市场监管总局、人民银行近日发布文件，明确了“金融科技产品”的定义，并将App、扫码支付、ATM机、POS机等11类产品纳入第一批认证目录。

10月16日，市场监管总局、人民银行两部委发文，决定将支付技术产品认证扩展为金融科技产品认证，并确定了《金融科技产品认证目录（第一批）》，制定了《金融科技产品认证规则》。

第一批认证目录纳入11类金融科技产品，包括客户端软件、安全芯片、安全载体、嵌入式应用软件、银行卡自动柜员机（ATM）终端、支付销售点（POS）终端、移动终端可信执行环境（TEE）、可信应用程序（TA）、条码支付受理终端（含显码设备、扫码设备）、声纹识别系统、云计算平台。

对上述11类产品，两部委指出，金融科技产品认证的基本认证模式为：型式试验+获证后监督；上述获证后监督是指获证后的跟踪检查、生产现场抽取样品检测、市场抽样检测三种方式之一或组合。认证机构可根据实际情况确定认证委托方所能适用的认证模式。

在具体产品的认证上，认证单元划分原则上应按产品型号、规格、版本的不同划分认证单元，当以多个型号、规格、版本的产品作为一个认证单元时，认证委托方应提交各型号、规格、版本产品间的差异说明。

第一批认证目录给出了具体金融科技产品的定义和认证依据。

例如，对于目前金融科技的主战场——App，其所属的“客户端软件”，产品范围为支持支付业务（包括处理订单）的移动终端客户端软件，包括：移动终端客户端程序、支付控件、软件开发工具包(SDK)等。客户端软件的认证标准包括（1）JR/T 0092，《中国移动支付客户端技术规范》；（2）JR/T 0098.3《中国金融移动支付检测规范第3部分：客户端软件》等；（2）T/PCAC 0006《条码支付移动客户端软件检测规范》。

根据易观千帆截至今年8月的金融类APP统计，支付宝MAU以6.10亿居首位；银行中，工商银行APP、建设银行APP、农行掌上银行APP的MAU分别为5891万、5556万、4329万。股份制银行中，招商银行APP、招行掌上生活APP、平安口袋银行APP的MAU均超过3000万，分别为3541万、3265万、3004万，相差不大。

涉及App移动端的认证要求还包括：“嵌入式应用软件”是指支持移动支付业务开展的，运行于安全单元（SE）内嵌入式系统软件之上的嵌入式应用软件。以及“移动终端可信执行环境（TEE）”，是指基于硬件和软件结合的移动终端可信环境（TEE），包括与 TEE 安全功能应用相关的硬件（ SoC 平台及相关硬件资源）、固件及相关软件（可信执行环境操作系统、可信虚拟化层等）和安全使用指引，不包括可信应用（TA）、客户端应用（CA）和富执行环境（REE）。

“开放银行”成为近两年银行竞争的重点，开放银行通过API技术和Ⅱ类、Ⅲ类账户，把银行的多类接口，如开户、转账风控、刷脸、群管、支付、身份认证乃至借贷等，转化为标准化SDK插件或API程序接口。

若如此，两部委发文后，App、开放银行等将受到明确的产品认证监管。

另一金融科技重点“条码支付受理终端”，包含显码设备、扫码设备，是指具有条码展示或识读等功能，参与条码支付的商户端专用机具，包括显码设备和扫码设备。其中，显码设备是指具有条码展示功能的专用设备；扫码设备是指识读条码并且向后台系统发起支付指令的专用设备，包括但不限于带扫码装置的收银机、POS 终端、自助终端等。

条码支付的认证标准为《条码支付安全技术规范（试行）》（银办发〔2017〕 242 号）；《条码支付受理终端技术规范（试行）》（银办发〔 2017〕 242 号）；T/PCAC 0005《条码支付受理终端检测规范》。

第一批金融科技产品认证目录尚未纳入无感支付、刷脸支付等新兴领域。

此外，“声纹识别系统”是指提供声纹识别服务的服务器端系统（可包含移动终端客户端可执行文件或组件等）。“云计算平台”包括金融业各机构自建、自用、自运行的私有云和供金融业各机构共享使用的团体云。

责任编辑：方杰