金融业迎重磅新规！

登录(lù)新浪财经APP 搜索【信披】查看更多(duō)考评等(děng)级

　　来源(yuán)：中国
基金报

　　中(zhōng)国基金报记者 含(hán)章

　　近日，国家金融监督管(guǎn)理总局（以(yǐ)下简称金融监管总(zǒng)局）印金融业迎重磅新规！发《关于加强银行业保险业移动(dòng)互联网应用程序(xù)管理的通知》（以下简
称《通知》）。

　　《通知》从四方面提出18条工作要求。针对(duì)当前存在的问题，金融监管总局要求(qiú)金融机(jī)构加强统筹
，将移动应用(yòng)管理纳入全(quán)面风险管理体系，有效(xiào)控制(zhì)移(yí)动应用引发
的风险，同时督促金融机构进一步加强服务，改善用户体验。

　　《通知》规范对象是金融机构的(de)移动应用(yòng)，包括对客户提供金融(róng)服务的应(yīng)用，以及内部(bù)管(guǎn)理类应用，也涵(hán)盖金融(róng)机构在(zài)各互 联网平台(tái)运营的小程序、公众号等。

　　《通知》明确了移动应 用牵头管理部门的主要职责。包括金融机构应当建立移动应用台账(zhàng)，完善准入退(tuì)出机制，统筹各(gè)业务部(bù)门及各分支机构的移动应用建设规划，合理控制移动应用
数量(liàng)，对用户活(huó)跃度低、体验差、功能冗余、安全合规风(fēng)险隐患大的移动应用及时进行优化整合或终止运营。

　　《通知》对通(tōng)过移动应用合规展业提出要求。要求金融机构应当
建(jiàn)立移动应金融业迎重磅新规！用业务合规审核机制（含第三方合作业务），严格按照
许可证载明的业务范围和(hé)地域范围开(kāi)展业务，按监管要求开展销售过程可回(huí)溯、信(xìn)息披露等工作，定期进行业务合(hé)规(guī)检(jiǎn)查和审计。

　　《通知》明(míng)确了 “谁管业务、谁管业务数据、谁管数据安全”的 原则
。此外，《通知》对外包服
务中的
数据安全(quán)也提出了要求。

　　来看具体内容——

　　一、金(jīn)融机构应(yīng)当重视移动应用管理工作，将(jiāng)移动应用建设(shè)纳入数字化转型整体规划，明确牵头管理部(bù)门(mén)，强化统筹管理，加强业务与科技协同，压实各方管理职责，规划建设功能全(quán)面、安全合(hé)规的移动应用。

　　二、金融(róng)机构应当加强(qiáng)移动应用(yòng)统(tǒng)筹管理，建立移动应用台账，完善准入退出机(jī)制，统筹各部门及各分支机(jī)构(gòu)的移(yí)动应用建(jiàn)设规划，合理(lǐ)控制移动应用数量。对用(yòng)户活跃度低、体验差、功能冗余、安全合规风险隐患大的移动应用及时进行优(yōu)化整合或终止(zhǐ)运营。

　　三、金融机构应当明确各移动应用的管理部门及责任人，完(wán)善内部管理 机制，将合规要求落实到业务需求、产品研发、推广和运营的各个环节。

　　四、与政府部门、企业等第(dì)三方合作建设移动应
用的，金融机构应当通过合同或者协(xié)议明确移动(dòng)应用管理责任主体、约定双方责(zé)任义务，切(qiè)实履行网络安全、数据安全责任。严禁第三(sān)方通过移动应用违规开展金融业务。

　　五、金融机构应当建立移动应(yīng)用业务合规(guī)审核机制（含第三方合作业务），严格按(àn)照许可证载明的业务范(fàn)围和地域范围开(kāi)展业(yè)务，按监管要求开展销(xiāo)售过程可回(huí)溯、信息披露 等工作 ，定期进行业务合(hé)规检查和审
计。

　　六、金融机构(gòu)开展移动应用需求(qiú)管理，应当(dāng)进行同类同质业务需求整合，使移动应用具备相对独立且完整(zhěng)的业务(wù)场景及功能，具有较高的使用(yòng)便捷度，满(mǎn)足(zú)适老化、未成年人保护等(děng)要求，不得有歧视性限制，加强(qiáng)移动应(yīng)用及第三方(fāng)软件开发工具包安全需求分(fēn)析(xī)。

　　七、金融机构应当做好移动应(yīng)用(yòng)方案设计、方案评(píng)审 、软件开发、代码管理(lǐ)和变更控制等工作，对移(yí)动应用(yòng)集成(chéng)的源代码或组件（含第三方组件）开展安全风险(xiǎn)管理，加强对客(kè)户认证和系统应用逻辑控(kòng)制的安全性(xìng)测试，禁止在移动应用中嵌入无关链接、失(shī)效链接、恶意程(chéng)序(xù)等存在风险的代码，并及时做好排查清理(lǐ)工作(zuò)。

　　八、金融机构应当为(wèi)移动应用（含第(dì)三方软件开发工具包）建立测(cè)试验证和上架发布制(zhì)度，交(jiāo)付前完(wán)成(chéng)缺陷(xiàn)和漏洞修复，与移动应用分(fēn)发平台（通(tōng)过互联网提供应用程(chéng)序发布、下载、动态加载等服务活(huó)动的平台，包括应用商店、快应用中心、互联网小程序平(píng)台(tái)、浏览器插件平台等类(lèi)型）协同配合，完(wán)成资质核验、上架审核、问题整改等工作，满(mǎn)足网络安全、数据安全、隐私保护、合规(guī)展业等要求后方可上架发布。金融机构应当自行管控(kòng)移动应用(yòng)的上(shàng)架(jià)发布账号。

　　九、金(jīn)融机构应当对移动应用（含(hán)第三方软件开(kāi)发工具(jù)包）的(de)运行(xíng)状态进行实时监控，加强账号权限管理，做好老旧版本的更(gèng)新、维护和下(xià)线。金融机构终止(zhǐ)移(yí)动应用运(yùn)营的，应当协同移动应用分(fēn)发平台做好风险评估、数据迁(qiān)移、隐私保护、用户告知等下架管(guǎn)理工作。金融机构应当加(jiā)强对仿冒移动应(yīng)用的监测排查，发现仿冒移动应用，应当尽快(kuài)采取(qǔ)公(gōng)开澄清等处置措施，并及(jí)时向金融监(jiān)管总局或其
派出机构报告。

　　十、金融机构应(yīng)当加强移动(dòng)应用与(yǔ)运行环境的兼容性、适配性管理，密切跟踪智(zhì)能终端主(zhǔ)要操作系统版本升级信息，关(guān)注移动应用分发平台的软件(jiàn)版本升级公告，提前 开展移动应用(yòng)（含第三方软件开发工具包(bāo)）兼(jiān)容性测试。开展(zhǎn)移动(dòng)应用适配性改造，应当制定(dìng)改造方案和应急预案，强化安全管理。

　　十一(yī)、金融机构应当按照网信、工信部(bù)门要求，开展互联(lián)网信息服务(wù)和移动互联网(wǎng)应用程序备(bèi)案工作。确定为重(zhòng)要信息系统（支撑重(zhòng)要(yào)业务，其(qí)信息安全和服务质量关系(xì)公民、法人和其他组织的权益，或 关系社会秩(zhì)序、公共(gòng)利益乃至国 家安全的信息系统，包括面向客户(hù)、涉及账务处理且(qiě)实时性要求较高的(de)业务处理类、渠道类(lèi)和涉及客户风险管理等业(yè)务的管(guǎn)理类(lèi)信息系统）的移动(dòng)应用(yòng)，应当按照重要信息系统投(tóu)产(chǎn)变更相关要求，向(xiàng)金融监管总局或其派出机构报告。   

　　十二、金融机构应当加强移(yí)动应用网络安全管理(lǐ)，严格落实国(guó)家网络安全等(děng)级保护制度，定期(qī)对移动应(yīng)用进行安全加固 ，采取(qǔ)加密(mì)方式进(jìn)行数据传输，监测 识别异常(cháng)流量、恶意(yì)程序
、攻击入侵、安全漏洞、非法逆向分析破解、代码篡(cuàn)改及重打包等风险
，发(fā)现问题及(jí)时处置。金融机构应当对移动(dòng)应用注(zhù)册用户进行有效身份核验。

　　十三、金融机构应当按照“谁管业务、谁管(guǎn)业务数据、谁管数据安全”的原则，明确移动应用数据安(ān)全(quán)管理责任。结合移动应用特点强化数据(jù)安全措(cuò)施，有效防范数据泄露、篡(cuàn)改和(hé)勒(lēi)索攻(gōng)击等风险。

　　十四、金(jīn)融机构委托外包服务提供商建(jiàn)设维护移动应用的，应当严格(gé)落实信息科技外包风险(xiǎn)监管
要求(qiú)，开展(zhǎn)移动应用外包准入、监控评价和风险管理，按照“必需知道”和(hé)“最小授权(quán)”原则严格控制外包服务提供商数(shù)据访问权限，督促其加强数据安全管理，防范数据泄露。

　　十五(wǔ)、金(jīn)融机构应当加强(qiáng)移动应用业务连续性管理和突发事(shì)件(jiàn)应急(jí)管 理(lǐ)，结合移动应用(yòng)特点(diǎn)开(kāi)展(zhǎn)业务影响分析，建立应急(jí)处置机制，制(zhì)定应急预案，定期开展演练，及时向(xiàng)金融监管总局或其派(pài)出机构报告重大突发事件。

　　十六、金融机构应当严格落实国家法(fǎ)律法规和监管要求，建(jiàn)立移动应用个人信息保护制度，规范个人信息管理，遵循“合法、正当、必要”原则(zé)收集个人信息(xī)，向(xiàng)用户告(gào)知收集个人信息的目的(de)、使用和保护个人信息的方式(shì)，公布投诉渠道信息，及(jí)时处理信息泄露和(hé)隐私合规(guī)相(xiāng)关问题，保障消费者权益。   

　　十七、金(jīn)融机(jī)构应当将移动应用风险纳入全面风险管理，识别违规展业、侵害消费(fèi)者权益等业务风 险及网络安全漏洞等科(kē)技风险(xiǎn)，健全风险防(fáng)控措施(shī)，每年(nián)至少开展一次移动(dòng)应用风险(xiǎn)评估，每(měi)三年至少开展一次审(shěn)计，发生重大移动应用风(fēng)险(xiǎn)事 件(jiàn)时，应立即开展专项(xiàng)审计(jì)。

　　十八、各(gè)级派出(chū)机构应当压(yā)实辖内
金融机构移动应用管(guǎn)理主体(tǐ)责任，督(dū)促辖内金融机构落实(shí)信息科技监管制度要求(qiú)，加强(qiáng)移动应用监测预警，定期开展渗透
测试。在非(fēi)现场监(jiān)管和现场检查中对移动应用相关风险加强(qiáng)关注(zhù)，加大风险漏洞通报力度，及时(shí)督促整改。加强对金融机构移动应(yīng)用违法违规问题
处罚问(wèn)责力(lì)度，对于因(yīn)管理不当导致重大风(fēng)险事件、存在(zài)严重风险隐患、风险(xiǎn)排查流于形式、问(wèn)题整改不力等情形严肃问责(zé)。

责
任编辑：杨红(hóng)卜

未经允许不得转载：橘子百科-橘子都知道 金融业迎重磅新规！