手机网站
手机网站
目前,移动应用在金融行业的安全问题已经引起了业界的关注。有行业报告评估了超过130,000个金融应用,但其中70.22%被发现有高风险漏洞。其中,互联网第三方支付和信托应用的高风险漏洞较为突出,保险、投资和理财类应用的高风险漏洞较为严重。然而,“魔鬼比一英尺高,道路比一英尺高。”尽管金融应用程序问题越来越严重,但针对应用程序违规的监管也在逐步深化。11月4日,工业和信息化部宣布将启动针对应用程序侵犯用户权益的专项监管,从现在开始到2019年12月20日。一些业内人士表示,有许多迹象表明,共同基金应用已成为个人信息披露的重灾区。然而,在监管压力加大的情况下,共同基金应用程序残酷发展的时代可能会结束。
超过70%的金融应用程序存储容易暴露的高风险漏洞数据256以上
近年来,随着智能手机和移动互联网的快速发展,移动应用已经深入到了公众生活中。一方面,通过手机应用展示行业,金融机构的投融资、借贷、交易、支付等活动越来越频繁。另一方面,在移动应用给公众生活带来极大便利的同时,相应的安全风险也随之而来。
根据中国信息通信研究院最近发布的《2019年金融行业移动应用安全观察报告》,2019年9月11日,中国信息通信研究院从232个安卓应用市场收集了超过13万个金融行业应用。观察发现,70.22%的金融行业应用存在高风险漏洞。攻击者可以利用这些漏洞窃取用户数据,进行应用伪造,植入恶意程序,攻击服务等。,这对应用程序安全构成了严重威胁。其中一些高风险漏洞甚至有导致应用程序数据泄漏的风险。从应用分类来看,互联网第三方支付和信托应用的高风险漏洞比较突出,保险、投资和财务管理类应用的高风险漏洞比较严重。
“种种迹象表明,共同基金应用已成为个人信息披露的重灾区中国民生银行研究院研究员、了解该研究院的专家郭晓北在接受《今日北京商报》记者采访时直言不讳地表示,近年来,尽管中国出台了一系列金融应用监管规定,但随着客户获取成本、运营成本和风险的不断上升,大多数金融贷款应用在收集个人信息时仍未遵循最低充分性原则,存在非法收集和使用借款人个人信息、强制或直接违约阅读通讯录等情况。
郭晓北进一步指出,“一些平台、借款人、收款公司、媒体和流动方的‘暗箱操作’滋生了混乱,如共同基金行业空壳公司贷款欺诈、内外勾结、恶意逃债、暴力催收、敲诈勒索和黑市交易等。这些混乱行为在国外并不违法。虽然惩治共同基金混乱的法律建设有一定的基础,但法律制度的不完善和巨大利益的诱惑仍然驱使一些参与者徘徊在非法活动的边缘。“
对此,中国银行法律研究会会长肖莎也指出,共同基金应用违反法律法规的现象十分突出。一方面,它是由自身利益驱动的。最常见的方法是收集个人信息,处理大数据,然后在手机上发送相关信息来影响用户。尽管转换过程相对缓慢,但利润是可观的。另一方面,相关法律法规不完善。虽然目前个人信息保护不是一个法律空白领域,但是法律法规的数量明显不足,尤其是保护水平还没有形成。虽然刑法的保护力度很大,但它并不适用于所有侵犯个人信息的行为。相关行政法规不配套和对企业处罚力度不够也是原因之一。
40多家因非法收集个人信息而被点名整改的共同基金企业
值得关注,目前,工业和信息化部、公安部、应用专项治理工作组等各方已多次强调金融共同基金应用违规问题。
据《今日北京商报》记者不完全统计,仅今年下半年,就有40多家共同基金企业因应用违规而被点名整改。具体如下:7月8日,工业和信息化部认定18家互联网企业存在用户个人信息收集和使用规则未公开、信息查询和更正渠道不畅通、未提供销户服务等问题。其中,共同基金应用程序包括风暴金融,51个人贷款,金融360,麦芽贷款,9秒钟贷款,布丁小额贷款,水图像分期付款等。
此外,7月11日和16日,应用特别治理工作组连续两次报告,共有70个应用项目非法收集个人信息。《今日京华商报》记者了解到,违规的金融互助基金应用数量占近30%,被点名的机构包括开心店、快贷、王新、开心店分期付款、闪贷、贷款、花贷、白胜、小华钱包、小金卡贷款、怡仁贷款、通化顺等20余家
。8月至9月,广东省公安厅也相继曝光了应用违规事件,包括小牛在线、紧急借款、莫比迪克信用贷款、贾立安支付互助黄金应用、新会贵金属、口袋贵金属等。此外,9月15日,国家计算机病毒中心发布了移动应用非法问题和治理措施其中,下载量较高的几个应用程序,如与金融应用相关的阶段性宝藏,也在其中。
值得注意的是,对非法企业应用监管的处罚力度仍在加大。11月4日,工业和信息化部宣布启动应用侵犯用户权益专项整治工作。从现在开始,将对当前用户反映强烈的一些侵犯用户权益的行为进行为期两个月的整改工作。
工业和信息化部表示将重点关注四个方面:非法收集个人信息、非法使用个人信息、对用户权利的不合理要求以及设置用户取消账户的障碍。它将纠正八类问题:未经授权收集个人信息、收集超出范围的个人信息、未经授权向第三方用户共享信息、强制使用定向推送功能、拒绝权利、频繁应用权利、过度要求权利以及设置取消用户账户的障碍。
据了解,此次整改主要针对应用服务提供商和应用分销服务提供商(应用商店)。主要专项整治工作分为企业自查自纠阶段(自通知下发之日起至11月10日)、监督抽查阶段(2019年11月11日至11月30日)和结果处置阶段(2019年12月1日至12月20日)工业和信息化部将统一报告有问题的应用。具体措施包括责令整改、向公众发布公告、组织撤架、停止应用接入服务、将违规者列入电信运营不良或不诚信名单等。
企业在整改时需要提前做好
合规准备。|来自工业和信息化部专项整治时间要求,留给机构整治的时间不多关于整改的进展,今日北京商报对上面提到的大部分共同基金应用程序进行了一个接一个的采访。一些平台回复称,新版本已经按照相关规定发布,而其他平台则表示将按照监管要求及时整改。
整改期间,基金机构应注意哪些问题?国家互联网金融安全技术专家委员会(以下简称“专业委员会”)今天在接受《北京商报》记者采访时指出,金融应用在收集个人数据时应注意数据采集的最小化原则和必要性。特别委员会目前正在考虑利用区块链技术开发个人数据安全共享平台。通过用户对个人数据授权使用的独立控制,企业在用户授权和部门监督下使用个人数据。降低共同基金APP个人数据重复采集、过度采集和多头存储的成本和风险,保护个人数据主体用户的合法权益,促进个人数据合规流程
杭州电子科技大学教授徐伟栋也指出,金融应用合规的目标其实非常明确,即从金融产品的需求、风控和贷后入手,找出“最小”和“必要”的信息项,然后提交给客户开发相应的信息提取功能,而不是像以前那样,客户将所有可用的信息塞进后台仓库,然后查看哪些信息可以用来处理变量。经过过去四五年互联网金融的发展,风的控制已经变得更加成熟。实现这样的变化应该不难。
肖飒今天在《北京商报》对记者表示,企业必须提前做好企业合规准备,以规避应用的法律风险。同时,在操作中,如果遇到法律问题,应及时处理,不能忽视。她进一步表示,大数据是一条重要的监管红线,尽管企业利润很重要,但它们也应该处于一个安全的环境中。目前,金融行业的移动应用在收集个人信息方面或多或少存在一些问题。然而,野蛮发展的时代将很快结束。企业应尽快进行调查,以避免法律风险。
