)人金融信息時(shí)，央行明確指出，各金融機(jī)構(gòu)不得以默認(rèn)、捆綁、停止安裝使用等手段變相強(qiáng)迫用戶授權(quán)，不得收集與其提供金融服務(wù)無關(guān)的個(gè)人金融信息。

至此，移動(dòng)金融App強(qiáng)監(jiān)管拉開序幕。

按照《規(guī)劃》和237號文的相關(guān)要求，2019年12月，協(xié)會召開金融業(yè)移動(dòng)金融客戶端應(yīng)用軟件備案管理工作試點(diǎn)啟動(dòng)會議。根據(jù)會議內(nèi)容，協(xié)會將在全國范圍內(nèi)分批次組織開展App備案推廣，并逐步落實(shí)風(fēng)險(xiǎn)信息共享、投訴處置機(jī)制以及行業(yè)公約、黑白名單、自律檢查、違規(guī)約束等自律管理工作。

彼時(shí)，人民銀行科技司司長李偉指出，針對當(dāng)前一些金融機(jī)構(gòu)客戶端軟件存在的安全防護(hù)能力參差不齊、超范圍收集個(gè)人信息、仿冒釣魚現(xiàn)象突出等問題，各金融機(jī)構(gòu)要建立客戶端軟件安全管理全程覆蓋機(jī)制，相關(guān)部門要建立健全客戶端軟件監(jiān)督處置機(jī)制。

《財(cái)經(jīng)》記者了解到，首批參與移動(dòng)金融App試點(diǎn)備案名單中，涉及銀行、證券、基金、保險(xiǎn)、支付等領(lǐng)域的23家持牌金融機(jī)構(gòu)。

多名業(yè)內(nèi)人士指出，此前移動(dòng)金融App市場較為無序，缺乏有效管理。隨著237號文的下發(fā)及備案試點(diǎn)啟動(dòng)，移動(dòng)金融App監(jiān)管逐步走向深水區(qū)。

備案App整改率達(dá)94%

據(jù)了解，移動(dòng)金融App備案工作主要分為三個(gè)步驟，包括機(jī)構(gòu)信息注冊登記、客戶端應(yīng)用軟件信息登記、外部評估結(jié)果登記和備案受理。

具體來看，備案過程中，協(xié)會會對備案主體的合規(guī)資質(zhì)和安全管理水平、備案主體提交擬備案App的安裝包以及隱私保護(hù)政策、收集用戶權(quán)限范圍等進(jìn)行審核。備案主體則需按照《管理規(guī)范》、《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》等標(biāo)準(zhǔn)提交第三方檢測機(jī)構(gòu)出具的檢測報(bào)告。

檢測過程中，備案主體須對檢測不符合項(xiàng)進(jìn)行整改，直至檢測合格并獲得由國家認(rèn)監(jiān)委授權(quán)的認(rèn)證機(jī)構(gòu)出具的認(rèn)證證書。與此同時(shí)，協(xié)會還會對擬通過備案的App產(chǎn)品進(jìn)行10個(gè)工作日的網(wǎng)上公示。公示期結(jié)束后，若無反饋或調(diào)整，則完成App產(chǎn)品備案。

《財(cái)經(jīng)》記者獲悉，截至目前，已有4000余家金融機(jī)構(gòu)在中國互金協(xié)會App備案系統(tǒng)中注冊，填寫了1342款擬申請備案的App信息。另據(jù)協(xié)會官網(wǎng)信息，截至7月15日，已有127款A(yù)pp產(chǎn)品通過備案。

“從已備案的移動(dòng)金融App來看，大部分工作主要集中在外部檢測和App整改上，通常情況下，從開始檢測到整改再到復(fù)測需要二至三周左右時(shí)間，但也存在部分App整改之處偏多，需要一個(gè)月甚至更多時(shí)間完成?！敝袊ヂ?lián)網(wǎng)金融協(xié)會信息科技部負(fù)責(zé)人李健告訴《財(cái)經(jīng)》記者，按照前期檢測的結(jié)果，申請備案的App約94%進(jìn)行了整改復(fù)檢后才通過了備案。

據(jù)《財(cái)經(jīng)》記者了解，移動(dòng)金融App備案過程中，集中存在的安全防護(hù)問題包括：密碼設(shè)定與重置時(shí)新舊密碼可相同、通信使用的加密算法復(fù)雜度低、明文存儲用戶個(gè)人敏感信息、關(guān)鍵業(yè)務(wù)數(shù)據(jù)未進(jìn)行完整性校驗(yàn)等;在客戶個(gè)人信息保護(hù)方面，則存在未征得同意就收集使用個(gè)人信息、未提供有效的更正刪除個(gè)人信息的功能等問題。

備案過程中的整改效果顯而易見。檢測機(jī)構(gòu)調(diào)查顯示，高達(dá)94%的移動(dòng)金融App在備案過程中進(jìn)行了安全修復(fù)，平均修復(fù)漏洞和隱患4.25個(gè)，修復(fù)5個(gè)以上的App占比達(dá)41.79%;約90%的移動(dòng)金融App完善了對個(gè)人信息的收集和使用規(guī)范，優(yōu)化5項(xiàng)以上的App占比達(dá)47%。

但需要注意，完成備案僅是移動(dòng)金融App合規(guī)發(fā)展的第一步。

李健透露，對于完成備案的App產(chǎn)品，協(xié)會會通過風(fēng)險(xiǎn)監(jiān)測和接受社會公眾投訴等方式，加強(qiáng)對App產(chǎn)品的日常管理。例如通過日常監(jiān)控和風(fēng)險(xiǎn)共享工作，協(xié)會發(fā)現(xiàn)移動(dòng)金融App在使用SDK時(shí)，可能帶來新的風(fēng)險(xiǎn)隱患。對此，接下來將采取對金融機(jī)構(gòu)使用的公共SDK進(jìn)行單獨(dú)安全檢測等措施，解決移動(dòng)金融App在使用SDK方面的共性問題。

與此同時(shí)，社會公眾的監(jiān)督作用亦需充分發(fā)揮。“備案前的檢測工作主要是從安全性和個(gè)人隱私保護(hù)角度出發(fā)，對App主要功能點(diǎn)進(jìn)行檢測。但App本身功能點(diǎn)較多，很多問題需要在長期使用中才能發(fā)現(xiàn)。如果兼顧所有功能點(diǎn)進(jìn)行‘深度檢測，會影響移動(dòng)金融App備案的整體進(jìn)度。因此，需要更多的公眾積極參與進(jìn)來，向我們反饋使用過程中存在的問題。”

通過App產(chǎn)品備案的某金融機(jī)構(gòu)技術(shù)負(fù)責(zé)人告訴《財(cái)經(jīng)》記者，此前確實(shí)存在一些漏洞或不完善的細(xì)節(jié)，從檢測環(huán)節(jié)到備案名單發(fā)布的過程中，一直處于反復(fù)修改的狀態(tài)，足以見得監(jiān)管層面對規(guī)范移動(dòng)金融App市場的決心?！斑@其實(shí)是一個(gè)鍛造、提升安全能力，不斷走向合規(guī)的過程?！?h3>多方合力的持久戰(zhàn)

移動(dòng)金融App備案工作穩(wěn)步推進(jìn)，但其背后亦面臨不小的挑戰(zhàn)。一方面，在提及2020年重點(diǎn)工作時(shí)，2019年底召開的人民銀行金融科技委員會會議指出，推動(dòng)金融App備案全覆蓋。

“目前面臨不小的壓力，會繼續(xù)加大檢測力度，提高時(shí)效，努力完成預(yù)定目標(biāo)?！崩罱”硎?。

另一方面，如何讓更多的用戶知曉已備案的金融App產(chǎn)品情況，避免前者因下載仿冒或詐騙類App遭受財(cái)產(chǎn)損失，也是業(yè)內(nèi)頻頻提及的問題。據(jù)了解，此前協(xié)會已面向公眾上線了移動(dòng)金融可信公共服務(wù)平臺，完成備案的金融App會同步發(fā)布到該平臺中，以便公眾查詢、下載并使用安全可信的App。

多名業(yè)內(nèi)人士接受《財(cái)經(jīng)》記者采訪時(shí)表示，規(guī)范移動(dòng)金融App市場是一場艱難的“持久戰(zhàn)”，需監(jiān)管方、應(yīng)用商店運(yùn)營者、App運(yùn)營機(jī)構(gòu)等多管齊下、多方參與治理，用戶亦需不斷提高安全意識。

《財(cái)經(jīng)》記者注意到，針對移動(dòng)金融App的監(jiān)管正持續(xù)加碼。據(jù)多名金融機(jī)構(gòu)人士透露，今年4月，央行下發(fā)45號文，要求各分支機(jī)構(gòu)及相關(guān)監(jiān)管機(jī)構(gòu)啟動(dòng)金融科技風(fēng)險(xiǎn)專項(xiàng)摸排工作。

根據(jù)45號文要求，相關(guān)金融機(jī)構(gòu)在2020年5月至7月要根據(jù)摸排列表完成自評工作，并及時(shí)提交報(bào)告;8月至9月，由人民銀行分支機(jī)構(gòu)等對報(bào)告完成復(fù)核，并于10月30日前形成書面報(bào)告報(bào)送總行。

摸排工作主要范圍包括移動(dòng)金融客戶端應(yīng)用軟件、應(yīng)用程序編程接口、信息系統(tǒng)等，涉及人工智能、大數(shù)據(jù)、區(qū)塊鏈等新技術(shù)金融應(yīng)用風(fēng)險(xiǎn);與45號文同步下發(fā)的《金融科技應(yīng)用風(fēng)險(xiǎn)專項(xiàng)摸排列表》則包括個(gè)人金融信息保護(hù)、交易安全、仿冒漏洞、技術(shù)使用安全以及內(nèi)控管理五大方面，涵蓋40個(gè)具體摸排項(xiàng)、123個(gè)摸排要點(diǎn)。

某大行金融科技業(yè)務(wù)負(fù)責(zé)人告訴《財(cái)經(jīng)》記者，目前已將摸排要點(diǎn)分解到不同產(chǎn)品線上，落實(shí)自評工作。

李健亦表示，協(xié)會正按照45號文要求開展相關(guān)工作。與此同時(shí)，正研究制定《移動(dòng)金融客戶端應(yīng)用軟件備案管理自律公約》，建設(shè)投訴處置模塊等，進(jìn)一步完善移動(dòng)金融App行業(yè)自律管理方式。

“目前在與主流應(yīng)用商店運(yùn)營主體加強(qiáng)溝通，希望大家聯(lián)合起來開展工作，比如針對通過備案的移動(dòng)金融App，在應(yīng)用市場中做出明確標(biāo)識;與此同時(shí)，將備案作為金融App上架的前置條件?！崩罱≌f。

有金融行業(yè)研究員指出，除了監(jiān)管部門持續(xù)加大App治理力度外，各金融機(jī)構(gòu)也應(yīng)嚴(yán)格按照規(guī)范要求，構(gòu)建全流程安全管控體制，覆蓋App軟件開發(fā)、發(fā)布、使用、維護(hù)等全生命周期，對于網(wǎng)絡(luò)攻擊、信息泄露等行為，應(yīng)采取相應(yīng)措施予以打擊，確保系統(tǒng)平穩(wěn)運(yùn)行。

亦有觀點(diǎn)認(rèn)為，下一步移動(dòng)金融App治理推進(jìn)重點(diǎn)，仍是要嚴(yán)把審核關(guān)。目前是申請備案階段，后期應(yīng)把好源頭審核關(guān)，比如應(yīng)用商店運(yùn)營者或相應(yīng)網(wǎng)站應(yīng)履行好平臺審核責(zé)任，配合監(jiān)管部門或自律協(xié)會，對金融App從業(yè)資質(zhì)、業(yè)務(wù)合規(guī)性等進(jìn)行審核。

而在監(jiān)管、App運(yùn)營機(jī)構(gòu)、應(yīng)用商店運(yùn)營者之外，用戶也需不斷加強(qiáng)自我防范意識和鑒別能力。有金融領(lǐng)域?qū)I(yè)人士提醒，用戶在使用金融App過程中，要注意選擇正規(guī)官方軟件，務(wù)必通過正規(guī)應(yīng)用平臺下載;切勿點(diǎn)擊來歷不明的應(yīng)用供應(yīng)商、鏈接以及二維碼下載安裝軟件等。