6月下旬,中國互聯網金融協會(以下簡稱“協會”)發布公告稱,協會上線了移動金融可信公共服務平臺,在協會移動金融客戶端軟件備案平臺完成備案的客戶端軟件都將同步在可信服務平臺予以發布。
此前,協會已公布了移動金融客戶端應用軟件首批備案名單,據悉通過備案的移動金融客戶端應用軟件來自34家機構,其中銀行類金融機構有19家。《中國經營報(博客,微博)》記者在采訪中了解到,多家銀行在積極申請上述實名備案工作,即使沒有出現在協會公布的首批名單中,但備案工作仍在繼續。
值得注意的是,談及備受關注的銀行APP軟件的安全性及合規問題,受訪業內人士向記者表示,目前APP軟件測評工作仍存在一些痛點需解決,比如檢測機構的行業標準不同,以及技術標準合規與銀行業務發展之間需要平衡等等。
實名備案完善監管
日前,協會經綜合審核并結合相關機構測評和公示情況,形成了第一批完成客戶端軟件實名備案名單,其中銀行APP包括:工商銀行、民生銀行(600016,股吧)及其信用卡、徽商銀行、西安銀行(600928,股吧)、恒生中國、平安銀行(000001,股吧)、廣發銀行、安徽農信聯社、中國銀行、吉林九臺農商行信用卡、建設銀行、中信銀行(601998,股吧)、招商銀行(600036,股吧)及其掌上生活、重慶三峽銀行、廣州農商行、寧波銀行(002142,股吧)、興業銀行(601166,股吧)、東營銀行、東亞銀行19家。
記者從興業銀行了解到,該行按照《移動金融客戶端應用軟件安全管理規劃》要求,通過智能風控不斷提高手機銀行APP安全防護能力,持續加強個人金融信息保護,強化風險監測能力,保障金融消費者合法權益,順利通過本次測評及備案。
去年以來,關于金融機構客戶端軟件安全防護不力,甚至侵犯客戶權益的消息時有出現,且金融機構監管部門及網信辦、公安部等相關部門也多次點名金融客戶端軟件存在違規的金融機構,并要求其整改。
為遏制行業亂象,營造安全健康的金融環境,中國人民銀行印發了《關于發布金融行業標準加強移動金融客戶端應用軟件安全管理的通知》(銀發〔2019〕237號),提出加強移動金融APP的監管力度,針對金融APP個人信息安全、賬戶安全、密碼安全、數據安全、隱私政策等方面進行規范,并要求在全國范圍內分批次組織開展客戶端軟件備案推廣并逐步落實風險信息共享、投訴處置機制以及行業公約、黑白名單、自律檢查、違規約束等自律管理工作。
去年12月,協會召開金融業移動金融客戶端應用軟件備案管理工作試點啟動會議,安排部署金融機構客戶端軟件備案試點工作。會議明確,各試點機構應于2019年底前完成第一批試點客戶端軟件的材料提交和備案申請。
記者了解到,申請備案的銀行機構遠不止第一批通過名單的機構。一家申請備案的城商行網絡金融部負責人表示:“在申請備案截止時間,我們已經提交了相關資料,需要在網上操作的工作也已完成。”在其看來,金融機構完成實名備案是未來的趨勢,應盡力爭取。
蘇寧金融研究院金融科技研究中心主任孫揚告訴記者,完成實名備案對于銀行機構的APP可信度有很大的幫助。“因為這個備案不但要對APP本身進行檢測,也要對APP運營主體的身份、資質等進行審核,能夠提升銀行機構推廣線上APP產品的品牌度和可信度,通過可信公共服務平臺備案,將能夠提升普通用戶對于銀行APP產品的認可度,促使銀行在APP開發過程中,注意用戶隱私保護、注意產品合規,能夠提升銀行風險管理的意識,影響深遠。”
此外,麻袋研究院高級研究員王詩強表示:“當前,各類APP非法收集客戶信息的情況比較嚴重,優先獲得互聯網金融協會備案的銀行可以借此進行宣傳,在客戶心目中樹立良好的品牌形象,也更容易獲得客戶的信任,用戶在使用時也更加放心。此外,依據《移動金融客戶端應用軟件備案管理辦法(試行)》更新移動客戶端,通過中國互聯網金融協會備案,在開展業務時也更加合法合規,可以有效降低相關的操作風險和政策風險。”
檢測“痛點”尚存
記者在采訪中了解到,備案客戶端軟件要經過第三方機構的檢測,軟件主體也需經過嚴格的審核,協會對于軟件也將進行持續的監控。而備案能否成功的關鍵點之一就是“檢測”。
王詩強表示:“根據備案清單要求,對申請備案的資金交易類和信息采集類客戶端軟件,應由權威、獨立第三方機構(如具備‘金融科技產品認證’資質等)進行評估,以證明申報APP在安全性上符合銀發〔2019〕237號文要求。此外,銀行業金融機構需要保證移動客戶端個人信息收集、使用合法合理,如果有違規違法或者不必要的收集客戶信息的情況,需要及時整改,否則就可能通不過備案。最后,申請移動金融客戶端備案之前,最好先加入中國互聯網金融協會,及時與協會工作人員保持溝通,按照協會工作人員的要求提供資料。”
前述某申請備案的城商行網絡金融部負責人告訴記者,其所在的銀行沒有出現在日前協會公布的第一批名單中,原因是還沒有完成第三方檢測。“目前監管認可的檢測機構有限,而等待檢測的金融機構眾多,我們也在積極聯系,爭取早日安排檢測。”
作為金融機構,申請備案需要大量準備工作。孫揚表示:“金融機構要提供客戶端軟件提供方信息(包括法人機構的統一社會信用代碼、聯系人和聯系方式,營業執照和金融業務許可證等)、客戶端軟件的安全加固情況包含SDK及SDK用途等、客戶端軟件安全和內控管理制度、個人信息保護策略(隱私、收集目的和使用后處理機制)、外部評估報告等。”
值得注意的是,目前在實際的實施過程中,也存在一些“痛點”。“銀行APP不僅需要系統的技術安全性,同時還要遵循銀行的業務邏輯。但檢測機構大多為科技機構,往往從純技術角度去分析。”前述某申請備案的城商行網絡金融部負責人告訴記者,“之前找過某第三方公司檢測,檢測出來的問題沒有跟業務和監管政策進行聯系,比如檢測出‘違規獲取客戶位置信息’,但位置信息是反洗錢業務相關政策規定的,業務需要才獲取這個信息。”
此外,檢測的行業標準還未統一。該網絡金融部負責人表示:“之前我們請過一家檢測機構,順利通過了檢測。但后來又請了另一家機構檢測,卻出現不通過的情況。每家檢測機構側重點和執行標準不同,所以會出現這種情況。”
對于目前存在的痛點,業內人士多認為合規更重要。孫揚表示:“業務發展要讓步于合規。不需要采集的個人信息絕對不能碰,在APP上只能提供銀行機構被金融監管機構允許的業務,廣告和產品陳述要符合金融監管規定,要有完備的金融消費者保護機制等。”
“合規第一,業務發展第二。” 王詩強也認為,“銀行、證券、基金、期貨、保險等金融機構的移動客戶端使用目的不同,因此功能不同,很難出臺統一的檢測標準。”
最新評論