首批23家金融機構入圍試點APP實名備案券商僅2家

財聯社（上海，記者萬佳麗）訊，財聯社記者最新瞭解到，多數券商收到人民銀行印發的《關於發佈金融行業標準，加強移動金融客戶端應用軟件安全管理通知》（銀髮〔2019〕237號，下稱"《237號》"），要求各金融機構積極開展加強客戶端軟件行業自律管理的職責。

當前中國互聯網協會正在按照人民銀行《關於發佈金融行業標準，加強移動金融客戶端應用軟件安全管理通知》的要求，積極開展加強客戶端軟件行業自律管理的職責，牽頭開展APP實名備案的工作。

財聯社記者獨家獲悉，第一批備案金融機構有：中國工商銀行、中國農業銀行、中國銀行、中國建設銀行、交通銀行、中信銀行、民生銀行、招商銀行、廣發銀行、平安銀行、西安銀行、國泰君安、海通證券、衆安保險、匯添富基金、螞蟻金服服務集團、財付通、京東數科、重慶三峽銀行股份有限公司、徽商銀行、安徽省農信聯社、吉林九臺農村商業銀行股份有限公司、廣州農村商業銀行股份有限公司。

值得注意的是，此次第一批備案金融機構中，券商只有兩家，分別是國泰君安和海通證券。

金融機構APP整改緊鑼密鼓

12月3日,中國互聯網金融協會(以下簡稱"互金協會")在京召開金融業移動金融客戶端應用軟件(以下簡稱"客戶端軟件")備案管理工作試點啓動會議,部署相關工作。來自銀行、證券、基金、保險、支付等領域的23家試點機構相關負責人蔘加會議。

據悉，會議要求,各試點機構應於2019年年底前通過客戶端軟件備案管理系統完成第一批試點客戶端軟件的材料提交和備案申請,互金協會完成備案審覈工作後,將擇期發佈第一批通過備案的客戶端軟件清單。下一步,在全國範圍內分批次組織開展客戶端軟件備案推廣並逐步落實風險信息共享、投訴處置機制以及行業公約、黑白名單、自律檢查、違規約束等自律管理工作。

有券商業內人士認爲，這次第一批名單券商只有兩家，可能與監管半徑有關。但如果這個監管內容後續會對券商APP發佈有影響，那大家一定都會跟進。

據瞭解，此次券商APP整改，是中央網信辦、工信部、公安部、市場監管總局年初伊始開展的關於APP違法違規收集使用個人信息專項治理行動下的重要一環，是該項治理行動在券商業的延續。

海通證券相關負責人表示，公司正在積極配合中國互聯網金融協會推進備案工作，已先後參加兩次籌備會議，對本次APP實名備案的意義和流程也有深入瞭解。由於備案需要提供的材料較多，還需引入第三方認證機構出具報告，因此，備案籌備時間也相應的有所拉長。

在APP信息安全方面，早在今年年初，海通證券已就網信辦等四部委聯合發佈的《關於開展APP違法違規手機使用個人信息專項治理的公告》，更新相關隱私協議並規範相關客戶信息收集方式。

另外，國泰君安相關負責人也表示，近年來君弘APP在信息安全上的投入大致大致有七個方面。首先是多方位進行安全掃描及滲透測試，通過阿里、愛加密、中證信息、中國信息安全測評中心等安全公司或檢測機構，對君弘APP做了多輪安全掃描、滲透性測試，並針對這些漏洞進行修復；在APP代碼安全上，與專業安全廠商緊密合作，使用反調試、文件混淆、安裝包加固等多種方法提高客戶端被反編譯的成本，防止代碼和業務邏輯被惡意分析和篡改；在保護交易數據安全方面，引入FIDO生物認證系統，提供指紋、3D人臉登錄，保護登錄信息安全；在保護用戶手機信息安全時，採用權限最小化原則，最小化申請君弘APP業務需求的手機權限，並且所有權限申請明確告知用戶、均需用戶同意，防止Android權限被濫用，防止用戶手機隱私信息泄漏。；通信安全方面，在通信協議上進行加密傳輸，並加入防重放防篡改機制。在券商行業率先支持通過ipv6網絡接入，提高了整體自主掌控能力和安全性。

五點實施要求

《移動金融客戶端應用軟件安全管理規範》（以下簡稱"《規範》）提出的安全要求分爲基本要求和增強要求，所有相關客戶端都應在滿足基本要求的基礎上，建議滿足增強要求。

《規範》要求針對不同類型的軟件應該做到：資金交易類，應符合資金交易、信息保護等所有技術及管理安全要求；信息採集類，應重點符合信息保護相關技術及管理安全要求；資訊查詢類，應符合相關客戶端軟件安全和管理要求。

《規範》對各類金融機構提出五點實施要求，分別是提升安全防護能力、加強個人金融信息保護、提高風險監測能力、健全投訴處理機制和加強行業自律管理。

其中，在安全防護能力上，人民銀行要求各金融機構加強客戶端軟件設計、開發、發佈、維護等環節的安全管理，構建覆蓋全生命週期的管理機制，切實保障客戶端軟件安全。對於資金交易類客戶端軟件，應從資金安全、信息保護等方面開展外部評估；對於信息採集類客戶端軟件，應重點從信息保護方面開展外部評估。外部評估應每年至少開展一次，形成報告存檔備查。外部評估應每年至少開展一次，形成報告存檔備查。

在加強個人金融信息保護上，人民銀行要求各金融機構應採取有效措施加強客戶端軟件個人金融信息保護。

一是收集、使用個人金融信息時應遵循合法、正當、必要的原則,明示收集使用信息的目的、方式和範圍,並經用戶同意。不得以默認、捆綁、停止安裝使用等手段變相強迫用戶授權,不得收集與其提供金融服務無關的個人金融信息。

二是應採取數據加密、訪問控制、安全傳輸、簽名認證等措施,防止個人金融信息在傳輸、存儲、使用等過程被非法竊取、泄露或篡改。

三是信息使用結束後應立即刪除敏感信息,在客戶端軟件卸載後不得留存個人金融信息。

四是不得違反法律法規與用戶約定,不得泄露、非法出售或非法向他人提供個人金融信息。

七大類客戶端應用軟件安全要求

另外，人民銀行還制定了移動金融客戶端應用軟件安全管理規範，客戶端應用軟件安全要求分別有身份認證安全、認證信息安全、認證失敗處理、邏輯安全、安全功能設計、密碼算法及密鑰管理和數據安全。

身份認證安全。此部分包含認證方式、認證信息安全、認證失敗處理、密碼的設定與重置4大項若干小項要求，涉及到應用安全、個人賬戶安全、個人金融信息安全等方面。所有金融App都應滿足其基本要求，其中應重點關注資金交易類、信息採集類。

邏輯安全。此部分包含邏輯安全設計、軟件權限控制、風險控制、回退處理、異常處理等5大項若干小項要求，涉及到業務邏輯漏洞、軟件權限獲取、個人金融信息安全、業務風向等方面。所有金融App都應滿足其基本要求，其中應重點關注資金交易類、信息採集類、資訊查詢類。

安全功能設計。此部分包含組件安全、接口安全、抗攻擊能力、客戶端應用軟件環境檢測等4大項若干小項要求，涉及到不安全的第三方組件對於客戶端安全的影響以及用戶個人信息的獲取、接口的非授權調用、抵禦攻擊的能力、客戶端運行環境的監測等。所有金融App都應滿足其基本要求，其中應重點關注資金交易類、信息採集類、資訊查詢類。