2019北京国际金融安全论坛于2019年11月18日至19日在北京金融安全产业园举办，主题为推进金融安全科技新发展。中国互联网金融协会、中国互联网金融协会副秘书长、 互联网金融标准研究院院长朱勇先生出席并发表演讲。

　　信息技术日新月异，在网络上进行各种各样活动，在创造巨大价值的同时更是引领了社会生产的新变革。

　　我国成为网罗大国，繁荣之下也暴露出一些安全的隐患和问题。比如重要领域的个人和业务数据已经成为网络攻击的重点目标，网上非法获取、倒卖个人信息等时有发生，严重侵害企业及个人利益，甚至危害个人生命安全、国家安全和社会公共利益面临着严峻挑战。

　　朱勇在如何加强移动金融应用安全管理谈到，当前APP强制授权、过度授权、超范围收集个人信息的现象大量存在，违法违规使用个人信息的问题十分突出。鉴于上述情况，中国互联网金融协会近期向广大会员单位发出《关于增强个人信息保护意识依法开展业务的通知》，针对一些互联网机构以大数据为名，通过爬虫业务涉嫌违法违规收集个人信息，盗取买卖个人信息等行为给予警示，要求所属会员单位会员机构增强信息保护意识坚持合规审慎经营，防范并纠正违反个人信息保护规定的行为。

　　他特别指出互联网金融协会承担以下的责任：

　　1、会同金融机构建立健全风险信息共享机制，加大联防联控力度。

　　2、完善客户端软件投诉，调查取证和转移处理机制，规范受理渠道和办理流程，及时处理投诉建议，对查证属实的要督促金融机构做好整改

　　3、加强客户端软件行业自律管理，制定行业公约，建立健全黑名单管理，治理检查违规约束，信息共享等机制，做好客户端软件实名备案，风险监测。

　　同时，他也说到协会正在预备研制实施互联网金融领域的个人信息保护自律公约。

　　以下为演讲实录：

　　第二轮演讲也是我非常期待的，来自中国互联网金融协会、中国互联网金融协会副秘书长、 互联网金融标准研究院院长 朱勇先生。

　　特别期待您的演讲，互联网金融从相关红火元年的崛起到现在逐渐出现了一些争议，非常希望您就这个问题再给我们带来全新的思考。

　　朱 勇：尊敬的各位嘉宾下午好，非常感谢主办方的邀请，很荣幸参加本次论坛。我来自中国互联网金融协会，互联网是我们这个行业赖以生存运营的基础环境，金融是我们这个行业的本质属性。协会是我们单位的性质，社会组织。

　　刚刚过去10月北京可谓是喜事不断、大事连连，长安街两侧至今依然悬挂着国庆70周年华诞的花篮和横幅标语，依然烘托着喜庆的新气氛，党的十九届四中全会在北京召开，审议通过了推进社会制度，推进国家治理体系和治理能力现代化若干重大问题的决定，引起强烈反响，中央全会专门研究国家治理体系和治理问题并做出决定这在党的历史上是第一次，充分体现了以习近平同志为核心的党中央高瞻远瞩的战略眼光和强烈的历史担当，充分反映了新时代党和国家事业发展的新要求和人民群众的期待，对于推动中国特色社会主义制度优势转化为国家治理效能将会产生重大而深远的影响。

　　十九大报告总共八次提到了互联网，四次提到了社会组织，本次四中全会若干重大问题决定，四次提到了互联网，四次提到了金融，三次提到了社会组织。由此可见，在信息技术迅猛发展和网络覆盖程度前所未有的当下，党中央最高决策层对新时代下网络空间管理、创新、社会治理模式、处理好政府、市场和社会三者之间的关系是十分关心和高度关注的。

　　网络空间是继陆海空外的第五空间，网络空间的治理自然也是新时代下国家治理体系的重要组成部分我今天想结合网络空间治理也结合我所从事的工作谈谈如何加强移动金融应用安全管理的几点认识。

　　一、遵循技术演进规律发挥创新潜力 应用好互联网

　　当今信息化时代以互联网为代表的信息技术日新月异，网络已经深刻融入我们生活的各个方面，网络成为人们学习、工作、生活的新空间、新平台，而人们每天在网络上进行各种各样活动，在创造巨大价值的同时更是引领了社会生产的新变革。创造了人类生活的新空间，拓展了国家治理新的领域。极大提高了人类认识世界、改造世界的能力。互联网让世界变成了鸡犬之声相闻的地球村，相隔万里的人也不再是老死不相往来，发展互联网是我们面临的现实而又迫切的问题。信息化和经济全球化的大潮深刻影响着我们的生活和生活方式。我们没有任何理由抱残守缺，拒绝新的网络技术和IDP的到来，相反我们要遵循并顺应技术演进的规律，应势而谋、应势而动、应势而为，积极拥抱新的网络技术及新的应用，处于互联网技术激荡当中的新的社会也不可避免的经历了一番深刻的技术革命和产业革命，在互联网和信息化取得令世人刮目相看发展的成就，截至今年6月，咱们国家网民规模达到8.54亿，互联网普及率达到61.2％，网站数量达到518万个，可以说中国因互联网而精彩，老百姓的生活因为互联网而更丰富。经过25年的发展，互联网如今已经在中国遍布开花，互联网+也与社会的各行各业各领域发生了紧密的联系逐渐成为人们工作生活不可或缺的有机组成部分，网络空间命运共同体打通了从理论、从实践到理论再从理论到实践的闭环回路，遵循网络空间发展规律而不断向前发展。5G、IPV6、卫星互联网等数字基础设施建设稳步推进，支撑全球数字发展和数字化转型，加速互联网新技术、新应用迭代升级，发挥好这些新技术在促进生产率方面的巨大潜力是我们充分利用互联网的有效途径和手段。

　　二、应对风险挑战抓住关键要害治理好互联网空间

　　虚拟空间和现实世界深度融合，面对不断涌现的各种已知未知的网络安全威胁，（光缆的尽头是宝藏，数据蕴含了贪婪的窥探者），国家基础设施的瘫痪、风险隐于键盘之上，网络早已走入我们千家万户，网民数量稳居世界第一。我国依然成为网罗大国，繁荣之下我们也暴露出一些安全的隐患和问题。比如重要领域的个人和业务数据已经成为网络攻击的重点目标，网上非法获取、倒卖个人信息等时有发生，严重侵害企业及个人利益，甚至危害个人生命安全、国家安全和社会公共利益面临着严峻挑战。从网络大国成长为网络强国还有很长一段路要走。近年来从出台网络安全法、国家网络空间安全战略再到开展移动互联网应用APP、违法违规收集使用个人信息的专项治理等等，再到建立关键基础设施安全保护措施这一系列关乎到个人、国家安全网络的举措相继出台，致密了网络安全，网络安全打下了基础。大家知道网络安全法是基础性的法律，以制度建设掌握网络空间治理和规则制定方面的主动权是维护国家网络安全发展的利器，该法明确加强了对个人信息的保护，打击网络诈骗，应该说这是一部小型的个人信息的保护法。

　　只有本者对国家负责、对社会负责、对人民负责的态度依法加强网络空间治理、加强网络内容建设，培育积极健康、向上向善的网络文化才得以网络空间风清气正安全可靠，造福于民，泽被后代。近年来随着移动智能终端的普及，移动互联网使用率逐年提高，移动互联网APP得到广泛应用，在促进经济社会发展，服务民生等方面发挥了不可替代的作用，为数字经济发展注入了新的动力和支撑，当前世界经济数字化转型已经是大势所趋，移动互联网时代下的数字金融前景广阔，作用积极，也给金融监管和治理带来新挑战。在发展数字经济提升金融服务质量，完善普惠金融体系等方面的新机遇和新挑战，急需要更好的平衡好数字金融创新和风险的防范，提升数字金融发展质量和治理水平。具体来说APP强制授权、过度授权、超反额收集个人信息的现象大量存在。违法违规使用个人信息的问题十分突出，人民群众对此反映十分强烈。为切实治理个人信息保护方面存在的乱象，四部委决定从今年1-12月份在全国范围内可能APP违法违规收集使用个人信息专项治理，APP运营者收集使用个人信息时要严格遵循《网络安全法》规定的责任和义务，对获取的个人信息安全要负责，采取有效措施加强信息保护，对获取的个人信息要遵循合法、正当、必要的原则，不收集与所提供服务无关的个人信息，收集个人信息时要以通俗易懂简单明了的方式展示个人信息收集的使用规则，并经个人信息主体自主选择同意，不得以某人捆绑停止安装等手段变向的强迫用户授权，不得违反法律法规和用户的约定收集使用个人信息。

　　鉴于上述情况中国互联网金融协会近期向广大会员单位发出《关于增强个人信息保护意识依法开展业务的通知》，针对一些互联网机构以大数据为名，通过爬虫业务涉嫌违法违规收集个人信息，盗取买卖个人信息等行为给予警示，要求所属会员单位会员机构增强信息保护意识坚持合规审慎经营，防范并纠正违反个人信息保护规定的行为。这是我们近期发的文，对各会员单位。

　　众所周知，金融是强监管行业，纵观银行业移动金融的监管发文几乎每年一个，在监管的高压之下，银行业金融机构已经开始不同程度的探索APP全生命周期的安全体系建设，尤其是今年9月27日中国人民银行发布了《人民银行关于发布金融行业标准加强移动金融客户端应用安全管理的通知》，我们就称237号文，对包括主要是持牌金融机构、银行、证券、保险、基金包括第三方支付在内的所有的金融机构提出了更为明确的移动安全的要求。237号文提出了提升安全保护的能力，加强个人信息安全保护等实施工作，将彻底整个金融行业今后移动安全建设的重要的工作方针。这也意味着APP个人信息安全合规治理工作已经真正下沉到我们金融领域，在这样一个趋势之下，整改哪些内容，如何整改、整改到什么程度这都将成为我们金融行业从业机构、从业者无法绕开的问题。237号文明确中国互联网金融协会作为该项工作的重要参与者承担以下职责：

　　1、会同金融机构建立健全风险信息共享机制，加大联防联控力度。

　　2、完善客户端软件投诉，调查取证和转移处理机制，规范受理渠道和办理流程，及时处理投诉建议，对查证属实的要督促金融机构做好整改

　　3、加强客户端软件行业自律管理，制定行业公约，建立健全黑名单管理，治理检查违规约束，信息共享等机制，做好客户端软件实名备案，风险监测。

　　我上午没有来参加论坛，是因为我去人民银行总行，向相关领导主管司局汇报我们这项工作的进展情况，整体来讲这项工作，刚才讲到了移动客户端APP的安全问题，这项工作涉及到的机构多，光银行业就几千家，银证保持牌的数量非常大，而且种类很杂，就某一家国有大行里面的APP也是很多种还有跨行业的等等，还有范围特别广、难度比较大，应该这么讲，集中备案在金融监管过程金融业里是第一次，跟总行领导探讨这个问题的时候我说，别看一个手机APP，它就是一个基础设施，就是一个信息系统，这个在历史上来讲，对于这么多金融从业持牌机构的信息系统进行全面的检测，以后备案这是前无古人，是第一次。所以我们讲是任重而道远，机遇跟挑战都有，所以我今天上午走的时候跟领导说，机遇跟挑战都有，但是机遇是大于挑战的，是困难我们都要克服，这也是个系统性的工程，不是纯粹的IT的检测安全问题，它涉及到很多刚才讲的，有名单管理问题、有投诉等等很多很多。

　　这是我汇报的第二方面。

　　第三方面，关于个人信息保护法规的概况和相关监管要求和影响

　　目前我国关于个人信息保护的规定由法律、行政法规、部门规章和各类规范性文件共同组成，我们做了初步的统计，共近40部法律，30余部法规，200多个部门规章，等规范性文件，涉及到个人信息保护问题形成了多层次、多领域、内容分散、体系庞杂的个人信息保护模式，其中在行业协会自律文件方面，为推动国家政策法规落地见效，规范和引导互联网金融行业依法合规收集使用转让金融消费者个人信息，我们协会正在预备研制实施互联网金融领域的个人信息保护自律公约。在当前的法规当中，对于个人信息保护的具体规定主要涉及到个人信息的收集使用和转让，这三个方面，强调的是个人信息的收集使用转让应当以信息主体授权同意为前提，实践当中《网络安全法》和《电信和互联网用户个人信息保护规定》是目前效率较高、应用较为广泛的两部法规，另外由全国信息安全标准化委员会发布的安全规范以及公安部网络安全保卫局等联合发布的安全保护的指南，对个人信息保护涉及的各个方面都进行了详细的解释和指引，针对上述两部法规的原则性规定做了具体明确要求，对判断个人信息保护工作是否合规具有重要的参考价值。

　　2、关于个人信息保护监管要求与影响，个人信息保护工作主要涉及到个人信息的收集、使用和保存、转让等环节，这里主要以《网络安全法》和《安全规范》等监管文件为依据，具体分析监管要求以及对互联网金融行业的一些具体影响，并结合我们协会相关的工作谈谈我的认识和理解。

　　第一，关于收集使用问题，根据现有的规定，收集使用个人信息应当遵循合法正当必要的原则，公开收集使用规则，明示使用的目的、范围和方式，并经被收集者同意合法正当必要，按照最低适用的理念收集个人信息，并在明确的知情同意范围内合理使用个人信息。以互联网金融行业使用的隐私政策协议来看，其中有关个人信息收集使用的条款内容大多数晦涩冗长，而且混杂于其他内容当中不容易察觉，对信息的收集使用内容范围表述往往比较模糊混乱，这些与当前的监管要求都有一定的距离，而且存在合规的风险，这一点在条规里面有所体现，我们第二条就强调了，对几种模糊含糊的方式有了规范，强调不得以默认授权、概括授权、功能捆绑等强迫消费者的方式收集个人信息。

　　第二处理保存信息，个人信息的保存制度包括去标识化处理、敏感信息加密保护、分别是指个人信息进行去标识化处理并将其与可用于恢复识别个人的信息分开存储。传输和存储个人敏感信息时要采用加密等安全措施，去标识化处理要求通过特殊的技术处理，使得单凭该个人信息无法准确定位到特定个人，而且不再具备被复原信息而用于特定个体识别的可能性，敏感信息加密保护就是对敏感信息进行加密、进行脱敏，使其即便遇到信息泄露也无法读取而且也不会造成非常恶劣的影响。这些监管要求对互联网金融行业影响深远，能有效防范当前互联网以大数据为名通过爬虫业务违规收集个人信息的行为。

　　第三，共享转让委托处理行为，个人信息的共享转让委托的行为要遵循知情、同意原则，充分重视相关风险，在共享转让委托时要征得个人主体授权同意，告知其在共享转让时是什么样的类型，事先开展安全风险评估，并依据评估结果采取有效的保护去个人的措施。

　　在互联网金融领域由于获客、信贷、风控等业务环节多数是在线上，通过大数据技术完成的，行业内发生信息的共享、转让、委托处理这种行为非常的频繁，这使得互联网金融行业个人信息保护合规工作尤为迫切，在涉及上述行为时要严格保护个人信息主体相关的权益，诸如知情权、决定权、拒绝权、撤回同意权等等，这一点通知有明确的要求。

　　各位嘉宾，以上是渥堆新时代下网络治理当中关于加强移动金融应用安全管理的粗浅思考，还相当不成熟，不当之处请批评指正。借最后的机会把协会的工作跟大家做一个介绍，互联网金融协会是经党中央国务院同意，是我国行业协会脱钩后第一个承担特殊职能的全国性行业自律组织也是今天论坛的联合主办单位之一，从协会诞生之日起我们就承担了规范从业市场、机构市场行为保护行业合法权益，推动从业机构更好的服务社会经济发展，引导行业健康规范运行的初心使命，从业以来全面基础党的建设，坚决贯彻党中央国务院人民银行党委决策部署，全力进行互联网金融安全整治，加快基础设施建设，适应宏观监测和扩大数据能力的需求，为改善自律管理和提升服务监管水平提供科技支撑，重点打造互联网金融研究特色和品牌，深度推动互联网金融标准研制与宣贯，扎实开展金融知识普及教育培训，针对性进行风险提示和教育，引导群众正确的识别和防范金融风险。跟踪关注国际金融科技发展趋势，加强金融科技研究与应用的国际交流，积极发挥政产学研各方面专家的作用，为宏观管理部门和会员单位提供分析决策依据。

　　以上是我跟大家做的简单的交流，不当之处请予以批评指正。