夜雨聆风
证券行业移动应用软件安全与合规管理研究
摘要:随着移动互联网技术在证券行业的深度融合,移动应用软件(APP,含小程序)已成为证券公司服务客户、拓展业务的核心渠道,其安全与合规水平直接关系到投资者权益、公司声誉及行业稳定。然而,证券APP在带来便捷性的同时,也面临着日益严峻的安全与合规挑战。本文系统性地阐述了一套贯穿APP全生命周期的安全与合规管理体系,在保障业务稳定运行的同时,切实保护投资者合法权益,促进行业健康发展。
关键词:移动应用安全、合规管理、个人信息保护、隐私威胁管控、APP备案
一、引言
移动互联网的飞速发展深刻改变了金融服务的模式,在证券行业,移动应用软件(APP,包括其轻量化形态如小程序),已成为证券公司服务投资者的主要阵地。据上海证券交易所最新年度《统计年鉴》,近年移动端交易金额占比普遍在85%以上并持续增长,APP的用户体验、运行稳定性直接影响着证券公司的市场竞争力与客户黏性。
然而证券APP在提供便捷服务的同时,也成为网络攻击者和金融黑灰产觊觎的目标。证券APP通常处理包括用户身份信息、银行账户、交易记录、持仓情况等在内的高度敏感个人金融信息,一旦发生数据泄露或系统被攻击,不仅会导致投资者财产损失,严重损害证券公司的声誉,甚至引发系统性风险。近年来,针对APP的攻击手段不断翻新,从传统的漏洞利用、拒绝服务攻击,到利用仿冒APP进行钓鱼欺诈、通过API接口进行非法交易,甚至采用人工智能技术进行深度伪造(如AI换脸)等。同时,第三方软件开发工具包(SDK)的广泛应用在加速APP开发的同时,也引入了新的安全和隐私风险,成为数据泄露的潜在源头。
与此同时,国家也相继出台并实施了《网络安全法》、《数据安全法》、《个人信息保护法》《网络数据安全保护条例》等一系列重要法律法规。金融监管机构如中国证监会、中国人民银行等,以及网信办、工信部、公安部等部门,也针对金融行业特别是证券行业的APP发布了更为严格和细化的监管要求与行业标准,例如《证券期货业移动互联网应用程序安全规范》(JR/T 0192-2020)、《个人金融信息保护技术规范》(JR/T 0171-2020)和《证券公司投资者个人信息保护技术规范》(T∕TSAC 001-2025)等。监管机构通过常态化的检查、通报、处罚等手段,督促证券公司切实履行安全与合规主体责任,合规要求的“高标准、严监管、强处罚”态势给证券公司的APP管理带来了前所未有的挑战。
二、APP安全与合规管理体系
构建科学有效的APP安全与合规管理体系是证券机构应对安全挑战、满足监管要求、保障业务连续的基础。一个成功的管理体系能够将安全与合规要求从被动的检查项转变为主动的安全控制,从而有效控制风险并持续创造价值。
(一)证券行业APP安全与合规挑战
证券行业的APP在安全与合规方面面临着多重挑战。首先,监管合规要求日益严厉且动态变化,各项行业规定不断更新,且监管机构的常态化抽查,对机构的合规管理能力提出了更高的要求。其次,网络攻击与黑灰产风险持续升级,APP的交易接口、数据库等易成为攻击目标,各种攻击手段层出不穷,金融黑灰产链条化运作更加大了攻击的规模和频率,严重威胁用户资金与公司声誉。最后,证券类APP涉及大量高敏感数据,且在第三方SDK风险管控以及数据跨境传输合规等方面也存在实践挑战。这些挑战共同构成了证券APP安全与合规管理的复杂背景。
(二)证券行业APP主要监管部门
表1 证券行业APP主要监管部门
|
监管部门 |
支撑机构 |
处罚措施 |
|
证监会 |
中国证券业协会、中证技术等 |
出具警示函、责令整改等 |
|
网信办 |
CNCERT、各地技术支撑单位 |
红头文件通报、约谈、App下架等 |
|
公安部 |
各省市网安、国家移动互联网应用安全管理中心(CNAAC) |
现场检查,通报,处罚等 |
|
市场监管部 |
CCRC、消协、质监局 |
公开媒体通报,罚款等 |
|
工信部 |
通管局、泰尔实验室、信通院等 |
红头文件通报,App下架等 |
证券APP的安全与合规受到多个监管部门的共同监督,包括证监会、网信办、公安部、市场监管总局和工信部等,各监管部门的支撑机构及处罚措施如表1所示,形成了一个多元化的协同监管格局。近年来,监管机构检查日趋严格,对金融类App违规行为的通报和处罚力度不断加大,近期发生的金融行业个人信息泄露事件,以及个别金融类APP因违规收集个人信息被通报如表2所示,给证券公司敲响了警钟。
表2监管部门对金融类APP违规的通报
|
事件来源 |
通报事件详情 |
||
|
网信部门 |
2024年12月12日,长沙市网信办对10家存在违规收集使用公民个人信息的应用程序负责人开展集中约谈 |
2025年2月19日,国家网信办对违反《个人信息保护法》等法律法规的4款App下架处理,78款App责令限期整改 |
2025年3月28日,中央网信办、工业和信息化部、公安部、市场监管总局开展2025年个人信息保护系列专项行动 |
|
工信部 |
2025年11月12日,工信部通报39款存在侵害用户权益行为APP(SDK) |
2025年11月26日,上海市通信管理局关于下架31款侵害用户权益行为APP(SDK)的通报 |
2025年12月,因侵害用户权益等行为,上海市通信管理局对中银证券APP予以下架处理。 |
|
国家计算机病毒应急处理中心 |
2025年5月28日,国家计算机病毒应急处理中心监测发现63款违规APP |
2025年6月18日,4家券商及3家银行APP被通报违规收集使用个人信息 |
2026年02月03日,国家计算机病毒应急处理中心发现72款APP存在违法违规收集使用个人信息情况 |
(三)APP安全与合规建设路径
面对复杂的挑战和严格的监管,证券机构可以分阶段推进APP安全与合规建设工作,如图1所示。首先建立安全合规工作小组,梳理APP安全与合规要求,并对现有APP进行调研与测试,制定并执行整改方案,形成遗留问题清单,实现“基础性保障”。然后结合遗留问题清单,进行更深入的差距分析和系统性问题整改,并完成APP的安全检测、安全加固和安全认证,实现“建设性完善”。最后建立APP安全与合规管理体系,将“基于隐私的设计”原则持续融入开发与测试流程,建设APP的内生安全能力。对于已获认证的APP应进行持续监督与维护,并推动安全与合规流程的落地,构建APP安全与合规长效机制。
图1 APP安全与合规建设路径
(四)APP安全与合规管理体系构成
一个完整的APP安全与合规管理体系,应以国家法律法规和相关标准规范为外部依据,应贯穿APP的全生命周期,从需求/设计、开发、测试、发布到运行的各个阶段,全面覆盖APP合规要求、APP安全防护、个人信息保护、备案检测认证等核心领域,形成一个系统化、全方位的管理框架,如图2所示。
图2证券行业APP安全与合规管理体系
1、安全与合规管理制度
证券机构应建立健全与APP安全与合规相关的管理制度,在网络安全及应急响应制度方面,需制定《网络安全管理办法》、《网络安全事件应急管理办法》、《应急处置预案》等。在数据安全及个人信息保护制度方面,需制定《数据安全管理办法》、《个人信息保护管理规范》,以及针对生物特征数据、第三方数据共享、用户账户注销与数据删除等的专项规范或指引。在系统运维安全制度方面,应出台《系统测试及上线管理办法》、《信息系统运维管理办法》、《第三方SDK引入与管理规范》等。
2、组织架构
有效的组织架构是确保管理体系落地执行的关键。通常,证券机构的党委(或党组)作为最高决策层,下设“网络和信息安全领导小组”以及“信息技术治理委员会”。机构应成立专门的“APP安全与合规工作小组”,负责统筹协调相关工作。在执行层面,各团队的职责必须明确。安全团队负责制定制度规范、提供安全审核支持并执行渗透测试。互联网金融团队(或相关的业务与技术部门)负责分析安全需求、完成功能设计并处理运维应急事务。研发团队(包括外部开发商)需遵循规范进行开发测试,并管理好开源组件。测试团队(包括外部开发商)负责对接并执行安全测试需求。此外,机构应设立风控合规专员,专门负责梳理合规要求并审核隐私政策。业务部门、合规部门、风控部门以及审计部门也需深度参与,从而形成多方协同、职责清晰的组织保障体系。
3、平台工具
技术工具是提升APP安全与合规管理效率与能力的重要支撑。证券机构可以构建一体化的APP安全平台,以整合各类安全与合规工具的功能。在开发测试环节,平台可支持源码扫描与隐私检测。在发布环节,平台可提供应用加固与变更管理等功能。更进一步,该平台可以实现各类工具能力的整合与关联分析,并针对具体问题进行联合验证,从而提升安全防护与合规检测的自动化水平与检测深度。
三、APP监管合规要求
(一)APP安全规范
图3APP安全规范
APP安全方面涉及的规范体系层级分明,如图3所示。首先最顶层是国家法律,如《网络安全法》、《数据安全法》、《个人信息保护法》、《密码法》等,这些是所有网络活动的基础准则。其次国家法律下面是行政法规和部门规章,如《网络数据安全管理条例》、《关键信息基础设施安全保护条例》、证监会的《证券期货业网络和信息安全管理办法》和证券期货行业网络安全等级保护相关要求等,对法律进行了细化。再往下是国家标准,提供了具体的技术和管理指引,如《个人信息安全规范》(GB/T 35273-2020)、《移动互联网应用程序个人信息安全测评规范》(GB/T 42582-2023)、《移动互联网应用程序生命周期安全管理指南》(GB/T 42884-2023)等。最后是金融行业标准与指引,如证券期货业移动互联网应用程序安全规范(JR/T 0192-2020)、移动金融客户端应用软件安全管理规范(JR/T 0092-2019)、个人金融信息保护技术规范(JR/T 0171-2020)等。
(二)APP个人信息保护规范
在APP个人信息保护规范中,除上述国家法律和行政法规以外,其他相关国标还包括了SDK安全要求、预置应用软件基本安全要求、APP个人信息处理活动管理指南等。此外,四部委联合发布的《App违法违规收集使用个人信息行为认定方法》(191号文)也是重要的执法依据。工信部近年来发布《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》和《关于开展纵深推进APP侵害用户权益专项整治行动的通知》,持续开展APP侵害用户权益专项整治,网信办也出台了针对儿童个人信息保护、算法推荐等的专门规定。
在行业标准方面,电信终端产业协会发布的团体标准和全国信息安全标准化技术委员会发布的实践指南,也提供了非常有价值的参考。
(三)APP行业监管要求
根据证监会行业监管要求,针对APP安全合规专项工作的检查通常会关注以下要点:一、是否已将APP安全合规内容纳入信息技术管理体系;二、是否按要求完成了在行业协会的备案登记;三、是否通过了证券期货业App安全认证;四、是否定期开展了APP客户端和服务器端的安全性检查;五、是否进行了个人信息保护专项检测。
特别是在个人信息保护方面,检查会关注:一、APP是否明确说明了收集使用个人信息的目的、方式和范围;二、是否存在未经用户同意就收集使用个人信息的行为;三、是否违反必要原则,收集了与服务无关的个人信息;四、是否清晰公示了个人信息使用规则;五、是否建立并公布了有效的投诉、举报方式。这些都是监管高度关注的核心合规点,直接关系到投资者权益保护的落实情况。
四、APP安全关键技术与实践
本章将讨论证券行业APP在其全生命周期中应采用的关键安全防护技术,以及个人信息保护这一核心合规要求的具体技术实践,二者共同构成了APP稳健运行的基础。
(一)APP全生命周期安全防护
APP的安全防护应贯穿其整个生命周期,包含需求设计阶段、开发阶段、测试阶段、发布阶段和运行阶段,形成闭环管理,如图4所示。
图4APP全生命周期安全防护
1. 开发阶段安全防护
在APP开发阶段,安全防护的目标是确保App免遭逆向分析、篡改和调试等攻击,保护核心代码、核心数据。关键技术包括:一、防逆向保护,通过加密、加壳、虚拟化等技术增加破解难度;二、防篡改保护,利用完整性校验、交叉校验等技术防止恶意代码注入和逻辑篡改;三、防调试保护,采用反调试技术对抗内存dump、hook等高级攻击;四、防泄露保护,通过透明加解密保护配置文件、数据文件等;五、加强通信协议保护,采用加密、完整性校验、白盒加密、身份验证等技术保障数据传输安全;六、积极推进国密算法改造,在关键环节使用国产密码算法;七、完成IPv6改造,确保在IPv6环境下安全策略同等有效,并符合中国人民银行IPv6安全合规要求。2.测试阶段安全测试
安全测试是验证安全防护措施有效性、主动发现并修复安全漏洞的关键环节。证券机构应建立定期、全面的安全测试机制,结合自动化漏洞扫描、渗透测试等评估手段全面开展测试。全面的安全测试机制能够提升开发效率并降低修复成本,在开发生命周期的早期发现并修复漏洞,其成本远低于上线后修复。安全测试通常包括前期沟通、漏洞扫描、渗透测试、结果输出等步骤。
3.发布阶段安全加固
在APP通过所有安全测试、准备正式发布之前,进行安全加固是提升其在真实运行环境中抵抗攻击能力的最后一道重要屏障。APP加固是以自动化的方式通过加壳、混淆、加密、签名校验、进程保护等技术手段,在防范APP被代码反编译、完整性篡改、动态调试、本地数据明文窃取等方面提供针对性的防护措施。由于不同移动平台存在差异,加固方案也需有所侧重,如Android和鸿蒙APP加固应侧重阻止代码被反编译、阻止篡改二次打包、阻止动态调试注入、资源加密和环境检测。而iOSAPP加固应侧重增加逆向难度、阻止篡改二次打包、阻止动态调试注入、字符串加密和越狱检测。
4.运行阶段安全监控
APP上线后还需建立实时的安全风险监控与感知机制,机制的核心目标是实时监控APP的运行环境、用户行为以及交易流程中的异常风险。在技术实现上,证券机构通常需要一个综合性的监控平台,平台数据来源以下几个方面:在APP客户端嵌入探针(SDK)、在H5页面或小程序中部署JS探针、在后端服务的网关层面部署插件或采集镜像流量获取API调用和网络通信数据。这些数据被汇集到后端的风险分析引擎,利用机器学习等技术,对设备环境、访问行为、数据传输等进行实时监测和分析,判断访问是否来自正常设备、使用正常手段、来自正常渠道,访问频率行为及报文是否正常,从而全面发现异常,为风险处置提供依据,保障APP安全稳定运行。
5.渠道监测与反仿冒APP治理
仿冒APP是证券行业面临的一类重要的安全风险,严重损害用户利益和公司声誉。因此,建立常态化的APP渠道监测与反仿冒治理机制至关重要,可以确保用户通过正规渠道下载并使用官方APP。监测应覆盖广泛的网络渠道,范围包括应用市场、搜索引擎及社交平台等,监测对象涵盖Android、iOS、小程序、公众号等全形态。检测机制应具备精准的识别能力,能够基于多维度特征和机器学习进行判断,7*24小时持续进行数据更新与监控。数据输出应可以自动关联合法APP,协助人工复核疑似风险APP,提供精准全面的情报以支撑后续处置工作。
(二)APP个人信息保护实践
在数字化时代,个人信息保护不仅是法律法规的强制要求,也是证券机构赢得用户信任、实现可持续发展的关键。
1.个人信息保护管理框架
构建APP个人信息保护体系,首先需要确立清晰的个人信息保护方针与目标。证券机构应从顶层设计入手,建立一个覆盖组织保障、制度流程和技术工具三个维度的综合治理模式。该模式必须贯穿于个人信息从收集、存储、使用、加工、传输、提供、公开到删除的完整生命周期。基于这一顶层设计,机构应构建个人信息保护管理框架,搭建完备的组织架构,出台详尽的规章制度,规范APP个人信息收集、存储、使用和共享流程。个人信息保护管理措施包括影响评估、合规评估、安全防护和审计,整个过程应遵循PDCA循环,持续改进,如图5所示。
图5APP个人信息保护实现路径
2.隐私合规检测
为确保持续符合个人信息保护要求,证券机构应建立针对APP个人信息保护的常态化隐私合规检测机制。先通过自动化工具高效完成基础性检查,如通过静态分析进行APP漏洞扫描和组件成分分析(识别第三方组件),通过动态分析在沙盒环境中模拟用户操作(自动界面遍历),记录APP的行为(如权限调用、数据传输、数据存储),并与预设的合规规则比对。在此基础上,由专业人员进行人工审核,重点分析截屏录屏、调用权限等APP事件以及隐私政策合规性等,从而实现检测效率与检测深度的平衡。
3.隐私威胁管控
在APP个人信息保护中,隐私威胁管控的核心目标是实现对隐私威胁行为的“可见”与“可控”。目前常见的隐私威胁行为主要包括个人信息的违规采集、个人信息的违规外发以及利用APP的热更新/动态加载技术来逃避常规隐私威胁检测。针对这些隐私威胁行为,证券机构的管控策略应包括对终端信息采集行为进行监测审计,以及对网络通信违规外发实施阻断管控,阻止违规行为的发生。
五、APP备案与检测认证
证券行业APP符合监管要求并通过必要的备案与检测认证,是其得以合法合规运营的基础保障。监管部门高度重视并持续推动备案与检测认证工作,2024年12月,证券、期货、基金业协会发布了《证券期货业移动应用软件备案工作指引(试行)》,规范了APP备案工作。
(一)APP备案
根据国家和行业监管要求,证券APP在上线提供服务前或上线后一定时间内,必须完成一系列备案手续,这是其合法合规运营的必要前提。备案工作主要涉及向三个不同的主管部门进行登记,完成这三项备案是证券APP合规上线的基础性工作,缺一不可。
1、证券行业备案(向中国证券业协会备案)
此项备案依据《证券期货业移动应用软件备案工作指引(试行)》进行,旨在加强行业自律管理。备案流程为APP主办者(即证券公司)通过证券期货业移动应用软件备案系统线上备案。完成首次备案后,备案信息并非一成不变,当APP的关键信息(如版本重大更新、功能调整、开发商变更等)发生变化时,APP主办者应及时更新备案信息。
2、工信部备案(向工业和信息化部备案)
此项备案依据《互联网信息服务管理办法》进行,旨在落实APP主办者的主体责任。备案流程为APP主办者向主体注册所在地的省级通信管理局提交申请,申请通过后,APP将获得唯一的ICP备案号(针对网站)或APP备案号。按规定,此备案号应在APP的启动加载页、设置页的“关于”或“版本信息”等显著位置进行标注。
3、公安部备案(向公安机关备案)
此项备案依据《计算机信息网络国际联网安全保护管理办法》进行。要求APP主办者在APP获得工信部备案号(即服务开通)后的30日内,登录“全国互联网安全管理服务平台”(www.beian.gov.cn)进行备案。备案成功后,系统会生成公安备案号,同样建议在APP的适当位置(如“关于”页面)进行标注。
(二)APP安全检测认证
证券期货业APP安全检测认证是监管机构为了确保APP达到一定的安全标准、保障投资者信息和资金安全而设立的重要合规要求。该项工作的主要依据标准是《证券期货业移动互联网应用程序安全检测规范》(JR/T 0240–2021)和《App违法违规收集使用个人信息行为认定方法》(四部委191号文)。检测认证工作的总体流程大致如图6所示:送检机构(即证券公司)首先按照中证技术发布的申请资料说明准备材料并提交申请,受理后由指定的检测机构进行型式试验(即技术检测),检测机构出具检测报告后,由认证机构结合报告、文件检查和现场检查结果做出认证结论,通过后颁发证书。
图6APP安全检测认证流程
需要注意的是,证书的获取与维持并非一次性的工作。认证证书的有效期通常为3年,在有效期内每年都需进行一次证后监督审核(监审),证书到期前需申请续证审查。这一机制强制机构必须建立和维持一个长效的安全与合规管理机制,而不是为了认证而进行一次性的突击整改。
六、总结
针对证券行业APP面临的安全与合规挑战,本文系统性地阐述了一套贯穿APP全生命周期的安全与合规管理体系,梳理了APP监管合规要求及APP安全关键技术,帮助推动安全与合规从被动的外部要求转变为内生的核心能力。此外,本文整理了APP监管备案及安全检测认证流程,分析了认证常见问题并提供改进建议。证券经营机构应当将安全与合规要求深度融入业务流程和技术架构,才能系统性地提升APP的安全与合规水平,赢得投资者信任,实现稳健和可持续发展。
参考文献
[1]全国人民代表大会常务委员会. 中华人民共和国网络安全法[EB/OL]. (2016-1107).
http://www.npc.gov.cn/npc/c30834/201611/0d5ba00cdc3c4493a71620fca5897500.shtml.
[2]全国人民代表大会常务委员会. 中华人民共和国数据安全法[EB/OL]. (2021-0610).
http://www.npc.gov.cn/npc/c30834/202106/7c97ef437577419386cd3419356c1828.shtml.
[3]全国人民代表大会常务委员会. 中华人民共和国个人信息保护法[EB/OL]. (2021-08-20)
http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a1720dabb89.shtml.
[4]中华人民共和国国务院. 网络数据安全管理条例[EB/OL]. (2024-09-30).
[5]全国金融标准化技术委员会. 证券期货业移动互联网应用程序安全规范: JR/T 0192—2020[S/OL]. (2020-07-10).
[6]全国金融标准化技术委员会. 个人金融信息保护技术规范: JR/T 0171—2020[S/OL]. (2020-02-13).
[7]中国证券业协会. 证券公司投资者个人信息保护技术规范: T/TSAC 001—2025[S/OL]. (2025–09–25).