金融业迎重磅新规！

登录新浪(làng)财经APP 搜索【信披】查看更多考评等级

　　来源：中国基金报

　　中国基金报(bào)记者 含章(zhāng)

　　近日，国家金融(róng)监督管理总局（以下简称(chēng)金融监管总局）印 发《关于加强银行业保险业移动互联网应用(yòng)程(chéng)序管理的通知》（以下(xià)简称《通知(zhī)》）。

　　《通知》从四方面提出18条工作要求。针对当前存在的问题，金融(róng)监管总局(jú)要求金融机构(gòu)加 强统筹(chóu)，将移动应用管理纳(nà)入全面(miàn)风险管理体系，有效控制移动应用引发的风(fēng)险，同时督促金融机构(gòu)进一步加强服务，改(gǎi)善用户体验。

　　《通知(zhī)》规范对象是金融机构(gòu)的移动应(yīng)用，包括对客户提供金融服务的(de)应用，以及内(nèi)部管理类应用，也涵盖金融(róng)机构在各(gè)互(hù)联网平台运营的小程序、公众号等。

　　《通知》明确了
移动应用(yòng)牵头管(guǎn)理部门的主要职责。包(bāo)括金(jīn)融机构应当建立移动应用台账 ，完善准入退出机制(zhì)，统筹各业务部门及各分支机(jī)构的移(yí)动应用建设规划，合(hé)理控制移动应用数量，对用户活跃度(dù)低(dī)、体验差、功能冗 余、安全合规风险隐患大的移动(dòng)应用及时进行优化整合(hé)或终止(zhǐ)运营(yíng)。

　　《通知》对通过移动应(yīng)用合规展业(yè)提出要求(qiú)。要求金融机构应(yīng)当建立移动应用业务(wù)合规审核机制（含第三方合作业务），严格按照(zhào)许可证载明的业务范围和地域范围(wéi)开展业务(wù)，按监管要(yào)求开展销售过程可回溯、信息披露等工(gōng)作，定期(qī)进(jìn)行业务(wù)合规检查和审计。

　　《通(tōng)知》明确了“谁管业务(wù)、谁管业务数(shù)据、谁管数据安(ān)全”的原则。此外(wài)，《通知(zhī)》对外包(bāo)服务中的数据安全也提(tí)出了要求。

　　来看具体(tǐ)内容——

　　一、金融机(jī)构应当重视移动(dòng)应用管理工作，将移动(dòng)应用建设纳入数字化转型整体规划，明
确牵头管理部门(mén)，强化统筹管(guǎn)理，加强业务
与科技
协(xié)同，压实各方管理职责，规划建设功能全面(miàn)、安全合(hé)规的移动应用。

　　二、金融机构应当加强移(yí)动应用统筹管理，建立(lì)移动应用(yòng)台账，完善准入退出(chū)机制，统筹各部门及各分支机构的移动应用建设规划，合理控制移动应用数量。对用户活跃度低、体验差、功能(néng)冗余、安全合规风险隐患大的移动应用及时进行优化整合或终止运(yùn)营。

　　三、金(jīn)融机构应当明确各移(yí)动应用(yòng)的管理部门及责任人，完善内部管理机制，将合规要求落实到业(yè)务需(xū)求、产(chǎn)品研发、推广和运营的各(gè)个环(huán)节。

　　四 、与(yǔ)政府部门、企业等第三方合作建设移动应用的，金(jīn)融机构应(yīng)当通过合同或者协议明确(què)移动应用管理责任主体、约定双方责(zé)任义务，切实履行网络安全、数据安全责任。严禁第三方通过移(yí)动应用违规开展(zhǎn)金(jīn)融业(yè)务。

　　五、金融机构(gòu)应当建立移动应用(yòng)业务合规审(shěn)核机制（含第三方合作业务），严格按照许(xǔ)可(kě)证载明的业务范(fàn)围(wéi)和地域(yù)范围开展业务，按监管要求开展销售(shòu)过程可回溯、信息披(pī)露等工作，定(dìng)期进行业务合规检查和审计。

　　六、金融机构开展移动应用需求管理，应当进行(xíng)同类同质业务(wù)需求整合，使移动应用(yòng)具备相对独(dú)立且完整的业务场景及(jí)功能，具有较高的(de)使用便捷度，满足适 老化、未成年(nián)人(rén)保护等要求，不得有歧视性限制，加强移
动应用及第三(sān)方软件开发工具包(bāo)安全需求分析。

　　七、金融机构应当做好移动(dòng)应用方案设计、方案评(píng)审、软件开发、代码管理和变更(gèng)控制等(děng)工作，对移动应用(yòng)集成的源(yuán)代码(mǎ)或组件（含第(dì)三方组件）开展安全风险管理，加强对客户认证和系统应用逻辑(jí)控制的安全性测试，禁止在移动
应用中嵌入无关链接、失效链接、恶意程序等存在风(fēng)险的(de)代码，并及时做好排查清理工作。

　　八(bā)、金(jīn)融机构应当为移动应用（含第三方软件开发工(gōng)具包）建立测试验证和上架发(fā)布制(zhì)度，交(jiāo)付前完成缺陷和(hé)漏洞(dòng)修复，与移动应用分发平台（通过互联网(wǎng)提供应用程序发布、下载、动态加载等服务活动的平
台 ，包括应用商店(diàn)、快应(yīng)用中心、互联网(wǎng)小程序
平台、浏览器插件平台等类型）协同配合，完成资(zī)质(zhì)核验、上架审核、问题整(zhěng)改等工作，满足网络安全、数据(jù)安全、隐私(sī)保护、合规展业等要求后方可上架发布。金融机构应当自(zì)行(xíng)管控(kòng)移动应用的上架发布账(zhàng)号。

　　九(jiǔ)、金融机构应当对移动应用（含 第三方软件开发(fā)工具(jù)包）的运(yùn)行(xíng)状态进行实时监控，加强账号权限管理，做好老(lǎo)旧版本的更(gèng)新、维(wéi)护和下线。金(jīn)融(róng)机构终止移动应(yīng)用运营的，应当协同移动应
用分发平(píng)台做(zuò)好风险评估(gū)、数据(jù)迁移、隐私保护(hù)、用户告金融业迎重磅新规！知等(děng)下架管理工作。金融机构应当加强对仿冒移动应用的监测排查，发现仿冒移动应用，应当
尽快采取公(gōng)开澄清等处置措
施，并及时向(xiàng)金(jīn)融监管总局或其派出机构(gòu)报告(gào)。

　　十、金 融机构应(yīng)当加强移动应用与运行环境的兼容性(xìng)、适配性管理，密切跟踪智能终端主要操作系统版本升 级信息，关注移动应用分发平台的软件版本升(shēng)级(jí)公告(gào)，提前开展移动应用（含第三方(fāng)软件开发工具包）兼容性(xìng)测试。开展移(yí)动应用适配性改造，应当制定改造(zào)方案和应急预案，强化安(ān)全管理。

　　十一、金融机构应当按(àn)照网信、工信部门要求，开展互联 网信息服
务和移动(dòng)互联网应用程序备案工作。确定为重要信息系统（支撑重要业务，其信(xìn)息(xī)安全和服(fú)务质量关(guān)系公民、法人和其(qí)他(tā)组(zǔ)织的权益，或关系社会秩序、公共利益乃至国(guó)家安全的信息 系统，包括面
向客户、涉及账务处理且实(shí)时(shí)性要求较高 的(de)业务处理类(lèi)、渠道类和涉及客户(hù)风险管理(lǐ)等业务的管理类信(xìn)息(xī)系统）的移(yí)动应(yīng)用(yòng)，应当按照重要信息系统(tǒng)投产(chǎn)变更相关(guān)要求，向金融监管(guǎn)总局或其派出机构报告。   

　　金融业迎重磅新规！十二、金融机(jī)构应当加
强(qiáng)移动应用网 络安全管理，严
格落实国家网络安全等级保护(hù)制(zhì)度，定(dìng)期对(duì)移动应用进行安全加固，采取加密(mì)方(fāng)式(shì)进行(xíng)数据传输，监测识别异(yì)常流量、恶意程序、攻击入侵、安
全漏洞、非(fēi)法逆向分(fēn)析破解、代码篡改及重打包等风险(xiǎn)，发现问题及时处置。金融机构应当对移动应用注册(cè)用户进行有效身(shēn)份核(hé)验。

　　十三、金融机构应当按照“谁管业务(wù)、谁管业务数据(jù)、谁(shuí)管数据安全”的原则，明确移动(dòng)应用数据安全管理责任(rèn)。结合移动(dòng)应用特点强化(huà)数据安全(quán)措(cuò)施，有(yǒu)效防范数据泄露、篡改和勒(lēi)索攻击等风险。

　　十四(sì)、金融机构委托外包服务提供商建设维护移动应用的，应当严(yán)格落实信息科技外包风(fēng)险(xiǎn)监管要求，开展(zhǎn)移(yí)动应用外包准入、监控评价和风(fēng)险管理，按照“必需知道”和“最(zuì)小授权”原则(zé)严格控制外包服务提供商数据访问权(quán)限，督促(cù)其(qí)加(jiā)强数据安全管理，防(fáng)范数据泄露。

　　十五(wǔ)、金融机构应当 加强移动应用业务连续性管理和突发事件(jiàn)应急管理，结合(hé)移动应(yīng)用(yòng)特点(diǎn)开展业务
影响分析，建立(lì)应急处置机制，制定应急预案，定期开展演练，及时向金融监管总局(jú)或其派出(chū)机构(gòu)报告重大突发事(shì)件。

　　十六、金融机构应当严(yán)格落实国家法律法规和监(jiān)管要求，建立移动应用个人信息保(bǎo)护制度，规范个人信息管理，遵循(xún)“合法(fǎ)、正当、必要”原(yuán)则收集个人信息，向用户告知收集(jí)个人信息(xī)的目的、使用和保护(hù)个人信息的方式，公布投诉渠道信息，及时处(chù)理信(xìn)息泄露和隐私合规(guī)相关问题，保障消费者权益。   

　　十七、金融机构应当将移动(dòng)应用风险纳入全面风 险管理，识别违规展业、侵(qīn)害消费者权益等业务风险及网络安全漏洞(dòng)等科技风险，健全风险防控措施，每年至少(shǎo)开展一次(cì)移动应用风险评估，每三年至少开展一次审计(jì)，发生重(zhòng)大移(yí)动应用风险事件时(shí)，应立即开展专项审计。

　　十八、各级派出机构应(yīng)当压实辖内金融(róng)机构移动应用管理主体责任，督促辖内金融机构(gòu)落(luò)实信息科技监管制度要求，加强移动应用(yòng)监测(cè)预警，定期开展渗(shèn)透(tòu)测试 。在非现场监管和现场检查中对移动应(yīng)用相关(guān)风险加强关(guān)注，加大风险漏洞通报力度，及时督促(cù)整改(gǎi)。加强对金融机构移动应用违法违规问(wèn)题处罚问责力度(dù)，对于因管理不当导(dǎo)致重大(dà)风险事件、存(cún)在严重风险(xiǎn)隐患、风险排查流于形式、问题整改不力等(děng)情形严肃问责。

责任(rèn)编辑：杨红卜

未经允许不得转载：橘子百科-橘子都知道 金融业迎重磅新规！