监管机构经常发出个人金融信息安全问题——“过度开发”金融应用信息将加强监管
今后,央行和中国互联网金融协会将加快备案登记制度,加强金融应用的评估和认证。同时,相关部委也将对软件商店采取联合措施,及时采取措施清除不符合规定且存在重大风险的APP。
日前,中国人民银行科技司司长李伟表示,金融机构应建立覆盖客户软件安全管理全过程的机制,针对当前一些金融机构客户软件安全保护能力参差不齐、个人信息收集过度、钓鱼现象突出等问题,相关部门应建立和完善客户软件监管和处理机制。
高风险漏洞出现
近日,国家网络安全通知中心发布消息称,已集中力量调查和整改100家非法应用和运营的互联网企业,包括光大银行、天津银行等金融机构拥有的手机银行。侵犯的主要问题是缺乏隐私协议、个人信息收集和使用范围描述不清、个人信息收集超出范围以及不必要的个人信息收集。
”前一段时间,许多部委在整改过程中移除了100多个应用程序,其中金融应用程序是受灾最严重的领域。随后,央行和中国互联网金融协会将加快备案登记制度,加强对金融应用的评估和认证。与此同时,相关部委也将对软件商店采取联合措施,及时采取措施清除不符合规定且存在重大风险的APP。李薇说。
根据中国信息与通信研究所发布的《2019金融行业移动APP安全观测报告》,截至今年9月11日,报告团队已经从232个安卓应用市场收集了133327个金融行业应用,其中消费金融应用是最针对个人用户的,占观察总数的36.74%。彩票应用排名第二,占观察总数的27.19%。面向企业的P2P金融应用排名第三,占观察总数的11.38%。
根据上述报告,在本次观察中,70.22%的金融行业应用程序被发现存在高风险漏洞。攻击者可以利用这些漏洞窃取用户数据、伪造应用程序、植入恶意程序、攻击服务等。严重威胁应用程序的安全。
"一旦应用程序用户的个人隐私信息被披露,将会有严重的后果。例如,骚扰电话、信息欺诈、恶意营销、在线情感欺诈等。将严重损害应用程序用户的利益。”报道说。
据了解,银行应用已成为居民理财、存款、汇款和各种零售银行服务的重要载体。因此,除了要求用户上传个人财务信息外,银行还将根据用户自身的业务特点和技术能力要求用户上传个人信息,如“脸”和“指纹”。但是,此类信息是否存在安全风险,或者银行是否超出范围使用此类个人信息,主要取决于银行自身的业务运营标准。
监管严打
近日,总行要求对手机银行应用进行自查,重点检查个人信息是否被越权收集和用于授权以外的领域。一旦发现,相关行动将立即暂停。”一家城市企业相关部门的负责人透露。
事实上,自今年9月以来,监管部门已经陆续出台了金融应用安全管理条例、对几个金融应用进行整改、确定首批备案试点名单等措施,以加强对个人金融信息的保护。
9月底,央行针对移动金融应用的安全问题,发布了《关于发布金融行业标准 加强移动金融客户端应用软件安全管理的通知》,从提高安全防护能力、加强个人理财业务防护五个方面规范管理
业内人士认为,金融应用程序有必要收集个人信息,用于风险控制和投资者评估。例如,当个人申请贷款时,银行需要知道他们的基本个人身份信息和财务状况,而阅读个人通讯簿信息和短消息信息是不必要的。
推广顶级设计
值得注意的是,央行相关部门在查处金融应用违规行为的同时,也启动了金融业第一批移动金融客户应用软件备案试点工作,包括参与相关数据备案试点的16家银行、4家证券基金保险金融机构和3家非银行支付机构。
苏宁金融研究所研究员孙阳认为,随着移动金融应用备案试点的启动,之前混乱的金融应用竞争和缺乏治理的局面将被打破。今后,金融机构获取、存储、使用和传递用户信息的所有业务都将纳入监管范围,这无疑对金融机构合规经营提出了更高的要求。
“从那以后,我们不仅要有从事金融业的相应许可,而且在获取用户信息时还必须遵守相应的规定,这样才能有效地清理一些非法的金融行为。”孙杨说。
据了解,各试点机构应在2019年底前通过客户软件备案管理系统完成第一批试点客户软件的材料提交和备案申请。中国互联网金融协会将在完成备案审查后的某个可选日期发布第一批通过备案的客户软件列表。下一步是在全国批量组织客户软件的备案和推广,逐步实施风险信息共享、投诉处理机制、行业惯例、黑白名单、自律检查、违规等自律管理。(记者金曜)