詳細信息如下:財聯(lián)社（上海，記者萬佳麗）訊，財聯(lián)社記者最新了解到，多數(shù)券商收到人民銀行印發(fā)的《關(guān)于發(fā)布金融行業(yè)標準，加強移動金融客戶端應用軟件安全管理通知》（銀發(fā)〔2019〕237號，下稱"《237號》"），要求各金融機構(gòu)積極開展加強客戶端軟件行業(yè)自律管理的職責。

　　當前中國互聯(lián)網(wǎng)協(xié)會正在按照人民銀行《關(guān)于發(fā)布金融行業(yè)標準，加強移動金融客戶端應用軟件安全管理通知》的要求，積極開展加強客戶端軟件行業(yè)自律管理的職責，牽頭開展App實名備案的工作。

　　財聯(lián)社記者獨家獲悉，第一批備案金融機構(gòu)有：中國工商銀行、中國農(nóng)業(yè)銀行、中國銀行、中國建設銀行、交通銀行、中信銀行、民生銀行、招商銀行、廣發(fā)銀行、平安銀行、西安銀行、國泰君安、海通證券、眾安保險、匯添富基金、螞蟻金服服務集團、財付通、京東數(shù)科、重慶三峽銀行股份有限公司、徽商銀行、安徽省農(nóng)信聯(lián)社、吉林九臺農(nóng)村商業(yè)銀行股份有限公司、廣州農(nóng)村商業(yè)銀行股份有限公司。

　　值得注意的是，此次第一批備案金融機構(gòu)中，券商只有兩家，分別是國泰君安和海通證券。

　　金融機構(gòu)App整改緊鑼密鼓

　　12月3日,中國互聯(lián)網(wǎng)金融協(xié)會(以下簡稱“互金協(xié)會”)在京召開金融業(yè)移動金融客戶端應用軟件(以下簡稱“客戶端軟件”)備案管理工作試點啟動會議,部署相關(guān)工作。來自銀行、證券、基金、保險、支付等領(lǐng)域的23家試點機構(gòu)相關(guān)負責人參加會議。

　　據(jù)悉，會議要求,各試點機構(gòu)應于2019年年底前通過客戶端軟件備案管理系統(tǒng)完成第一批試點客戶端軟件的材料提交和備案申請,互金協(xié)會完成備案審核工作后,將擇期發(fā)布第一批通過備案的客戶端軟件清單。下一步,在全國范圍內(nèi)分批次組織開展客戶端軟件備案推廣并逐步落實風險信息共享、投訴處置機制以及行業(yè)公約、黑白名單、自律檢查、違規(guī)約束等自律管理工作。

　　有券商業(yè)內(nèi)人士認為，這次第一批名單券商只有兩家，可能與監(jiān)管半徑有關(guān)。但如果這個監(jiān)管內(nèi)容后續(xù)會對券商App發(fā)布有影響，那大家一定都會跟進。

　　據(jù)了解，此次券商App整改，是中央網(wǎng)信辦、工信部、公安部、市場監(jiān)管總局年初伊始開展的關(guān)于App違法違規(guī)收集使用個人信息專項治理行動下的重要一環(huán)，是該項治理行動在券商業(yè)的延續(xù)。

　　海通證券相關(guān)負責人表示，公司正在積極配合中國互聯(lián)網(wǎng)金融協(xié)會推進備案工作，已先后參加兩次籌備會議，對本次App實名備案的意義和流程也有深入了解。由于備案需要提供的材料較多，還需引入第三方認證機構(gòu)出具報告，因此，備案籌備時間也相應的有所拉長。

　　在App信息安全方面，早在今年年初，海通證券已就網(wǎng)信辦等四部委聯(lián)合發(fā)布的《關(guān)于開展App違法違規(guī)手機使用個人信息專項治理的公告》，更新相關(guān)隱私協(xié)議并規(guī)范相關(guān)客戶信息收集方式。

　　另外，國泰君安相關(guān)負責人也表示，近年來君弘App在信息安全上的投入大致大致有七個方面。首先是多方位進行安全掃描及滲透測試，通過阿里、愛加密、中證信息、中國信息安全測評中心等安全公司或檢測機構(gòu)，對君弘App做了多輪安全掃描、滲透性測試，并針對這些漏洞進行修復；在App代碼安全上，與專業(yè)安全廠商緊密合作，使用反調(diào)試、文件混淆、安裝包加固等多種方法提高客戶端被反編譯的成本，防止代碼和業(yè)務邏輯被惡意分析和篡改；在保護交易數(shù)據(jù)安全方面，引入FIDO生物認證系統(tǒng)，提供指紋、3D人臉登錄，保護登錄信息安全；在保護用戶手機信息安全時，采用權(quán)限最小化原則，最小化申請君弘App業(yè)務需求的手機權(quán)限，并且所有權(quán)限申請明確告知用戶、均需用戶同意，防止Android權(quán)限被濫用，防止用戶手機隱私信息泄漏。；通信安全方面，在通信協(xié)議上進行加密傳輸，并加入防重放防篡改機制。在券商行業(yè)率先支持通過ipv6網(wǎng)絡接入，提高了整體自主掌控能力和安全性。

　　五點實施要求

　　《移動金融客戶端應用軟件安全管理規(guī)范》（以下簡稱“《規(guī)范》）提出的安全要求分為基本要求和增強要求，所有相關(guān)客戶端都應在滿足基本要求的基礎(chǔ)上，建議滿足增強要求。

　　《規(guī)范》要求針對不同類型的軟件應該做到：資金交易類，應符合資金交易、信息保護等所有技術(shù)及管理安全要求；信息采集類，應重點符合信息保護相關(guān)技術(shù)及管理安全要求；資訊查詢類，應符合相關(guān)客戶端軟件安全和管理要求。

　　《規(guī)范》對各類金融機構(gòu)提出五點實施要求，分別是提升安全防護能力、加強個人金融信息保護、提高風險監(jiān)測能力、健全投訴處理機制和加強行業(yè)自律管理。

　　其中，在安全防護能力上，人民銀行要求各金融機構(gòu)加強客戶端軟件設計、開發(fā)、發(fā)布、維護等環(huán)節(jié)的安全管理，構(gòu)建覆蓋全生命周期的管理機制，切實保障客戶端軟件安全。對于資金交易類客戶端軟件，應從資金安全、信息保護等方面開展外部評估；對于信息采集類客戶端軟件，應重點從信息保護方面開展外部評估。外部評估應每年至少開展一次，形成報告存檔備查。外部評估應每年至少開展一次，形成報告存檔備查。

　　在加強個人金融信息保護上，人民銀行要求各金融機構(gòu)應采取有效措施加強客戶端軟件個人金融信息保護。

　　一是收集、使用個人金融信息時應遵循合法、正當、必要的原則,明示收集使用信息的目的、方式和范圍,并經(jīng)用戶同意。不得以默認、捆綁、停止安裝使用等手段變相強迫用戶授權(quán),不得收集與其提供金融服務無關(guān)的個人金融信息。

　　二是應采取數(shù)據(jù)加密、訪問控制、安全傳輸、簽名認證等措施,防止個人金融信息在傳輸、存儲、使用等過程被非法竊取、泄露或篡改。

　　三是信息使用結(jié)束后應立即刪除敏感信息,在客戶端軟件卸載后不得留存?zhèn)€人金融信息。

　　四是不得違反法律法規(guī)與用戶約定,不得泄露、非法出售或非法向他人提供個人金融信息。

　　七大類客戶端應用軟件安全要求

　　另外，人民銀行還制定了移動金融客戶端應用軟件安全管理規(guī)范，客戶端應用軟件安全要求分別有身份認證安全、認證信息安全、認證失敗處理、邏輯安全、安全功能設計、密碼算法及密鑰管理和數(shù)據(jù)安全。

　　身份認證安全。此部分包含認證方式、認證信息安全、認證失敗處理、密碼的設定與重置4大項若干小項要求，涉及到應用安全、個人賬戶安全、個人金融信息安全等方面。所有金融App都應滿足其基本要求，其中應重點關(guān)注資金交易類、信息采集類。

　　邏輯安全。此部分包含邏輯安全設計、軟件權(quán)限控制、風險控制、回退處理、異常處理等5大項若干小項要求，涉及到業(yè)務邏輯漏洞、軟件權(quán)限獲取、個人金融信息安全、業(yè)務風向等方面。所有金融App都應滿足其基本要求，其中應重點關(guān)注資金交易類、信息采集類、資訊查詢類。

　　安全功能設計。此部分包含組件安全、接口安全、抗攻擊能力、客戶端應用軟件環(huán)境檢測等4大項若干小項要求，涉及到不安全的第三方組件對于客戶端安全的影響以及用戶個人信息的獲取、接口的非授權(quán)調(diào)用、抵御攻擊的能力、客戶端運行環(huán)境的監(jiān)測等。所有金融App都應滿足其基本要求，其中應重點關(guān)注資金交易類、信息采集類、資訊查詢類。

　　密碼算法及密鑰管理。此部分包含密碼算法、密鑰管理等2大項若干小項要求，涉及到對交易或重要操作的保護、密鑰本身的保護等。所有金融App都應滿足其基本要求，其中應重點關(guān)注資金交易類。

　　數(shù)據(jù)安全。此部分包含數(shù)據(jù)獲取、數(shù)據(jù)訪問控制、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)展示、數(shù)據(jù)銷毀等6大項若干小項要求，涉及到支付等敏感信息的泄露、關(guān)鍵交易數(shù)據(jù)的篡改、個人信息的保護、敏感信息的銷毀等。所有金融App都應滿足其基本要求，其中應重點關(guān)注資金交易類、信息采集類。