加強各類應用程序的安全管理,監(jiān)管又有最新舉措。
近日,多地證監(jiān)局下發(fā)《關于進一步加強轄區(qū)證券期貨經營機構移動應用軟件安全管理工作的通知》(以下簡稱《通知》),要求券商、基金等機構于8月31日前,報送APP備案情況和檢測認證改進計劃。
多家基金公司反饋,目前正按照時間表安排,扎實推進各階段工作,確保按時完成備案登記與檢測認證工作。在業(yè)內人士看來,上述《通知》規(guī)范和引導機構加強移動應用軟件安全管理,能夠更好地保護投資者權益,構建更加安全的生態(tài)環(huán)境。
證監(jiān)局下發(fā)加強APP安全管理通知
為進一步加強經營機構APP安全管理,保護投資者合法權益,建立健全由日常監(jiān)管、自律管理、專業(yè)支撐共同構成的經營機構APP安全管理體系。近日,根據證監(jiān)會相關工作部署,包括上海、深圳在內的多地證監(jiān)局向轄區(qū)券商、基金公司下發(fā)《關于進一步加強轄區(qū)證券期貨經營機構移動應用軟件安全管理工作的通知》。
據中國基金報記者了解,《通知》中提出四方面工作要求:
一是,提高思想認識。經營機構APP安全管理直接關系廣大投資者的個人信息保護安全問題,各公司應高度重視,建立健全相關工作機制,保障資源投入,堅決落實工作要求,切實守住APP安全底線。
二是,加強備案管理。經營機構APP備案管理工作是做好APP安全管理的基礎和重要保障,各公司應根據行業(yè)協(xié)會制定的備案指引,做到應備盡備,并確保備案數據的時效性和準確性。
三是,加強檢測認證。檢測認證是提升APP安全防護能力的重要手段,各公司應改進APP安全防護管理機制,積極通過檢測認證方式及時發(fā)現和消除APP設計缺陷與安全漏洞,力爭在2024年底前完成已備案APP的檢測認證工作,確實存在困難的可適當延期,之后持續(xù)做好新增APP的檢測認證工作。
四是,抓好貫徹落實。各公司應根據關于壓實主體責任的整體工作要求和加強檢測認證的具體要求,制定APP安全提升任務落實方案,建立改進工作臺賬,細化時間表和路線圖,明確內部分工,責任壓實到人,確保按時保質完成各項工作任務。
根據《通知》中的安排,各公司應于8月31日前,通過證監(jiān)會政務平臺相關工作任務向證監(jiān)局報送APP備案情況和檢測認證改進計劃。另外,在APP檢測認證專項改進工作完成前,每月通過證監(jiān)會政務平臺相關工作任務向證監(jiān)局報送工作進展情況。
基金公司積極行動
在《通知》下發(fā)之后,各大基金公司都行動起來,按照時間表安排盡快落實相關工作。
“根據《證券期貨業(yè)移動應用軟件備案工作指引》,我們目前正在完成所有APP的備案登記,及時開展檢測認證,跟進工作進度,形成工作臺賬;按照時間表安排,扎實推進各階段工作,確保按時完成備案登記與檢測認證工作。”一位基金公司人士表示。
華南某基金公司人士也表示,該公司對照《通知》中的要求,進一步健全移動應用軟件安全管理體系,明確責任人及具體職責,優(yōu)化完善工作臺賬,提升網絡安全治理水平。
博時基金也表示,旗下APP不斷提升安全性,同時在個人信息、數據安全方面嚴格按照相關法規(guī)要求,持續(xù)迭代,注重平臺安全、數據采集、用戶告知、數據保護等,目前已在內部啟動APP安全檢測的前期工作,并積極推進后續(xù)相關工作內容。
在基金公司積極推進過程中,加強APP移動應用軟件安全管理工作也存在一些難點。
一位業(yè)內人士表示,當前行業(yè)APP檢測認證中常見的主要問題包括:APP整改后未及時發(fā)布導致用戶下載的APP版本不合規(guī)、服務端日志記錄的敏感信息未脫敏、未在外包合同中增加安全標準要求以加強對軟件開發(fā)商的約束、送檢材料有錯漏、送檢安裝包無法安裝、測試環(huán)境準備時間過長、未能一次性完成整改等。這也暴露了各經營機構APP存在的風險隱患,若未及時處理將對網絡安全及投資者權益保護造成嚴重影響。
“基金APP涉及金融、科技、個人隱私等方面,重點需要兼顧基金行業(yè)的合法合規(guī),在技術上提升安全加固等級,將用戶的隱私信息嚴格按照相關法規(guī)執(zhí)行。難點在于APP迭代過程中,產研人員需要熟悉相關專業(yè)要求,在日常工作中有效執(zhí)行。”上述博時基金人士也表示。
上述華南基金公司人士更是表示,一方面,要從確保移動應用軟件安全運行、保護投資者個人權益的角度,做好風險防范和隱患排查;另一方面,也要關注投資者的用戶體驗,包括對相關軟件功能性、便利性、可用性的要求;怎樣在堅守安全底線的前提下,為投資者提供更好的使用體驗,可能是其中的工作重點。
積極構建安全的產業(yè)生態(tài)
事實上,最近幾年,監(jiān)管層一直在加強移動金融客戶端應用軟件的安全管理。
2019年,中國人民銀行發(fā)布《中國人民銀行關于發(fā)布金融行業(yè)標準加強移動金融客戶端應用軟件安全管理的通知》,根據通知要求,易方達e錢包、華泰柏瑞基金、睿遠基金等證券期貨業(yè)APP在中國互聯(lián)網金融協(xié)會完成了移動金融客戶端應用軟件實名備案。
2020年6月,證監(jiān)會印發(fā)《關于做好證券期貨經營機構移動應用軟件備案工作的通知》。行業(yè)內多家公司已積極開展移動應用軟件備案工作。天弘基金、工銀瑞信基金、興證全球基金等APP在中證信息技術服務有限責任公司完成了證券期貨業(yè)移動互聯(lián)網應用程序安全認證。
在上述華南某基金公司人士看來,隨著移動互聯(lián)網的快速發(fā)展,智能手機、平板電腦等移動終端用戶數量呈爆發(fā)式增長,智能終端型號五花八門,應用多樣;同時,各種各樣的移動應用軟件也會帶來一些終端安全問題,比如竊取通信錄、照片、位置信息、通話記錄、短信內容、應用密碼賬戶等個人隱私和敏感數據時有發(fā)生,利用電信欺詐、手機銀行竊取他人資金、非法獲取他人電話號碼推送垃圾廣告等違法犯罪活動十分猖獗;特別是在金融領域,一旦出現移動應用軟件安全管理方面的問題,可能會對用戶的資產安全等帶來直接影響,因此,相關部門也會高度重視這一領域的安全管理。
再具體從公募基金行業(yè)來看,各家公司從建設自有平臺發(fā)展直銷客戶的角度,均在努力建設自己的移動應用軟件,在這一背景下,監(jiān)管出臺相關規(guī)定,規(guī)范和引導基金公司加強移動應用軟件安全管理,能夠更好地保護投資者權益,構建更加安全、更有活力的產業(yè)生態(tài)。