2019（第二屆）中國2019/33552.html">金融科技產業峰會于10月31日——11月1日在北京國際會議中心隆重召開。在11月1日下午召開的“金融業網絡信息安全”分論壇上，愛加密移動安全研究院的魏超副院長帶來了《移動金融風險防護建設淺析》主題演講。

大家下午好！

首先說說我們對2019/33552.html">金融科技的看法

今年頒發一系列的法律法規對2019/33552.html">金融科技的相應要求，包括移動金融應用的個人信息，以及國家網安法等保2.0的要求，它最主要是為了促進金融行業能夠穩定有序的發展。其二是科技對于5G、移動應用、智能技術、區塊鏈、云計算的應用，給金融行業帶來了相應的創新和實際的活動。

我們看看移動金融目前最主要的兩個形態：第一個是輸出。對于輸入來說，金融行業希望更多拉新，更多新用戶融入到金融平臺來，成熟信息科技相應技術打包，輸出到各個互聯網平臺中來。第二個是引進，把移動金融行業現有的客戶黏度更高，能夠添加什么擴展類金融服務，將現有客戶更多進行積極性調度。輸出和引進對環境的開放可能帶來風險，這是現在移動金融帶來的問題。

今年8月份，中國人民銀行印發出了《2019/33552.html">金融科技發展規劃（2019-2021年）》，發展規劃對金融APP的穩定提出了相應的要求，對網上銀行、手機銀行等業務系統監測提出了相應要求，這是以往沒有提出過的。對于業務系統在互聯網的監測作為金融安全建設核心重要的一環，對金融行業資產比如APP資產在環境之下可能出現的仿冒、盜用以及可能出現的個人信息泄露而造成的風險。前兩天，最高檢和最高法發布對個人信息違法違規的解讀，個人信息超過500條之后就會有相應的刑事處罰。提高到這樣嚴重的高度，這對金融行業特別是P2P這些掌握大量用戶信息的企業，對于移動應用出口的安全有更高的要求。包括銀監會的通知和去年的護網行動以及今年年初四部委聯合發布的開展APP違法違規收集使用個人信息專項治理，懲處現在也有相應的依據，是非常合適的合規點。

從國家監管來說，金融企業如何保證自合規？相應的方式有哪些？包括我們自營的APP，包括我們賦能的SDK。之所以我們做SDK或者API銀行，就是將銀行的自身包裹出去或者把互聯網的能力拉進來，在開放過程中可能出現的問題。目前我們現在關注的是個人信息，之后可能是金融數據以及市場數據，向金融數據安全上發展。總體職責上希望：第一，保證企業自身的安全；第二，我們向外輸出的能力，包括SDK或者第三方SDK的合規性會不會給我們企業帶來風險是一個大問題；第三，保證互聯網應用生態的合規，響應國家安全政策，主動提升自身安全能力，保障人民的財產安全。

二、移動互聯網環境惡劣

2018年，新增惡意APP數量新增283萬余個，最主要的是惡意扣費、短信或者違規采集個人信息等問題。上面的案例我就不著重說了，包括墨跡天氣的事情在央視報道。

這是個人信息泄露事件，涉及破解之后或者被網絡中間人劫持，將個人重要的信息提取出來。當然，個人信息泄露案件為什么能夠組成完整的一環？最主要的是個人信息獲利在黑產或者安全行業里形成了完整的利益鏈，所以個人信息泄露才會如此的嚴重。包括相應的平臺或者APP有越權或者濫權行為，越權或者濫權行為并不會對個人形成單體的危害，它可能形成群體危害，比如將你的通訊錄或者通話和錄音進行收集。再加上之后有5G或者AI，把個人情況、設備情況、實際環境信息也暴露，最后在互聯網上完整還原了個人的家庭生態和金融生態，這樣就變成非常的可怕。

這是舉去年個人所得稅APP的例子，這款APP剛出來第二天，就出來幾十個類似于個人所得稅仿冒的APP，包括一些征信的。現在我們去網上搜某某銀行，下面有個某某銀行使用助手、某某銀行的使用幫助等相應APP，這些APP也都是大量含著惡意廣告和廣告代碼的短信扣費，嚴重就是個人信息收集等問題，這些問題非常猖獗。

第三方SDK現在也暗藏各種玄機，比如我們結合第三方SDK，它暗藏代碼，之前看到某個頁面上架前承載一些功能，這在BS架構PC時代非常容易理解，頁面刷新指向不同地址以后功能都發生了變化，變成借貸的或者推送一些廣告，還涉及到賭博等問題。這些第三方SDK帶來的問題會不會成為我們金融企業自身的問題？這在APP運行初期和測試階段是不會發生的，只有APP在用戶端運行一段時間狀態之后才能出現，也比較巧妙的規避檢測上的風險。那么他們什么時候發生、什么時候觸發，狀態是不是需要監測，這就是金融企業需要考慮的問題。因為畢竟第三方SDK在使用時，如果它的合規性得不到保障，我們作為主體單位會受到相應的危害。