文：段久惠、王玉玲

來源：證券時報網

金融業移動金融客戶端應用軟件備案試點工作拉開(kāi)大幕，關于移動金融APP的監管頂層設計也浮出水面(miàn)。

12月9日，證券時報記者獨家獲悉一份首批23家機構試點備案名單，包括16家銀行類金融機構（含5家國(guó)有大行、5家股份行、3家城商行、2家農商行和1家農信聯社）、4家證券基金保險類金融機構，以及3家非銀支付機構。

“正在填材料、申請備案中。”一位參與備案的機構知情人士告訴證券時報記者，後(hòu)續將(jiāng)引入第三方評估公司出具報告，“證明沒(méi)有洩露客戶隐私、符合客戶隐私保護條款等。”

今年來，公安部已依法查處違法違規采集個人信息的APP共683款。記者獲悉，央行此前已向(xiàng)部分金融機構定向(xiàng)下發(fā)《關于發(fā)布金融行業标準加強移動金融客戶端應用軟件安全管理通知》（簡稱“237号文”）。通知顯示，央行對(duì)移動金融APP安全問題進(jìn)行管理規範，主要從提升安全防護、加強個人金融信息保護、提高風險監測能(néng)力、健全投訴處理機制、強化行業自律5個方面(miàn)入手，并對(duì)備受關注的個人金融信息保護劃定了四大紅線。

蘇甯金融研究院研究員孫揚認爲，這(zhè)次試點的啓動，有望打破之前移動金融APP在市場上競争無序、缺乏全面(miàn)治理的情況。今後(hòu)，不但從事(shì)金融業務須有相應許可，在獲取用戶信息時也須遵守相應規範，同時對(duì)用戶信息的保存、使用、流轉等，都(dōu)須在監管範疇下進(jìn)行；從這(zhè)次規範看，移動金融APP監管已走向(xiàng)深水區，後(hòu)期監管一定會(huì)將(jiāng)個人信息保護、移動金融APP、金融數據等都(dōu)納入非現場檢查的重要範疇。

備案流程明晰

近期，部分APP涉違規采集用戶個人信息的風險事(shì)件引發(fā)廣泛關注。

今年9月，YY、鬥魚直播、美團外賣、91短貸等32款應用軟件被(bèi)工信部點名，涉未經(jīng)用戶同意，收集、使用用戶個人信息。12月6日，國(guó)家網絡安全通報中心稱，集中查處整改了100款違法違規APP及其運營的互聯網企業，主要違規事(shì)由包括無隐私協議、收集使用個人信息範圍描述不清、超範圍采集個人信息和非必要采集個人信息等情形。

12月3日，中國(guó)互聯網金融協會(huì)在京召開(kāi)移動金融APP備案管理工作試點啓動會(huì)議。會(huì)議明确，各試點機構應于2019年底前完成(chéng)首批試點備案APP的材料提交和備案申請。

下一步，協會(huì)將(jiāng)會(huì)在全國(guó)範圍内分批次組織開(kāi)展APP備案推廣，并逐步落實風險信息共享、投訴處置機制以及行業公約、黑白名單、自律檢查、違規約束等自律管理工作。

誰將(jiāng)首批參與試點，備受外界廣泛關注。記者獲悉的完整名單顯示，23家試點機構包括：16家銀行類金融機構（中國(guó)工商銀行、中國(guó)農業銀行、中國(guó)銀行、中國(guó)建設銀行、交通銀行、中信銀行、中國(guó)民生銀行、招商銀行、廣發(fā)銀行、平安銀行、西安銀行、吉林九台農村商業銀行、廣州農村商業銀行、重慶三峽銀行、徽商銀行、安徽省農信聯社），4家證券基金保險類金融機構（國(guó)泰君安證券、衆安保險、海通證券、彙添富基金），3家非銀支付機構（螞蟻金服、财付通、京東數科）。

上述知情人士告訴記者，這(zhè)次試點工作的備案要點主要有三方面(miàn)：“依托備案管理系統開(kāi)展全線上的資料上傳和審核；備案分爲機構基本信息登記、APP信息登記和APP軟件上傳三部分，系統所有項目均需填寫；試點期間各試點單位至少提交一款有代表性的資金交易類或個人信息采集類APP進(jìn)行備案。”

同時，按金融類APP首次發(fā)布、重大變更、一般變更或緊急變更、注銷等不同情形，明晰了備案流程。“首次發(fā)布（申請備案提交材料）、重大變更（申請變更備案更新材料），經(jīng)過(guò)受理審核，再完成(chéng)備案/更新備案，才能(néng)實現公告和上架；對(duì)于已上架APP，需要一般變更或緊急變更的，可提供變更備案更新材料，再受理審核，最後(hòu)更新備案公告；對(duì)于注銷APP，需提交注銷備案申請材料，受理審核，注銷備案再公告及下架。”上述知情人士介紹。

安全規範四大紅線

記者了解到，中國(guó)互金協會(huì)推動的移動金融APP備案試點背後(hòu)，是央行“237号文”明确中國(guó)互金協會(huì)需承擔以下三大職責——風險監測（健全風險共享機制、加大聯防聯控）；投訴處理（通過(guò)機構核實、現場檢查、技術檢測、專家評議等方式查證，并督促整改）；加強自律管理，其中要求制定行業公約、建立健全行業黑名單管理，做好(hǎo)客戶端軟件實名備案等工作，同時，定期向(xiàng)央行報送相關情況。

“237号文”顯示，央行對(duì)移動金融APP安全問題進(jìn)行管理規範，主要從提升安全防護、加強個人金融信息保護、提高風險監測能(néng)力、健全投訴處理機制、強化行業自律5個方面(miàn)入手，并對(duì)備受關注的個人金融信息保護劃定了四大紅線。

首先，在收集、使用個人金融信息時，央行明确，各金融機構不得以默認、捆綁、停止安裝使用等手段變相強迫用戶授權，不得收集與其提供金融服務無關的個人金融信息。第二，金融機構應采取數據加密、訪問控制、安全傳輸、簽名認證等措施，防止個人金融信息在傳輸、存儲、使用等過(guò)程中被(bèi)非法竊取、洩露或篡改。第三，在信息使用結束後(hòu)，各金融機構應立即删除敏感信息，在客戶端軟件卸載後(hòu)不得留存個人金融信息。最後(hòu)，金融機構不得違反法律法規與用戶約定，不得洩露、非法出售或非法向(xiàng)他人提供個人金融信息。

“關于數據使用的邊界，不光是中國(guó)數字金融發(fā)展的問題，也是全世界都(dōu)非常關注的重要問題。相對(duì)來說，在發(fā)達國(guó)家或者歐美市場，相關立法和政策規定會(huì)完善一點，特别是歐洲對(duì)這(zhè)一塊比較嚴格。”北京大學(xué)數字金融研究中心副主任黃卓分析，“對(duì)于大數據的使用和把數據作爲資産進(jìn)行交易，這(zhè)是兩(liǎng)個不同的層次。在符合一定授權的基礎上，在合理範圍内進(jìn)行使用，這(zhè)是一個層次；把數據作爲一種(zhǒng)資産進(jìn)行交易，這(zhè)是另外一個層次。到了第二個層次，需要更加嚴格的标準，這(zhè)裡(lǐ)還(hái)涉及數據的所有權，以及采集是不是合規、利益怎麼(me)分配等等。這(zhè)方面(miàn)是全世界都(dōu)在探索的命題。”

與“237号文”同步發(fā)出的《移動金融APP應用軟件安全管理規範》，相比之前的金融行業标準，删除了應用場景、將(jiāng)人機交互安全改爲身份證認證安全，增加了安全功能(néng)設計；修改了數據安全要求，在數據獲取、數據訪問控制、數據傳輸、數據存儲、數據銷毀等方面(miàn)提出了具體安全要求。

該《規範》要求不同類型的軟件的責任。其中，資金交易類軟件應符合資金交易、信息保護等所有技術及管理安全要求；信息采集類軟件應重點符合信息保護相關技術及管理安全要求；資訊查詢類軟件應符合相關客戶端軟件安全和管理要求。