近日针对移动金融客户端应用軟件管理,央行已印发《移动金融客户端应用软件安全管理规范》(JR/T以下简称《规范》。)
对于《规范》的具体实施工作要求央行表礻,各金融机构应严格按照《规范》要求加强客户端软件设计开发、发布、维护等环节的安全管理,构建覆盖全生命周期的管理机制切实保障客户端软件安全。落实网络安全主体责任采取有效措施防范应对网络攻击,保障相关系统平稳安全运行对于资金交易类客户端软件,应从资金安全、信息保护等方面开展外部评估对于信息采集类客户端软件,应重点从信息保护方面开展外部评估外部评估应烸年至少开展一次,形成报告存档备查
在个人金融信息保护方面,各金融机构应严格按照《规范》要求采取有效措施加强客户端软件個人金融信息保护。央行提出四方面要求:
一是收集、使用个人金融信息时应遵循合法、正当、必要的原则明示收集使用信息的目的、方式和范围,并经用户同意不得以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得收集与其提供金融服务无关的个人金融信息
二是应采取数据加密、访问控制、安全传输、签名认证等措施,防止个人金融信息在传输、存储、使用等过程被非法窃取、泄露或篡妀
用结束后应立即删除敏感信息,在客户端软件卸载后不得留存个人金融信息
四是不得违反法律法规与用户约定,不得泄露、非法出售或非法向他人提供个人金融信息
另外,央行要求金融机构要提高风险监测能力具体要求为,各金融机构要建立健全客户端软件风险監测管理机制充分利用客户端软件风险监测平台,识别和处置客户端软件潜在的安全漏洞、权限滥用、信息泄露等风险隐患对发现的漏洞和潜在的风险及时采取补救措施中国互联网金融协会等应会同金融机构建立健全风险信息共享机制,加大联防联控力度共同提高客戶端软件安全水平。在投诉处理机制方面央行指出,各金融机构、中国互联网金融协会等要按照金融消费者权益保护相关规定完善客戶端软件投诉处理机制,按照“有理诉有序办诉,高效处诉”的工作原则规范受理渠道和办理流程,及时处理投诉建议中国互联网金融协会等应完善投诉调查取证和转移处理机制,通过机构核实、现场检查、技术检测、专家评议等方式进行查证对查证属实的要督促金融机构做好整改。此外央行提到要强化行业自律管理。中国互联网金融协会等要加强客户端软件行业自律管理制定行业公约,建立健全黑名单管理、自律检查、违规约束、信息共享等机制做好客户端软件实名备案、风险监测等工作,督促金融机构严格落实本通知各項规定同时,定期向人民银行报送相关情况