金融App集中“補漏”：94％備案整改

張穎馨

移動金融App市場治理與規范是一場艱難的“持久戰”，尚需監管、應用商店運營者、App運營機構、普通用戶等多方合力推進。圖/IC

使用某個App（即“移動客戶端應用軟件”），被強制要求獲取相機、定位等權限;不知從何時起，被與貸款、保險等相關的騷擾電話或短信瘋狂“轟炸”……你是否也有著同樣的經歷？

上述種種，均指向一個共同的話題——“個人信息保護”。進入移動互聯網時代，僅是在App上一個簡單的操作，個人信息就會被輕易“捕捉”。而當這個行為發生在金融領域，那用戶將面臨的就不僅僅是個人隱私泄露的威脅，更可能是真金白銀的損失。

近年來，App侵害用戶權益現象頻發，而金融類App更是成為重災區。

7月24日，工信部發布關于2020年第三批侵害用戶權益行為的App通報稱，工業和信息化部近期組織第三方檢測機構對手機應用軟件進行檢查，督促存在問題的企業進行整改。截至目前，尚有58款App未完成整改。《財經》記者注意到，其中涉及不少金融類App。

更早前的7月16日晚，央視“3·15”晚會曝光手機App違規收集個人信息問題，在其提到的50余款違規收集信息的App中，金融類的就超過40個。

由于金融類App直接涉及用戶的資金安全等問題，因此如何防范風險，有效為其“打補丁”，成為多方關注焦點。在此背景下，一場自上而下的金融類App整治行動已然開啟。

《財經》記者從多家金融機構人士處了解到，今年4月，央行啟動全面摸排金融科技應用風險工作，移動金融客戶端應用軟件成為摸排重點之一。根據《關于開展金融科技應用風險專項摸排工作的通知》（下稱“45號文”），人民銀行各分支機構須在10月30日前形成書面報告報送總行。

與摸排工作同步進行的是，于2019年12月3日啟動的移動金融客戶端應用軟件備案試點。《財經》記者獲悉，截至目前，已有4000余家金融機構在中國互聯網金融協會（下稱“協會”）App備案系統中注冊，填寫了1342款擬申請備案的App信息。另據協會官網披露，截至7月15日，已有127款App產品通過備案。

但顯然，移動金融App市場治理與規范是一場艱難的“持久戰”，尚需監管、應用商店運營者、App運營機構、普通用戶等多方合力推進。

“技術發展瞬息萬變，若安全保障沒有跟上，就會引入新的風險。因此，要堅持技術和安全建設‘兩條腿走路，失去安全的技術突破不僅沒有實際價值，還會給社會、公眾帶來不利的影響。”某金融科技公司負責人坦言。

備案強監管啟幕

央視在上述“3·15”晚會報道中指出，上海市消費者權益保護委員會委托第三方對市場上的App進行檢測，包括國美易卡、美期分期、口袋錢包、九秒貸、趣花唄等金融App在內的50多款App，存在違規第三方SDK（即：軟件開發工具包）。

“一些SDK插件會未經用戶同意，收集用戶的聯系人、短信、位置、設備信息等。因為SDK能夠收集用戶的短信，以及應用安裝信息，一旦用戶有網絡交易的驗證碼被獲取，極有可能造成嚴重的經濟損失。”檢測人員介紹說。

另據中國信息通信研究院安全研究所發布的《2019金融行業移動App安全觀測報告》，約70.22%的移動金融App存在高危漏洞，約6.16%的App被檢測出惡意程序，僅有17.08%的移動金融App進行了安全加固。

與此同時，零壹智庫此前針對200款金融App測評的結果顯示，200款金融App都或多或少存在不合規情況，其中最為嚴重的問題包括：用戶不同意隱私政策，則強制退出，無法使用;違反必要原則，收集與其業務無關的個人信息;未向用戶提供定向推送的選項等。

移動金融App市場發展亟待規范。值得注意的是，相關監管部門正通過一系列措施，力圖在對移動金融App治理中，走向“事前的事前”，進而有效保障消費者權益。

2019年6月，人民銀行下發《金融科技（FinTech）發展規劃（2019-2021年）》（下稱《規劃》）。就提升金融業務風險防范能力，人民銀行指出，組織建設統一的金融風險監控平臺，引導金融機構加強金融領域App與門戶網站實名制和安全管理，提升對仿冒App、釣魚網站的識別處置能力等。

三個月后（2019年9月），人民銀行印發《關于發布金融行業標準 加強移動金融客戶端應用軟件安全管理的通知》（下稱“237號文”），明確中國互聯網金融協會負責移動金融App的行業自律管理和實名備案工作，并強調要完善客戶端軟件投訴處理機制，建立健全黑名單管理、自律檢查、違規約束、信息共享和聯防聯控機制。

隨237號文下發的還有《移動金融客戶端應用軟件安全管理規范》（下稱《管理規范》），后者對客戶端軟件的安全防護能力和個人金融信息保護等提出了明確的要求。

如在個人金融信息保護方面，央行從信息收集、使用、傳輸、存儲等多個環節，為金融機構劃定紅線。其中，在收集、使用個人金融信息時，央行明確指出，各金融機構不得以默認、捆綁、停止安裝使用等手段變相強迫用戶授權，不得收集與其提供金融服務無關的個人金融信息。

至此，移動金融App強監管拉開序幕。

按照《規劃》和237號文的相關要求，2019年12月，協會召開金融業移動金融客戶端應用軟件備案管理工作試點啟動會議。根據會議內容，協會將在全國范圍內分批次組織開展App備案推廣，并逐步落實風險信息共享、投訴處置機制以及行業公約、黑白名單、自律檢查、違規約束等自律管理工作。

彼時，人民銀行科技司司長李偉指出，針對當前一些金融機構客戶端軟件存在的安全防護能力參差不齊、超范圍收集個人信息、仿冒釣魚現象突出等問題，各金融機構要建立客戶端軟件安全管理全程覆蓋機制，相關部門要建立健全客戶端軟件監督處置機制。

《財經》記者了解到，首批參與移動金融App試點備案名單中，涉及銀行、證券、基金、保險、支付等領域的23家持牌金融機構。

多名業內人士指出，此前移動金融App市場較為無序，缺乏有效管理。隨著237號文的下發及備案試點啟動，移動金融App監管逐步走向深水區。

備案App整改率達94%

據了解，移動金融App備案工作主要分為三個步驟，包括機構信息注冊登記、客戶端應用軟件信息登記、外部評估結果登記和備案受理。

具體來看，備案過程中，協會會對備案主體的合規資質和安全管理水平、備案主體提交擬備案App的安裝包以及隱私保護政策、收集用戶權限范圍等進行審核。備案主體則需按照《管理規范》、《個人金融信息保護技術規范》等標準提交第三方檢測機構出具的檢測報告。

檢測過程中，備案主體須對檢測不符合項進行整改，直至檢測合格并獲得由國家認監委授權的認證機構出具的認證證書。與此同時，協會還會對擬通過備案的App產品進行10個工作日的網上公示。公示期結束后，若無反饋或調整，則完成App產品備案。

《財經》記者獲悉，截至目前，已有4000余家金融機構在中國互金協會App備案系統中注冊，填寫了1342款擬申請備案的App信息。另據協會官網信息，截至7月15日，已有127款App產品通過備案。

“從已備案的移動金融App來看，大部分工作主要集中在外部檢測和App整改上，通常情況下，從開始檢測到整改再到復測需要二至三周左右時間，但也存在部分App整改之處偏多，需要一個月甚至更多時間完成。”中國互聯網金融協會信息科技部負責人李健告訴《財經》記者，按照前期檢測的結果，申請備案的App約94%進行了整改復檢后才通過了備案。

據《財經》記者了解，移動金融App備案過程中，集中存在的安全防護問題包括：密碼設定與重置時新舊密碼可相同、通信使用的加密算法復雜度低、明文存儲用戶個人敏感信息、關鍵業務數據未進行完整性校驗等;在客戶個人信息保護方面，則存在未征得同意就收集使用個人信息、未提供有效的更正刪除個人信息的功能等問題。

備案過程中的整改效果顯而易見。檢測機構調查顯示，高達94%的移動金融App在備案過程中進行了安全修復，平均修復漏洞和隱患4.25個，修復5個以上的App占比達41.79%;約90%的移動金融App完善了對個人信息的收集和使用規范，優化5項以上的App占比達47%。

但需要注意，完成備案僅是移動金融App合規發展的第一步。

李健透露，對于完成備案的App產品，協會會通過風險監測和接受社會公眾投訴等方式，加強對App產品的日常管理。例如通過日常監控和風險共享工作，協會發現移動金融App在使用SDK時，可能帶來新的風險隱患。對此，接下來將采取對金融機構使用的公共SDK進行單獨安全檢測等措施，解決移動金融App在使用SDK方面的共性問題。

與此同時，社會公眾的監督作用亦需充分發揮。“備案前的檢測工作主要是從安全性和個人隱私保護角度出發，對App主要功能點進行檢測。但App本身功能點較多，很多問題需要在長期使用中才能發現。如果兼顧所有功能點進行‘深度檢測，會影響移動金融App備案的整體進度。因此，需要更多的公眾積極參與進來，向我們反饋使用過程中存在的問題。”

通過App產品備案的某金融機構技術負責人告訴《財經》記者，此前確實存在一些漏洞或不完善的細節，從檢測環節到備案名單發布的過程中，一直處于反復修改的狀態，足以見得監管層面對規范移動金融App市場的決心。“這其實是一個鍛造、提升安全能力，不斷走向合規的過程。”

多方合力的持久戰

移動金融App備案工作穩步推進，但其背后亦面臨不小的挑戰。一方面，在提及2020年重點工作時，2019年底召開的人民銀行金融科技委員會會議指出，推動金融App備案全覆蓋。

“目前面臨不小的壓力，會繼續加大檢測力度，提高時效，努力完成預定目標。”李健表示。

另一方面，如何讓更多的用戶知曉已備案的金融App產品情況，避免前者因下載仿冒或詐騙類App遭受財產損失，也是業內頻頻提及的問題。據了解，此前協會已面向公眾上線了移動金融可信公共服務平臺，完成備案的金融App會同步發布到該平臺中，以便公眾查詢、下載并使用安全可信的App。

多名業內人士接受《財經》記者采訪時表示，規范移動金融App市場是一場艱難的“持久戰”，需監管方、應用商店運營者、App運營機構等多管齊下、多方參與治理，用戶亦需不斷提高安全意識。

《財經》記者注意到，針對移動金融App的監管正持續加碼。據多名金融機構人士透露，今年4月，央行下發45號文，要求各分支機構及相關監管機構啟動金融科技風險專項摸排工作。

根據45號文要求，相關金融機構在2020年5月至7月要根據摸排列表完成自評工作，并及時提交報告;8月至9月，由人民銀行分支機構等對報告完成復核，并于10月30日前形成書面報告報送總行。

摸排工作主要范圍包括移動金融客戶端應用軟件、應用程序編程接口、信息系統等，涉及人工智能、大數據、區塊鏈等新技術金融應用風險;與45號文同步下發的《金融科技應用風險專項摸排列表》則包括個人金融信息保護、交易安全、仿冒漏洞、技術使用安全以及內控管理五大方面，涵蓋40個具體摸排項、123個摸排要點。

某大行金融科技業務負責人告訴《財經》記者，目前已將摸排要點分解到不同產品線上，落實自評工作。

李健亦表示，協會正按照45號文要求開展相關工作。與此同時，正研究制定《移動金融客戶端應用軟件備案管理自律公約》，建設投訴處置模塊等，進一步完善移動金融App行業自律管理方式。

“目前在與主流應用商店運營主體加強溝通，希望大家聯合起來開展工作，比如針對通過備案的移動金融App，在應用市場中做出明確標識;與此同時，將備案作為金融App上架的前置條件。”李健說。

有金融行業研究員指出，除了監管部門持續加大App治理力度外，各金融機構也應嚴格按照規范要求，構建全流程安全管控體制，覆蓋App軟件開發、發布、使用、維護等全生命周期，對于網絡攻擊、信息泄露等行為，應采取相應措施予以打擊，確保系統平穩運行。

亦有觀點認為，下一步移動金融App治理推進重點，仍是要嚴把審核關。目前是申請備案階段，后期應把好源頭審核關，比如應用商店運營者或相應網站應履行好平臺審核責任，配合監管部門或自律協會，對金融App從業資質、業務合規性等進行審核。

而在監管、App運營機構、應用商店運營者之外，用戶也需不斷加強自我防范意識和鑒別能力。有金融領域專業人士提醒，用戶在使用金融App過程中，要注意選擇正規官方軟件，務必通過正規應用平臺下載;切勿點擊來歷不明的應用供應商、鏈接以及二維碼下載安裝軟件等。