加强各类应用程序的安全管理,监管又有最新举措。
近日,多地证监局下发《关于进一步加强辖区证券期货经营机构移动应用软件安全管理工作的通知》(以下简称《通知》),要求券商、基金等机构于8月31日前,报送APP备案情况和检测认证改进计划。
多家基金公司反馈,目前正按照时间表安排,扎实推进各阶段工作,确保按时完成备案登记与检测认证工作。在业内人士看来,上述《通知》规范和引导机构加强移动应用软件安全管理,能够更好地保护投资者权益,构建更加安全的生态环境。
证监局下发加强APP安全管理通知
为进一步加强经营机构APP安全管理,保护投资者合法权益,建立健全由日常监管、自律管理、专业支撑共同构成的经营机构APP安全管理体系。近日,根据证监会相关工作部署,包括上海、深圳在内的多地证监局向辖区券商、基金公司下发《关于进一步加强辖区证券期货经营机构移动应用软件安全管理工作的通知》。
据中国基金报记者了解,《通知》中提出四方面工作要求:
一是,提高思想认识。经营机构APP安全管理直接关系广大投资者的个人信息保护安全问题,各公司应高度重视,建立健全相关工作机制,保障资源投入,坚决落实工作要求,切实守住APP安全底线。
二是,加强备案管理。经营机构APP备案管理工作是做好APP安全管理的基础和重要保障,各公司应根据行业协会制定的备案指引,做到应备尽备,并确保备案数据的时效性和准确性。
三是,加强检测认证。检测认证是提升APP安全防护能力的重要手段,各公司应改进APP安全防护管理机制,积极通过检测认证方式及时发现和消除APP设计缺陷与安全漏洞,力争在2024年底前完成已备案APP的检测认证工作,确实存在困难的可适当延期,之后持续做好新增APP的检测认证工作。
四是,抓好贯彻落实。各公司应根据关于压实主体责任的整体工作要求和加强检测认证的具体要求,制定APP安全提升任务落实方案,建立改进工作台账,细化时间表和路线图,明确内部分工,责任压实到人,确保按时保质完成各项工作任务。
根据《通知》中的安排,各公司应于8月31日前,通过证监会政务平台相关工作任务向证监局报送APP备案情况和检测认证改进计划。另外,在APP检测认证专项改进工作完成前,每月通过证监会政务平台相关工作任务向证监局报送工作进展情况。
基金公司积极行动
在《通知》下发之后,各大基金公司都行动起来,按照时间表安排尽快落实相关工作。
“根据《证券期货业移动应用软件备案工作指引》,我们目前正在完成所有APP的备案登记,及时开展检测认证,跟进工作进度,形成工作台账;按照时间表安排,扎实推进各阶段工作,确保按时完成备案登记与检测认证工作。”一位基金公司人士表示。
华南某基金公司人士也表示,该公司对照《通知》中的要求,进一步健全移动应用软件安全管理体系,明确责任人及具体职责,优化完善工作台账,提升网络安全治理水平。
博时基金也表示,旗下APP不断提升安全性,同时在个人信息、数据安全方面严格按照相关法规要求,持续迭代,注重平台安全、数据采集、用户告知、数据保护等,目前已在内部启动APP安全检测的前期工作,并积极推进后续相关工作内容。
在基金公司积极推进过程中,加强APP移动应用软件安全管理工作也存在一些难点。
一位业内人士表示,当前行业APP检测认证中常见的主要问题包括:APP整改后未及时发布导致用户下载的APP版本不合规、服务端日志记录的敏感信息未脱敏、未在外包合同中增加安全标准要求以加强对软件开发商的约束、送检材料有错漏、送检安装包无法安装、测试环境准备时间过长、未能一次性完成整改等。这也暴露了各经营机构APP存在的风险隐患,若未及时处理将对网络安全及投资者权益保护造成严重影响。
“基金APP涉及金融、科技、个人隐私等方面,重点需要兼顾基金行业的合法合规,在技术上提升安全加固等级,将用户的隐私信息严格按照相关法规执行。难点在于APP迭代过程中,产研人员需要熟悉相关专业要求,在日常工作中有效执行。”上述博时基金人士也表示。
上述华南基金公司人士更是表示,一方面,要从确保移动应用软件安全运行、保护投资者个人权益的角度,做好风险防范和隐患排查;另一方面,也要关注投资者的用户体验,包括对相关软件功能性、便利性、可用性的要求;怎样在坚守安全底线的前提下,为投资者提供更好的使用体验,可能是其中的工作重点。
积极构建安全的产业生态
事实上,最近几年,监管层一直在加强移动金融客户端应用软件的安全管理。
2019年,中国人民银行发布《中国人民银行关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》,根据通知要求,易方达e钱包、华泰柏瑞基金、睿远基金等证券期货业APP在中国互联网金融协会完成了移动金融客户端应用软件实名备案。
2020年6月,证监会印发《关于做好证券期货经营机构移动应用软件备案工作的通知》。行业内多家公司已积极开展移动应用软件备案工作。天弘基金、工银瑞信基金、兴证全球基金等APP在中证信息技术服务有限责任公司完成了证券期货业移动互联网应用程序安全认证。
在上述华南某基金公司人士看来,随着移动互联网的快速发展,智能手机、平板电脑等移动终端用户数量呈爆发式增长,智能终端型号五花八门,应用多样;同时,各种各样的移动应用软件也会带来一些终端安全问题,比如窃取通信录、照片、位置信息、通话记录、短信内容、应用密码账户等个人隐私和敏感数据时有发生,利用电信欺诈、手机银行窃取他人资金、非法获取他人电话号码推送垃圾广告等违法犯罪活动十分猖獗;特别是在金融领域,一旦出现移动应用软件安全管理方面的问题,可能会对用户的资产安全等带来直接影响,因此,相关部门也会高度重视这一领域的安全管理。
再具体从公募基金行业来看,各家公司从建设自有平台发展直销客户的角度,均在努力建设自己的移动应用软件,在这一背景下,监管出台相关规定,规范和引导基金公司加强移动应用软件安全管理,能够更好地保护投资者权益,构建更加安全、更有活力的产业生态。
编辑/范辉