■本报记者 聂国春
移动金融APP正在掀起监管风暴。
公安部12月4日通报的“净网2019”专项行动成果显示,光大银行、天津银行、天津农商银行等100款APP因违规采集使用个人信息被要求下架整改。同一天,央行印发《移动金融客户端应用软件安全管理规范》(以下简称 《规范》),给移动金融APP戴上“紧箍”。
违规采集个人信息问题突出
根据国家网络安全通报中心的通报,2019年11月以来,公安部加大打击侵犯公民个人信息违法犯罪行为的力度,组织开展APP违法违规采集个人信息集中整治工作,查处整改了100款违法违规APP及其运营的互联网企业。通报显示,上述违法违规APP涉及光大银行、天津农商银行、天津银行等三家金融机构APP,还有乐贷款、借钱呗、资金保等现金贷类平台。
据悉,此次整治重点针对无隐私协议、收集使用个人信息范围描述不清、超范围采集个人信息和非必要采集个人信息等情形,责令限期整改27款,处以警告处罚63款,处以罚款处罚10款,另有2款被立为刑事案件开展侦查。记者调查发现,目前乐贷款、借钱呗已无法在各大应用商店搜索到,但光大银行、天津农商银行、天津银行与资金保均可正常下载。
移动金融APP违规采集使用个人信息有多严重?南都个人信息保护研究中心12月5日发布的《2019个人信息安全年度报告》有着更深入的揭示。该中心选取了100款下载量较高的移动金融APP,从是否超范围获取权限,尤其是危险权限、用户拒绝某权限后是否频繁申请等方面展开测评,结果显示,超七成APP得分不及格,过半分数集中在40分和50分,有22款APP强制要求获取设备识别码、定位、相机等权限,用户不同意就不能使用APP。
在移动金融APP测评中,设备识别码被严重频繁调取,“招联金融”一分钟内调用了6109次,“国美易卡”“360借条”调用超过1000次。其次是定位权限被滥用,“拍拍贷借款”一分钟调用1468次定位权限,调用500次以上的也有7款APP。此外,默认开通权限的情况也比较多,例如,小米金融会默认获取读取(通知类)短信的权限,天天基金则会默认获取通话状态、访问手机识别码权限。
金融APP备案试点启动
针对移动金融APP乱象,中国互联网金融协会于12月3日在北京召开金融业移动金融客户端应用软件备案管理工作试点启动会议,安排部署金融机构客户端软件备案试点工作。
央行科技司司长李伟在试点启动会上指出,针对当前一些金融机构客户端软件存在的安全防护能力参差不齐、超范围收集个人信息、仿冒钓鱼现象突出等问题,各金融机构要建立客户端软件安全管理全程覆盖机制,相关部门要建立健全客户端软件监督处置机制。希望中国互金协会发挥好行业自律管理和服务职能,多措并举做好客户端软件实名备案管理。
会议明确,各试点机构应于2019年年底前通过客户端软件备案管理系统完成第一批试点客户端软件的材料提交和备案申请,互金协会完成备案审核工作后,择期发布第一批通过备案的客户端软件清单。下一步,将在全国范围内分批次组织开展客户端软件备案推广并逐步落实风险信息共享、投诉处置机制以及行业公约、黑白名单、自律检查、违规约束等自律管理工作。
记者从相关知情人士处获悉,首批参与试点的有23家机构,来自银行、证券、基金、保险、支付等多个领域,目前互金协会已出具体试点方案。
央行新规划定四条红线
随着移动金融APP备案试点工作的开启,关于金融APP的监管顶层设计也浮出水面。
记者获悉,央行日前发布《关于发布金融行业标准 加强移动金融客户端应用软件安全管理的通知》(以下简称《通知》),从提升安全防护、加强个人金融信息保护、提高风险监测能力、健全投诉处理机制、强化行业自律5个方面对移动金融APP进行了规范。
在《通知》和《规范》中,个人金融信息保护成为重中之重。央行从信息收集、使用、传输、存储等多个环节中,为各金融机构划定了四条红线。
一是收集、使用个人金融信息时应遵循合法、正当、必要的原则,明示收集使用信息的目的、方式和范围,并须经用户同意。不得以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得收集与其提供金融服务无关的个人金融信息。二是应采取数据加密、访问控制、安全传输、签名认证等措施,防止个人金融信息在传输、存储、使用等过程被非法窃取、泄露或篡改。三是信息使用结束后应立即删除敏感信息,在客户端软件卸载后不得留存个人金融信息。四是不得违反法律法规与用户约定,不得泄露、非法出售或非法向他人提供个人金融信息。
苏宁金融研究院研究员孙扬指出,从《规范》来看,移动金融APP监管已走向深水区,后期监管部门可能会将个人信息保护、移动金融APP、金融数据等都纳入非现场检查的重要范畴。
专家认为,《规范》覆盖了APP软件开发、发布、使用、维护等全生命周期,有利于构建金融APP全流程安全管控体制。不过,要根治金融APP“顽疾”,仍需监管部门、应用商店、APP运营方等多方参与,尤其是要把好源头审核关。
中国消费者报近期报纸查看
