顶象 顶象专家：三大原因！促使央行开展“金融科技应用风险专项摸排”

近日，中国人民银行下发《关于开展金融科技应用风险专项摸排工作的通知》，要求各地人民银行分支机构及相关监管机构启动金融科技风险专项摸排工作。

本次摸排工作涉及人工智能、大数据、区块链、物联网等新技术金融应用风险，覆盖个人金融信息保护、交易安全、仿冒漏洞、技术使用安全、内控管理等5个方面风险情况，共123个摸排要点。

摸排主要依据《个人金融信息保护技术规范》、《移动金融客户端应用软件安全管理规范》等技术规范，以及《金融科技发展规划》等金融科技相关文件，参与构主要是人民银行分支机构，另外中国支付清算协会、中国互联网金融协会也将参与其中。

摸排工作将持续5个月，分为三个阶段。从2020年5月开始，10月结束，在三个阶段有不同的目标任务。

顶象专家分析，央行大规模的风险排查，与近段金融机构一系列违规事件有关，也是2019年科技融科技委员会的既定计划。

在2019年底的央行金融科技委员会会议上，研究部署了2020年六项金融科技重点工作，其中有如下三项：加强金融数据治理，加快推动涉企信息的安全共享，促进数据资源有效整合和规范利用，提升金融惠民服务能力；加强数字化监管能力建设，健全多层次、系统化的金融科技风险治理体系，增强风险的态势感知、分析评估和预警处置水平；推动金融App备案全覆盖，规范开放应用程序接口管理，提升线上金融服务渠道安全应用水平。

“中信银行事件”，引爆个人金融信息保护问题

5月9日，银保监会消费者权益保护局发布通报：2020年3月，中信银行在未经客户本人授权的情况下，向第三方提供个人银行账户交易明细，违背为存款人保密的原则，涉嫌违法违规，将按照相关法律法规，对中信银行启动立案调查程序，严格依法依规进行查处。

个人金融信息的重要性不言而喻。《商业银行法》、《储蓄管理条例》、《关于银行业金融机构做好个人金融信息保护工作的通知》和民法中提到的诚信原则，对保护个人金融信息作出了明确要求。即使是有权力机关如公检法纪委监委等要求银行配合调查，按照规定一般需要有权机关两名工作人员，携带证件及公函前往办理。以法院查询为例，需要两名法院工作人员携带两证、法院盖章的查询文书办理。银行的工作人员核对法院工作人员的证件和公函，核对无误后才予以办理。

然而，部分银行基层机构相关制度与流程存在漏洞，个别工作人员法治意识淡薄，导致违法提供账户信息、违规查询客户征信、泄露银行卡信息等现象时有发生，给人们造成了诸多困扰和损害。

监管部门、银行对个人信息保护极为重视，也出台了相关的政策、规章制度。2019年，《个人金融信息保护试行办法》、《中国人民银行金融消费者权益保护实施办法》相继发布。今年2月份，人民银行发布《个人金融信息保护技术规范》，对金融机构的金融数据保护义务提出了全面系统的制度要求，具有标志性意义。

此次“央行金融科技应用风险专项排查”就是督查金融机构对于各项法律监管执行的执行情况。

多家银行App涉嫌违规，亟待加强技术监管

今年1月，国家计算机病毒应急处理中心近期在“净网2020”专项行动中通过互联网监测发现，包括民生银行、兴业银行、内蒙古农信、内蒙古银行、海峡银行、鄂尔多斯银行在内的6款金融类App违反《网络安全法》相关规定，涉嫌超范围采集个人隐私信息。而在2019年7月，“关于开展App违法违规收集使用个人信息专项治理”，中国银行手机银行违反《网络安全法》第四十一条“公开使用收集个人信息规则”被责令整改。

按照规定，金融App可以获取的最小权限范围为存储权限。机构应尽量遵循最小索权原则，尽量不因存储权限之外的权限影响用户使用App的关键功能。

由于银行APP作为居民理财、存款、汇款以及办理各项零售银行业务的重要载体，因此银行除了需要用户上传个人金融信息，还会根据自身业务特点与技术能力，额外要求用户上传“人脸”、“指纹”等个人信息，但这些信息保存是否存在安全隐患，或银行是否超范围使用这些个人信息，主要取决于银行自身的业务操作尺度。比如当用户消费贷款偿还逾期后，银行内部会根据其在APP端留存的手机号或家庭地址进行催收，但个别用户因此投诉银行“滥用”个人信息。但鉴于理财业务发展需要，银行内部决定“睁一眼闭一眼”。

此次“央行金融科技应用风险专项排查”就是监督金融App在应用上规范性：比如，数据使用与数据作为资产进行交易进行区分，前者需符合在一定授权的基础上，在合理范围内进行使用；后者则需更加严格的标准，其中涉及数据所有权，以及采集是否合规，利益如何分配等。将金融App在获取、保存、使用、流转用户信息方面的各项操作都将纳入监管范畴。

金融科技发展，需要加强行业规范与管理

疫情推动银行数字化转型。基于金融科技的数字化，打造多渠道一体化、差异化经营模式，构建线上线下数字化协同运营模式。不仅是将原有产品、服务、流程体系、管理规范实施线上化改造，实现互联网环境的高效触客服务，而且要实现跨渠道、跨部门、跨系统的连续性和可持续客户经营，提升客户体验和粘性，释放客户经营的产能。同时，推动银行的服务方式和服务内容的自动化、实时化、智能化，提升产品与服务的综合化和人性化。

2019年8月22日，央行正式披露的《金融科技发展规划》，明确提出增强金融业科技应用能力，实现金融与科技深度融合、协调发展，明显增强人民群众对数字化、网络化、智能化金融产品和服务的满意度，实现金融科技应用先进可控、金融服务能力稳步增强、金融风控水平明显提高、金融监管效能持续提升、金融科技支撑不断完善、金融科技产业繁荣发展。

2019年末，央行、发改委、科技部、工信部、人社部和卫健委等六部门批准在北京、上海、江苏、浙江、福建、山东、广东、重庆、四川、陕西等10省开展为期1年的金融科技应用试点。今年年4月，央行扩大金融科技试点，支持在上海市、重庆市、深圳市、河北雄安新区、杭州市、苏州市等6市扩大金融科技创新监管，引导持牌金融机构、科技公司申请创新测试。在依法合规、保护消费者权益的前提下，探索运用现代信息技术手段赋能金融“惠民利企”，纾解小微民营企业融资难融资贵、普惠金融“最后一公里”等痛点难点，助力疫情防控和复工复产，着力提升金融服务实体经济水平。

金融科技推动银行的服务方式和服务内容的自动化、实时化、智能化，提升产品与服务的综合化和人性化，打造多渠道一体化、差异化经营模式，构建线上线下数字化协同运营模式。不仅是将原有产品、服务、流程体系、管理规范实施线上化改造，实现互联网环境的高效触客服务，而且要实现跨渠道、跨部门、跨系统的连续性和可持续客户经营，提升客户体验和粘性，释放客户经营的产能。

此次“央行金融科技应用风险专项排查”也是检查各个金融机构在金融科技上应由情况，规范各级金融机构的金融科技应用，为金融科技普及发展建立良好标准和秩序。

顶象助力“央行金融科技应用风险专项排查”

针对“央行金融科技应用风险专项排查”个人金融信息保护、交易安全、仿冒漏洞、技术使用安全等建设需求，顶象覆盖业务全流程的产品和服务体系良好满足。

在仿冒漏洞方面，顶象有支持iOS/Android等17类代码混淆加密并自带“蜜罐”功能的App加固、跨平台支持iOS/Androi/Web的设备指纹，防范银行客户端防安全，防范信息泄露。

在交易安全和技术使用安全方面，顶象拥有逻辑处理速度仅20毫秒的Dinsight实时决策引擎、支持多语言融合开发模型且零成本部署上线的Xintell智能模型平台、行业内首个能精准分析定位团伙欺诈的关联网络、有效识别阻断99.99%批量机器行为的无感验证等，覆盖业务全流程的产品和服务体系，保障全流程防控的需求。

在技术应用安全方面，顶象关联网络通过充分挖掘金融机构内部的客群特征、业务数据、交易信息、核心征信、合规数据等“数据金山”，基于对金融机构具体业务场景、业务逻辑、产品流程、客群特征、风险特点的深度理解，科学构建“有内涵、可外延”的复杂关联网络。再通过应用图数据挖掘、无监督算法、半监督算法、有监督算法等多角度充分挖掘，进而结合应用场景、实际操作人员的具体需求直观而智能的在运营和监测平台呈现最有效信息，从而为多个行业和场景提供反欺诈、精准营销、精细化运营等应用服务，助力业务创新与增长。