隨著金融業移動金融客戶端應用軟體（以下簡稱“移動金融APP”）備案試點工作的開啟，關於移動金融APP的監管頂層設計也浮出水面。北京商報記者從知情人士處獲悉，央行此前已向部分金融機構定向下發《關於釋出金融行業標準加強移動金融客戶端應用軟體安全管理通知》（以下簡稱“通知”），12月5日，北京商報記者獲悉了該通知全文。從通知來看，央行對移動金融APP安全問題，主要從提升安全防護、加強個人金融資訊保護、提高風險監測能力、健全投訴處理機制、強化行業自律5個方面進行了管理規範，並對備受關注的個人金融資訊保護劃定了四大紅線。有分析人士稱，央行此次通知對金融行業來說意義重大，今後對移動金融APP治理，監管將走向“事前的事前”，以確保不侵犯消費者權益，不濫用消費者資料。

劃明四大紅線

在移動金融APP安全規範中，針對個人金融資訊洩露問題的整肅已成為重中之重。北京商報記者注意到，在個人金融資訊保護方面，央行從資訊收集、使用、傳輸、儲存等多個環節中，為各金融機構劃定了四條紅線。

首先，在收集、使用個人金融資訊時，央行明確，各金融機構不得以預設、捆綁、停止安裝使用等手段變相強迫使用者授權，不得收集與其提供金融服務無關的個人金融資訊。同時，金融機構應採取資料加密、訪問控制、安全傳輸、簽名認證等措施，防止個人金融資訊在傳輸、儲存、使用等過程被非法竊取、洩露或篡改。而在資訊使用結束後，各金融機構應立即刪除敏感資訊，在客戶端軟體解除安裝後不得留存個人金融資訊。此外，金融機構不得違反法律法規與使用者約定，不得洩露、非法出售或非法向他入提供個人金融資訊。

對此，杭州電子科技大學教授徐偉棟指出，對於移動金融APP的合規化其實目標很明確，主要是從金融產品、風控與貸後的需求出發，尋找“最小”、“必要”的資訊項，然後提交客戶端開發出相應的提取資訊功能，而不是以前的、客戶端一股腦把能拿到的資訊都塞到後端入庫，再看哪個資訊可以用來加工變數。

蘇寧金融研究院研究員孫揚則指出，金融行業監管一直呈趨嚴態勢，包括從金融業態強監管、金融科技強監管、金融資料強監管等多方面來看，均在穩步推進。而從此次規範來看，移動金融APP監管已走向深水區，後期監管一定會將個人資訊保護、移動金融APP、金融資料等都納入非現場檢查的重要範疇。

首批23家機構參與備案試點

值得關注的是，針對移動金融客戶端應用軟體安全管理，中國網際網路金融協會（以下簡稱“協會”）也已開始行動。12月3日，協會在京召開移動金融APP備案管理工作試點啟動會議。會議明確，各試點機構應於2019年底前完成首批試點備案申請。

下一步，協會將會在全國範圍內分批次組織開展APP備案推廣，並逐步落實風險資訊共享、投訴處置機制以及行業公約、黑白名單、自律檢查、違規約束等自律管理工作。

試點啟動會上，央行科技司司長李偉指出，針對當前一些金融機構客戶端軟體存在的安全防護能力參差不齊、超範圍收集個人資訊、仿冒釣魚現象突出等問題，各金融機構要建立客戶端軟體安全管理全程覆蓋機制，相關部門要建立健全客戶端軟體監督處置機制。

北京商報記者從相關知情人士處獲悉，本次備案試點主要本著機構自願申請的原則，首批參與移動金融APP備案申請的有來自銀行、證券、基金、保險、支付等領域的23家試點機構，目前協會已出具體試點方案。該人士推測，“從首批申請機構型別來看，目前主要是從持牌類金融機構開始試點，後續協會或將根據試點情況，進一步完善備案流程，統一行業標準和備案規則，從而進一步將備案覆蓋至更多金融業務型別從業機構。”

“試點一事對行業來說無疑是一大利好，一方面有利於形成行業標杆效應，另一方面，部分不規範的公司也會按照相應要求進行整改。”零壹研究院院長於百程在接受北京商報記者採訪時指出，儘管首批試點為持牌機構，但不乏後期會拓展至網際網路金融類公司，只要有金融相關業務的移動APP，都應該會受到同樣的規範。

孫揚同樣指出，此前移動金融APP在市場上開展其實是較為無序的，缺乏全面治理，此次規範的下發和試點的啟動，對於金融APP治理來說，可以稱之為一個里程碑式的事件，此後，不但從事金融業務須有相應許可，在獲取使用者資訊時也須遵守相應規範，同時對使用者資訊的儲存、使用、流轉等，都須在監管範疇下進行，有利於從金融供給側層面，對一些非法金融行為進行有效出清。

“頑疾”何解？

值得注意的是，針對部分移動金融APP安全問題，監管除加強稽核規範外，同時也加大了對違規行為的打擊力度。12月4日，國家網路安全通報中心官方披露，2019年11月以來，全國公安機關網安部門已集中查處整改100款違法違規APP及其運營的網際網路企業。北京商報記者注意到，被查處下架整改的百款APP中，銀行和貸款等金融類APP為“重災區”，其中不乏光大銀行、天津銀行等持牌類金融機構。

不過，光大銀行迴應稱，高度重視提升客戶體驗與客戶隱私資訊保護工作，切實保證使用者個人資訊保安，目前提示的使用者隱私政策條款符合相關要求。手機銀行APP一直正常執行，從未停止過服務。天津銀行在官網釋出宣告稱，截至目前，我行未收到任何行政機關要求“天津銀行手機銀行APP”下架的官方通知，“天津銀行手機銀行APP”正常面向公眾提供下載、更新、使用等服務。

移動金融APP屢現違規，具體如何破題？多位接受北京商報記者採訪的業內人士一致認為，要根治金融行業APP“頑疾”是一場“持久戰”，仍需監管方、應用商店運營者、APP運營方等多管齊下、多方參與治理。

中國民生銀行研究院研究員郭曉蓓指出，除了監管部門持續加大APP治理力度外，各金融機構也應嚴格按照規範要求，構建全流程安全管控體制，覆蓋APP軟體開發、釋出、使用、維護等全生命週期，對於網路攻擊、資訊洩露等行為，應採取相應措施予以打擊，確保系統平穩執行。而對於金融科技公司而言，則應從在軟體設計前就準確、充分評估相關風險，植入安全程式進APP系統，在使用前進行多次模擬實驗。

在孫揚看來，下一步移動金融APP治理推進重點，仍要嚴把稽核關。目前是申請備案階段，後期應把好源頭稽核關，比如應用商店運營者或相應網站應履行好平臺稽核責任，配合監管部門或自律協會，對金融APP從業資質、業務合規性等進行稽核。

“出來混總是要還的，從業者若違規使用個人資訊，肯定要承擔法律責任。因此建議金融機構和互金企業，務必遵守監管規定，學習法律知識，配合協會和監管，後期做好相應備案。包括在各自APP的開發、上架，以及資料儲存等方面，都應建立一個更加嚴格的流程和制度。此外，還要對APP開發人員運營人員等做好相應培訓，以做到合法合規。” 孫揚稱。