2019（第二屆）中國2019/33552.html">金融科技產(chǎn)業(yè)峰會于10月31日——11月1日在北京國際會議中心隆重召開。在11月1日下午召開的“金融業(yè)網(wǎng)絡(luò)信息安全”分論壇上，愛加密移動安全研究院的魏超副院長帶來了《移動金融風險防護建設(shè)淺析》主題演講。

大家下午好！

首先說說我們對2019/33552.html">金融科技的看法

今年頒發(fā)一系列的法律法規(guī)對2019/33552.html">金融科技的相應(yīng)要求，包括移動金融應(yīng)用的個人信息，以及國家網(wǎng)安法等保2.0的要求，它最主要是為了促進金融行業(yè)能夠穩(wěn)定有序的發(fā)展。其二是科技對于5G、移動應(yīng)用、智能技術(shù)、區(qū)塊鏈、云計算的應(yīng)用，給金融行業(yè)帶來了相應(yīng)的創(chuàng)新和實際的活動。

我們看看移動金融目前最主要的兩個形態(tài)：第一個是輸出。對于輸入來說，金融行業(yè)希望更多拉新，更多新用戶融入到金融平臺來，成熟信息科技相應(yīng)技術(shù)打包，輸出到各個互聯(lián)網(wǎng)平臺中來。第二個是引進，把移動金融行業(yè)現(xiàn)有的客戶黏度更高，能夠添加什么擴展類金融服務(wù)，將現(xiàn)有客戶更多進行積極性調(diào)度。輸出和引進對環(huán)境的開放可能帶來風險，這是現(xiàn)在移動金融帶來的問題。

今年8月份，中國人民銀行印發(fā)出了《2019/33552.html">金融科技發(fā)展規(guī)劃（2019-2021年）》，發(fā)展規(guī)劃對金融APP的穩(wěn)定提出了相應(yīng)的要求，對網(wǎng)上銀行、手機銀行等業(yè)務(wù)系統(tǒng)監(jiān)測提出了相應(yīng)要求，這是以往沒有提出過的。對于業(yè)務(wù)系統(tǒng)在互聯(lián)網(wǎng)的監(jiān)測作為金融安全建設(shè)核心重要的一環(huán)，對金融行業(yè)資產(chǎn)比如APP資產(chǎn)在環(huán)境之下可能出現(xiàn)的仿冒、盜用以及可能出現(xiàn)的個人信息泄露而造成的風險。前兩天，最高檢和最高法發(fā)布對個人信息違法違規(guī)的解讀，個人信息超過500條之后就會有相應(yīng)的刑事處罰。提高到這樣嚴重的高度，這對金融行業(yè)特別是P2P這些掌握大量用戶信息的企業(yè)，對于移動應(yīng)用出口的安全有更高的要求。包括銀監(jiān)會的通知和去年的護網(wǎng)行動以及今年年初四部委聯(lián)合發(fā)布的開展APP違法違規(guī)收集使用個人信息專項治理，懲處現(xiàn)在也有相應(yīng)的依據(jù)，是非常合適的合規(guī)點。

從國家監(jiān)管來說，金融企業(yè)如何保證自合規(guī)？相應(yīng)的方式有哪些？包括我們自營的APP，包括我們賦能的SDK。之所以我們做SDK或者API銀行，就是將銀行的自身包裹出去或者把互聯(lián)網(wǎng)的能力拉進來，在開放過程中可能出現(xiàn)的問題。目前我們現(xiàn)在關(guān)注的是個人信息，之后可能是金融數(shù)據(jù)以及市場數(shù)據(jù)，向金融數(shù)據(jù)安全上發(fā)展。總體職責上希望：第一，保證企業(yè)自身的安全；第二，我們向外輸出的能力，包括SDK或者第三方SDK的合規(guī)性會不會給我們企業(yè)帶來風險是一個大問題；第三，保證互聯(lián)網(wǎng)應(yīng)用生態(tài)的合規(guī)，響應(yīng)國家安全政策，主動提升自身安全能力，保障人民的財產(chǎn)安全。

二、移動互聯(lián)網(wǎng)環(huán)境惡劣

2018年，新增惡意APP數(shù)量新增283萬余個，最主要的是惡意扣費、短信或者違規(guī)采集個人信息等問題。上面的案例我就不著重說了，包括墨跡天氣的事情在央視報道。

這是個人信息泄露事件，涉及破解之后或者被網(wǎng)絡(luò)中間人劫持，將個人重要的信息提取出來。當然，個人信息泄露案件為什么能夠組成完整的一環(huán)？最主要的是個人信息獲利在黑產(chǎn)或者安全行業(yè)里形成了完整的利益鏈，所以個人信息泄露才會如此的嚴重。包括相應(yīng)的平臺或者APP有越權(quán)或者濫權(quán)行為，越權(quán)或者濫權(quán)行為并不會對個人形成單體的危害，它可能形成群體危害，比如將你的通訊錄或者通話和錄音進行收集。再加上之后有5G或者AI，把個人情況、設(shè)備情況、實際環(huán)境信息也暴露，最后在互聯(lián)網(wǎng)上完整還原了個人的家庭生態(tài)和金融生態(tài)，這樣就變成非常的可怕。

這是舉去年個人所得稅APP的例子，這款A(yù)PP剛出來第二天，就出來幾十個類似于個人所得稅仿冒的APP，包括一些征信的。現(xiàn)在我們?nèi)ゾW(wǎng)上搜某某銀行，下面有個某某銀行使用助手、某某銀行的使用幫助等相應(yīng)APP，這些APP也都是大量含著惡意廣告和廣告代碼的短信扣費，嚴重就是個人信息收集等問題，這些問題非常猖獗。

第三方SDK現(xiàn)在也暗藏各種玄機，比如我們結(jié)合第三方SDK，它暗藏代碼，之前看到某個頁面上架前承載一些功能，這在BS架構(gòu)PC時代非常容易理解，頁面刷新指向不同地址以后功能都發(fā)生了變化，變成借貸的或者推送一些廣告，還涉及到賭博等問題。這些第三方SDK帶來的問題會不會成為我們金融企業(yè)自身的問題？這在APP運行初期和測試階段是不會發(fā)生的，只有APP在用戶端運行一段時間狀態(tài)之后才能出現(xiàn)，也比較巧妙的規(guī)避檢測上的風險。那么他們什么時候發(fā)生、什么時候觸發(fā)，狀態(tài)是不是需要監(jiān)測，這就是金融企業(yè)需要考慮的問題。因為畢竟第三方SDK在使用時，如果它的合規(guī)性得不到保障，我們作為主體單位會受到相應(yīng)的危害。