网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


动真格!央行划明监管4大红线,移动金融APP被戴“紧箍”

2019-12-16 16:16 推荐: 浏览: 25 views 字号:

摘要: 能信安资讯: 针对当前一些金融机构客户端软件存在的安全防护能力参差不齐、超范围收集个人信息、仿冒钓鱼现象突出等问题,央行监管剑指金融APP,划定4大红线,23家首批试点备案,五大行、蚂蚁金服、京东数科赫然在列。 前几天笔者就曾在《APP安全监管曝光:光大银行、...

能信安资讯: 针对当前一些金融机构客户端软件存在的安全防护能力参差不齐、超范围收集个人信息、仿冒钓鱼现象突出等问题,央行监管剑指金融APP,划定4大红线,23家首批试点备案,五大行、蚂蚁金服、京东数科赫然在列。

前几天笔者就曾在《APP安全监管曝光:光大银行、天津银行等100款APP被点名下架整改》一文中写过,公安机关开展APP违法采集个人信息集中整治,最近一段时间监管力度加剧。

日前在国家网络安全通报中心官方公众号发布的《公安机关开展APP违法采集个人信息集中整治》的通告(下称“通告”)中曾指出,2019年11月以来,公安部开展APP违法违规采集个人信息集中整治,100款违法违规APP被要求下架整改,光大银行、微店、房天下、天津农商银行、天津银行、考拉海购、车讯网、糖豆、晋江小说阅读等APP名列其中。

这其中包含多家金融机构APP被要求下架整改,但没想到浓眉大眼的银行类APP也违规了。

这次央行出手了!

继前一段时间的APP违规整治工作,金融APP再次加大整治力度,央行对移动金融APP安全问题,主要从提升安全防护、加强个人金融信息保护、提高风险监测能力、健全投诉处理机制、强化行业自律5个方面进行了管理规范。

加大金融APP违规行为打击力度

“正在填材料、申请备案中。”一位参与备案的机构的知情人士告诉券商中国记者,后续还将引入第三方的评估公司出具报告等。据悉,央行此前已向部分金融机构定向下发《关于发布金融行业标准加强移动金融客户端应用软件安全管理通知》(237号文)。

23家机构首批已试点备案

12月9日,券商中国记者从权威信源处独家获悉了完整名单,该名单显示,试点机构涵盖了23家来自银行、证券、基金、保险、支付等领域的机构。具体来看,包括:

  • 16家银行类金融机构:中国工商银行、中国农业银行、中国银行、中国建设银行、交通银行、中信银行、民生银行、招商银行、广发银行、平安银行、西安银行、吉林九台农村商业银行、广州农村商业银行、重庆三峡银行、徽商银行、安徽省农信联社;
  • 4家证券基金保险类金融机构:国泰君安证券、众安保险、海通证券、汇添富基金;
  • 3家非银支付机构:蚂蚁金服、财付通、京东数科。

移动金融APP备案动真格

这次试点工作的备案要点主要有三方面:

  1. 依托备案管理系统开展全线上的资料上传和审核;
  2. 备案分为机构基本信息登记、APP信息登记和APP软件上传三部分系统所有项目均需填写;
  3. 试点期间各试点单位至少提交1款有代表性的资金交易类或个人信息采集类APP进行备案。

同时,按金融类APP首次发布、重大变更、一般变更或紧急变更、注销等不同情形,明确了备案流程。“首次发布(申请备案提交材料)、重大变更(申请变更备案更新材料),经过受理审核,再完成备案/更新备案,才能实现公告和上架;对于已经上架APP,需要一般变更或紧急变更,可提供变更备案更新材料,再受理审核,最后更新备案公告;对于需注销APP,申请注销备案提交材料,受理审核,注销备案再公告及下架。”上述知情人士介绍。

央行从信息收集、使用、传输、存储、销毁等整个数据生命周期中,为各金融机构划定四大红线:

  1. 在收集、使用个人金融信息时,央行明确,各金融机构不得以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得收集与其提供金融服务无关的个人金融信息。
  2. 金融机构应采取数据加密、访问控制、安全传输、签名认证等措施,防止个人金融信息在传输、存储、使用等过程被非法窃取、泄露或篡改。
  3. 在信息使用结束后,各金融机构应立即删除敏感信息,在客户端软件卸载后不得留存个人金融信息。
  4. 金融机构不得违反法律法规与用户约定,不得泄露、非法出售或非法向他人提供个人金融信息。

同时,与237号文同步发出的还有《移动金融APP应用软件安全管理规范》,其中相比之前金融行业标准,删除了应用场景、将人机交互安全改为身份证认证安全,增加了安全功能设计;修改了数据安全要求,在数据获取、数据访问控制、数据传输、数据存储、数据销毁等方面提出了具体安全要求。

金融行业监管一直呈趋严态势,包括从金融业态强监管、金融科技强监管、金融数据强监管等多方面来看,均在稳步推进。而从此次规范来看,移动金融APP监管已走向深水区,后期监管一定会将个人信息保护、移动金融APP、金融数据等都纳入非现场检查的重要范畴。

各金融机构要建立客户端软件安全管理全程覆盖机制,相关部门要建立健全客户端软件监督处置机制。

数据使用的边界,不仅是数字金融发展的问题,更是全世界都非常关注的重要问题,将数据隐私保护问题提上日程对于普通百姓来说的确是一件好事。

但金融行业APP在信息使用的安全规范并非一朝一夕,需要监管方、各类APP应用商店运营者、APP运营方及机构多方参与治理,以促使金融应用合法合规化发展。

联系站长租广告位!

中国首席信息安全官
关闭
关闭