央行给移动金融App戴“紧箍”

本篇文章2097字，读完约5分钟

随着移动金融客户端应用软件(以下简称“移动金融应用”)备案试点项目的启动，移动金融应用的顶层监管设计也浮出水面。《北京商报》记者从业内人士处获悉，央行此前已向部分金融机构发布了《关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》(以下简称《通知》)。12月5日，《今日北京商报》记者获悉了该通知的全文。根据通知，央行从加强安全保护、加强个人金融信息保护、提高风险监控能力、完善投诉处理机制和加强行业自律五个方面对移动金融应用的安全进行了监管。

画四条红线

在移动金融应用的安全规范中，清理个人财务信息披露问题已成为当务之急。《北京商报》记者注意到，在个人金融信息保护方面，央行已经从信息收集、使用、传输和存储四个方面为金融机构划定了红线。

首先，在收集和使用个人金融信息时，央行明确表示，金融机构不得以默认、绑定、停止安装和使用等方式强迫用户进行伪装授权，也不得收集与其提供的金融服务无关的个人金融信息。同时，金融机构应采取数据加密、访问控制、安全传输和签名认证等措施，防止个人金融信息在传输、存储和使用过程中被非法窃取、泄露或篡改。信息使用后，所有金融机构应立即删除敏感信息，在客户端软件卸载后不得保留个人金融信息。此外，金融机构不得违反法律法规与用户之间的约定，不得向他人披露、非法出售或非法提供个人金融信息。

对此，杭州电子科技大学教授徐伟栋指出，实际上，移动金融应用的合规性目标非常明确，主要是从金融产品、风险控制和贷后需求入手，然后将“最小”和“必要”的信息项提交给客户，开发相应的信息提取功能，而不是由以前的客户将所有可用的信息塞进后端存储，然后再看哪些信息可以用来处理变量。

苏宁金融研究所研究员孙阳指出，金融业监管日趋严格，包括对金融格式的严格监管、对金融技术的严格监管和对金融数据的严格监管。根据这一规定，对移动金融应用的监管已移至深水区，个人信息保护、移动金融应用和金融数据将纳入后期非现场检查的重要领域。

23个机构参加了试点

值得注意的是，中国互联网金融协会(以下简称“协会”)也开始对移动金融客户端应用软件的安全管理采取行动。12月3日，协会在北京召开移动金融应用备案管理试点启动会，明确各试点机构应在2019年底前完成第一批试点备案申请。

《北京商报》记者从相关知情人士处了解到，此次试点备案主要是基于机构自愿申请的原则。首批23家试点机构来自银行、证券、基金、保险、支付等领域。参与了移动金融应用的备案申请。目前，协会已经制定了具体的试点方案。该人士推测，“从第一申请机构的类型来看，目前试点项目主要是从持牌金融机构开始，后续协会将根据试点情况进一步完善备案流程，统一行业标准和备案规则，进一步将备案覆盖到更多的金融业务类型。”

“试点项目无疑是对行业的一大利好。一方面，它有利于形成行业标杆效应。另一方面，一些不规范的公司也将按照相应的要求进行整改。”零点一研究所所长俞白成今天在接受《北京商报》采访时指出，虽然首批试点是特许机构，但有很多移动应用将在后期扩展到互联网金融公司，只要有与金融相关的业务，就应该受到同样的监管。

孙杨还表示，移动金融应用在市场上的发展实际上是无序的，缺乏全面的治理。该规范的发布和试点的启动可以被称为金融应用治理的里程碑事件。从那时起，不仅金融业必须拥有相应的许可证，而且在获取用户信息时也必须遵守相应的法规。同时，用户信息的保存、使用和流通必须在监管范围内进行，这有利于金融供给方。

金融应用弊病的解决方案是什么

针对一些移动金融应用的安全问题，监管部门不仅加强了审计标准，还加大了对违规行为的打击力度。12月4日，国家网络安全通报中心正式披露，自2019年11月以来，全国公安机关网络安全部门集中查处了100个违法违规应用及其运营的互联网企业。银行和贷款等金融应用是“重灾区”，其中有许多持牌金融机构，如光大银行(601818，咨询股)和天津银行(港股01578)。许多业内人士一致认为，消除金融行业应用的顽疾是一场持久战，仍需要监管机构、应用商店运营商和应用运营商多管齐下、多方参与。

中国民生银行研究院(600016)(港股01988)研究员郭晓蓓指出，除了监管部门不断加强app治理外，各金融机构还应严格按照规范要求，构建覆盖app软件开发、发布、使用和维护全生命周期的全过程安全管控体系，并采取相应措施打击网络攻击和信息泄露，确保系统的顺利运行。对于金融技术公司来说，他们应该在软件设计前准确、全面地评估相关风险，在应用系统中植入安全程序，并在使用前进行多次模拟实验。

在孙杨看来，推进移动金融应用治理的下一步是严格审核。目前是申请备案阶段，后期要做好源头审计。例如，应用商店运营商或相应网站应履行平台审核职责，并配合监管机构或自律协会审核金融应用的资质和业务合规性。“建议金融机构和共同基金企业必须遵守监管要求，学习法律知识，配合协会和监管，并在后期做好相应记录。应建立更严格的流程和系统，包括开发、存储、数据和保存各自的应用程序。此外，应用程序开发人员和操作人员应接受相应的培训，以确保合法合规。”。