北京深圳两地联动 2020中国金融科技安全大会顺利召开
移动支付网2020/11/5 17:31:06

2020年11月2~3日,由北京金融科技产业联盟、移动支付网联合主办的2020第五届中国金融科技安全大会(以下简称“安全大会”)在北京、深圳两地举行,这是安全大会首次采用两地联动的形式举行。齐聚产业链各方,共同探讨后疫情时代下,“无接触”金融服务、个人金融信息保护、App合规、人脸识别应用、金融科技风险、金融风控、数据安全等问题。

北京深圳两地联动,畅谈金融科技安全

2020年11月2日,北京金融科技产业联盟、移动支付网在北京召开2020第五届中国金融科技安全大会开幕式,研讨新技术趋势下甄别、防范、化解金融风险的新路径,旨在共同促进和提升金融科技安全水平。

中国人民银行科技司一级巡视员、副司长陈立吾、中国支付清算协会秘书长陈波、中国互联网金融协会秘书长陆书春、北京市地方金融监督管理局副局长李妍、房山区副区长吕晨飞出席大会开幕式并讲话,北京金融科技产业联盟秘书长潘润红主持开幕式。

会议认为,金融科技跨界化、去中介、分布式、智能化的特点,引发了金融风险形式的新变化,为现实金融安全带来了新挑战。金融行业及相关产业应严格落实“守初心、担使命,找差距、抓落实”的总要求,以人民银行金融科技发展规划为指导,平衡好安全与发展的关系,协同好金融与科技的关系,兼顾好继承与创新的关系,统筹好监管与服务的关系,充分发挥科技赋能作用,增强金融服务实体经济能力,保障金融数据安全,坚决守住不发生系统性金融风险底线,为服务实体经济、防控金融风险、深化金融改革提供支撑,推动我国金融业高质量发展。

会议强调,金融科技生态各参与方须秉持“守正创新、安全可控、普惠民生、开放共赢”原则,在安全合规的前提下,合理应用新技术赋能金融产品与服务创新。一是规范金融产品技术应用机制。二是提升金融业务风险防范能力。三是健全金融科技审慎监管格局。四是加强金融数据安全保障。

开幕式后,北京大学博士生导师陈钟主持大会论坛,农业银行、北京理工大学、360公司的专家代表分别就金融数据安全保护的难点与思路、中外数据安全立法战略洞察、实战渗透攻击手法与防御策略等做主题发言。来自联盟会员单位及产业园企业的80余家机构代表参会。

11月3日,2020第五届中国金融科技安全大会在深圳召开,从政策、技术、市场、场景等角度,持续聚焦金融科技安全,来自银行、证券、支付、安全等产业链近300家机构共计500余位代表参会。

“无接触”大势下的数据安全

2020年,新冠疫情给金融行业带来了较大的挑战,也促使金融科技行业向“无接触”转型,在合规大背景下,数据安全更加重要。

11月3日上午的会议在北京金融科技产业联盟副秘书长聂丽琴的主持下召开。中国人民银行深圳市中心支行周艺林发表致辞。

中国人民银行科技司专家、中国支付清算协会技术与标准部主任于沛、中国电子技术标准化研究院信安中心测评实验室副主任何延哲、中国工商银行软件开发中心高级经理吕涛、龙芯中科技术有限公司金融行业技术总监曲仕超、网易易盾CTO朱浩齐、蚂蚁集团高级算法专家,网商银行农村金融首席算法专家王剑与会并围绕主题发布演讲。

会议介绍了当下金融App存在的问题以及相应的监管政策。目前金融类App普遍存在防护能力存在短板、信息泄露风险加剧、仿冒钓鱼问题突出等安全问题。针对这些问题,人民银行发布的《中国人民银行关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》(银发〔2019〕237号文)、《金融科技(FinTech)发展规划(2019-2021年)》等文件均有较为详细的介绍。

会议也透露了目前金融客户端软件认证的相关情况。

截至2020年10月27日,工商银行、建设银行、中国银行、陆金所、支付宝、微信、京东金融等上百款客户端应用软件已经通过金融客户端软件认证。

在实施过程中,检测认证机构根据标准规范的要求,对客户端应用软件的安全质量进行严格把关,重点从身份认证安全、逻辑安全、数据安全、密码算法及密钥管理、人机交互安全等29个方面进行检测认证。通过本项工作的开展,部分金融客户端应用软件存在的安全防护能力不够、超范围收集个人信息等问题被发现和改正。

此外,目前App认证工作开展的一些环节有待加强,主要是申请方与检测、认证机构商务对接耗时较长;申请方提交申请资料的准备不充分;申请方就检测、认证环节发现的问题进行整改的进度较慢。就近期热议的人脸识别应用安全问题,会议提倡,在App使用人脸识别方面应该注意7个事项:

1、目的合理、正当、必要,在不影响个人重大利益或社会公共利益的情形下不考虑优先使用人脸识别;

2、保障用户的选择权,不宜设置人脸识别为唯一的身份核验手段,不应强制要求或频繁推荐用户开通人脸识别;

3、确保各机构在获取用户授权同意后采集人脸信息,未经用户同意或法律法规授权,不得通过高清摄像头等私自采集,不得使用人脸信息追踪个人行为;

4、明示人脸信息收集使用规则,防止人脸信息被滥用、非法提供给第三方;

5、最小化存储和使用,原则上应仅取人脸特征信息,完成身份核验后应及时删除原始样本;

6、明确标注避免混淆,AI技术合成图像应注明,征得个人授权遵循管理规定;

7、准确度和安全性,加强技术、系统和设备的安全性检测与认证。

相辅相成,App与个人信息安全密不可分

在全方位解析“无接触”金融趋势下的政策与市场情况后,下午的会议则聚焦于App安全与个人信息安全,深圳未来金融研究院执行院长杜艳作为主持人,与参会嘉宾共同完成新一轮的金融科技行业思维碰撞。

光大银行信息科技部安全管理处处长牟健君、银行卡检测中心(国家金融科技测评中心)信息安全技术总监李博文、中国信息通信研究院副主任袁琦、腾讯云安全架构师鱼勇、广东金融学院数字金融法律研究中心主任李支、百行征信有限公司信息技术部副总经理郭胜基、微众银行人工智能部副总经理陈天健、北京市京师(深圳)律师事务所联合创始人王岩飞与会并发表演讲。

近几年,开放银行成为热点,而在API开放的背景下,API安全又该如何保障?牟建军总结,API安全应该做到三个“全面”:

1、全链条纵深防御:WAF智能防护、加强身份认证、完善访问授权、验证数据脱敏、异常行为监测、回溯安全审计;

2、全生命周期管理:API标准化、API平台化、API相关应用服务化、内部API开发平台、外部API自服务平台、原生安全标准;

3、全生态共同协作:建议统一API技术标准、提升全生态安全防护水平、建议完善监管,明确责任主体、建议健全国家标准、建议各行业组织自律。

而作为API安全的重要领域,App安全同样面临诸多挑战。目前金融App安全主要有三大问题:

1、身份认证机制不健全。为便捷而被普遍采用的短信验证、手机号验证等受攻击风险突出;移动端的数字证书普遍采用软实现,安全强度较差。

2、系统安全机制不健全。Android操作系统的JAVA代码反编译问题突出;操作系统存储权限控制差,隐私保护机制脆弱;SE/TEE等安全机制普及度有待提高。

3、发布管理机制不健全。应用商城、网站、论坛等发布渠道混乱,审核机制参差不齐;App迭代速度加快,新旧版本交替存在,版本管理困难。

除了App自身的安全问题,许多App运营机构也在数据方面存在诸多不足之处,包括:

1、收集使用规则内容不清晰,过度收集问题广泛存在;

2、应用收集行为不合理不规范;

3、数据共享行为不规范,缺乏强有力的第三方约束措施;

4、未经用户同意频繁调用API接口获取用户信息;

5、未经用户同意存在窃听用户隐私进行定向推送;

6、未经用户同意频繁自启动及链式启动。

探讨信息安全,就不得不说最新的《个人信息保护法(草案)》(以下简称《草案》),及相关的金融数据合规问题。参会嘉宾指出,《草案》落地后在个人信息保护规则上不会有根本性改变;但对“促进个人信息合理利用”应有所加强;而数据流通的个人“知情—同意”规则将被坚持并有可能强化。

最后,本次安全大会发布了《中国个人金融信息保护执法白皮书(2020)》,该《白皮书》由北京金融科技产业联盟、移动支付网及北京市京师(深圳)律师事务所三家机构共同编纂发布。

《白皮书》从个人金融信息保护有关立法及规制动态、个人金融信息保护有关专项整治及执法动态、个人金融信息保护案例分析、个人金融信息保护法律合规建议四个方面,介绍当下个人金融信息保护执法情况,为金融科技企业的相关展业提供参考。

点击下载《中国个人金融信息保护执法白皮书(2020)》


展开全文
相关阅读
资讯查询取消