个人信息保护再升级 移动金融APP备案试点正式启动

来源:财经网 2019/12/06
分享到:
导语

相比于其他类别的APP,金融类APP收集的个人数据具有高敏感性与高价值,更是监管的重中之重。

伴随智能手机的发展,移动端应用软件(APP)已经成为收集个人信息的主要入口和保护消费者数据安全保护的重要关隘,但与此同时,监管的滞后也使其成为"无隐私协议"、"超范围收集个人信息"、"违法违规使用个人信息"等问题泛滥的重灾区。相比于其他类别的APP,金融类APP收集的个人数据具有高敏感性与高价值,更是监管的重中之重。

2019年12月3日,中国互联网金融协会(下称"互金协会")在京召开金融业移动金融客户端应用软件备案管理工作试点启动会议。

该会议明确了备案试点工作的安排部署,要求各试点机构应于2019年底前通过客户端软件备案管理系统完成第一批试点客户端软件的材料提交和备案申请,互金协会完成备案审核工作后择期发布第一批通过备案的客户端软件清单。下一步,互金协会将在全国范围内分批次组织开展客户端软件备案推广并逐步落实风险信息共享、投诉处置机制以及行业公约、黑白名单、自律检查、违规约束等自律管理工作。

中国人民银行科技司司长李伟在会议上指出,针对当前一些金融机构客户端软件存在的安全防护能力参差不齐、超范围收集个人信息、仿冒钓鱼现象突出等问题,各金融机构要建立客户端软件安全管理全程覆盖机制,相关部门要建立健全客户端软件监督处置机制。

他表示,希望中国互联网金融协会认真贯彻落实中国人民银行工作要求,多措并举做好客户端软件实名备案管理,发挥好行业自律管理和服务职能。

协会披露,此次参会者包括了来自银行、证券、基金、保险、支付等领域的23家试点机构。根据北京商报援引知情人士消息可推测,上述23家试点机构正是自愿申请参与备案的首批试点机构。

根据北京商报报道,上述知情人士推测,"从首批申请机构类型来看,目前主要是从持牌类金融机构开始试点,后续协会或将根据试点情况,进一步完善备案流程,统一行业标准和备案规则,从而进一步将备案覆盖至更多金融业务类型从业机构。"

自今年1月以来,网信办、工信部等四部门联合开展App违法违规收集使用个人信息专项治理行动,对个人金融数据安全的监管日益趋严。随着整治行动的深入,一大批违法违规收集用户数据的金融类App被网信办、警方点名,其中不乏银行、金融科技与第三方支付行业的持牌机构,如京东金融(后改名为京东数科)、云闪付、光大银行、天津银行、天津农商银行等都曾上榜。

此外,今年3月,两会宣布《个人信息保护法》进入立法议程。随后,各项政策规范与顶层设计也相继推进。5月,网信办发布《数据安全管理办法(征求意见稿)》,明确了数据采集、使用、监管等方面的底线。8月,央行发布的《金融科技(FinTech)发展规划(2019-2021)》七次提及"个人金融信息安全",明确指出要"加强金融信息安全防护,遵循合法、合理原则,选择符合国家及金融行业标准的安全控件、终端设备、APP等产品进行金融信息采集和处理"。

11月18日,互金协会秘书长陆书春在2019北京国际金融安全论坛上曾透露,当前正在按照人民银行印发的《关于发布金融行业标准,加强移动金融客户端应用软件安全管理通知》(银发〔2019〕237号,下称"237号文"),积极开展加强客户端软件行业自律管理的职责,牵头开展APP实名备案的工作。

人民银行近期印发237号文与《移动金融客户端应用软件安全管理规范》(JR/T0092-2019),进一步将APP个人信息安全整治工作具体落实到了金融领域。

根据凤凰网财经报道,上述文件中,央行将金融APP分为资金交易、信息采集等类进行分级管理,其中包括:对于资金交易类客户端软件,应从资金安全、信息保护等方面开展外部评估;对于信息采集类客户端软件,应重点从信息保护方面开展外部评估。外部评估应每年至少开展一次,形成报告存档备查。

此外,凤凰网财经报道,对于个人信息保护,央行提出了四个方面的要求。首先,央行明确金融APP在收集和使用个人金融信息时,应遵循合法、正当、必要的原则,明示收集使用信息的目的、方式和范围,并经用户同意。不得以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得收集与其提供金融服务无关的个人金融信息。金融机构应采取数据加密、访问控制、安全传输、签名认证等措施,防止个人金融信息在传输、存储、使用等过程被非法窃取、泄露或篡改。而在信息使用结束后,金融机构应立即删除敏感信息,在客户端软件卸载后不得留存个人金融信息。同时,金融机构不得违反法律法规与用户约定,不得泄露、非法出售或非法向他人提供个人金融信息。

编辑: 杜晓彤
分享到:

相关新闻