金融业迎 重磅新
规！

登录新浪财经APP 搜索【信(xìn)披】查(chá)看更多考评等级

　　来源(yuán)：中国(guó)基金报

　　中国(guó)基金报(bào)记者 含章

　　近日，国家金融监督管理总 局（以下简称(chēng)金融监(jiān)管总局）印发《关(guān)于加强银行业(yè)保险业移动互(hù)联网应用程(chéng)序(xù)管理的通知(zhī)》（以(yǐ)下简称《通知》）。

　　《通知》从四(sì)方面提出(chū)18条工作要求。针对(duì)当前存在的问(wèn)题，金融监管总局要(yào)求金融机构加强统筹，将移动应用管理纳入(rù)全面风险(xiǎn)管理体系，有效控制 移(yí)动应用引发(fā)的风险，同时督促金融机构进一步加强服务，改善用(yòng)户体验(yàn)。

　　《通知》规范对象是(shì)金(jīn)融机构的移动应用，包括(kuò)对客户提(tí)供金融服务的应用，以及内部管理类应用(yòng)，也涵盖(gài)金融机构在各互联网平
台运营的(de)小程序、公众号(hào)等。

　　《通知》明确了移动应用牵头管(guǎn)理部门的主要职责。包括金(jīn)融机构应当 建立移动应用台账，完善准入退出机制，统筹(chóu)各业务部门及各分(fēn)支机构的移动应用建设(shè)规划，合理控制移动(dòng)应用数量，对用户活跃度低、体验差、功能冗余、安全合规风险(xiǎn)隐患大的移动应用(yòng)及时进行优化整合(hé)或终止(zhǐ)运营。

　　《通知
》对通过移动应用合规展(zhǎn)业提出要(yào)求 。要求(qiú)金融机构应当建立(lì)移动应用业务合(hé)规审核(hé)机制（含第三(sān)方合作业(yè)务），严格按照许可证载明的业务范围和地域范围
开(kāi)展业务，按(àn)监管要求开展销售过程可回溯、信息披露等(děng)工作，定期进行业务合规金融业迎重磅新规！检查和审计。

　　《通知》明确了“谁管业(yè)务(wù)、谁管业务数据、谁管数据安全”的原则。此外，《通知》对外包服务中的数据安全也提出了要求。

　　来看具体内容——

　　一、金融机构应当重视移(yí)动应用管理工作，将(jiāng)移动应用建设纳入数字化(huà)转型整(zhěng)体(tǐ)规划，明确牵头管理部门，强化(huà)统筹管理，加强(qiáng)业务与科技(jì)协同，压实各(gè)方管理职责，规划建设功能(néng)全面、安
全合规的移动应用。

　　二、金融机构应当加强移(yí)动应用统筹管理，建立移动(dòng)应用台账，完善准入(rù)退出机制，统筹各部(bù)门及各分
支机构的移动(dòng)应用建(jiàn)设(shè)规划
，合理控制移动应(yīng)用数量。对用户活跃(yuè)度(dù)低(dī)、体验差、功能(néng)冗余、安全合规风险隐患(huàn)大的移动应用及时进行优化整合或终止运营。

　　三、金融机构应当明(míng)确(què)各移动应用的管理部门及责(zé)任人(rén)，完善内部管理机(jī)制，将合(hé)规要求落实到业(yè)务(wù)需求、产品研发、推(tuī)广和运营的各个环节(jié)。

　　四(sì)、与政(zhèng)府部门、企业等(děng)第(dì)三方 合作建设(shè)移(yí)动应用的(de)，金融机构应当通过合(hé)同或者(zhě)协(xié)议明确移动(dòng)应用管理责任主体、约定双方责任义务，切实履行网络安全、数据安全责任(rèn)。严禁第三方通过移动应用违规开展金融业务。

　　五、金融机构应当建立移(yí)动应用(yòng)业务合规审核机制（含 第三方合作业
务(wù)），严格按(àn)照许可证载明的业务范围和地域(yù)范围开展(zhǎn)业(yè)务，按监(jiān)管要求开展销售过程可回溯、信息(xī)披露等工作，定期进(jìn)行业务(wù)合规检查和(hé)审计。

　　六、金融机构开展移动应(yīng)用需求管理，应当进行同类同(tóng)质业务需求整合，使移动应用具备相(xiāng)对独立且完整的业务(wù)场景及功能(néng)，具有(yǒu)较高的使用便捷度，满足适老化、未成年人保护等要求，不得有歧视性限制，加强移动
应用及第三方软件开发工具包安全需求分析。

　　七、金融机构应当做好移动(dòng)应用方案设(shè)计、方案评审、软件开发、代码管理和变更控制等工作，对移动应用(yòng)集成的源代码或组件（含第三
方组件）开展安全风险管理，加强(qiáng)对客户认证和(hé)系统应(yīng)用逻辑控制的安全性测试，禁止在移(yí)动应用中嵌入无关链接、失效链接、恶意程序(xù)等存在风险的代码，并及时做好排查清理工作。

　　八、金融机构应当为移动应用(yòng)（含第三方软件(jiàn)开发工具(jù)包）建立测试验证(zhèng)和上架发(fā)布制度，交付前完成缺陷和漏洞修复，与(yǔ)移(yí)动应用分发平台（通过互联网提供应用程序(xù)发布、下载、动态加载等服(fú)务活动的平(píng)台(tái)，包括(kuò)应用商店、快应用中心、互联网小(xiǎo)程序(xù)平(píng)台、浏览器插件平(píng)台等类(lèi)型）协同配合，完(wán)成资质
核验、上架审核、问题整改等工作(zuò)，满足网络安全、数据安全、隐私保护、合规展
业等(děng)要求后方可上(shàng)架发布。金融机构应(yīng)当自行管控移动应用(yòng)的上架发布账号。

　　九、金融机构应当对移动应用（含第(dì)三方软件开发工具包）的(de)运行状态进 行实时监控，加(jiā)强账号权限管理，做(zuò)好老旧版本(běn)的
更(gèng)新、维(wéi)护和下线。金融机构(gòu)终止移动应用运营的(de)，应当(dāng)协同移动应用分发平台做好风险评估、数据迁移、隐私保护、用户告知等下架(jià)管理工作。金融机构应当加强(qiáng)对仿冒移(yí)动应用的监测排查，发现(xiàn)仿冒(mào)移动应用，应当尽(jǐn)快采取公开澄(chéng)清等处置措施，并及时向金融监管总局或其派出机构报告。

　　十、金融机构应当加强移动应(yīng)用
与运行(xíng)环境(jìng)的兼容性、适配性管理，密切跟踪智能终端主要操作系统版本升级信(xìn)息，关注移动应用分发平台的(de)软件版本(běn)升(shēng)级(jí)公告，提前开展移动应用（含第三方软件开(kāi)发工具包）兼容性测试。开展移动应用(yòng)适配性改造，应当制定改(gǎi)造方案和应急预案，强化安(ān)全管(guǎn)理。

　　十一、金融机构应当(dāng)按照网信、工信部门要求，开展互联网信息服务和(hé)移动互联网应用程序备案工作。确定为重(zhòng)要信息系统（支撑重要业务，其信息安全和服务质量关系公民、法人和其他组织的权益，或关系社会秩序、公共利益乃至国家安全 的信息系统，包括面向客户、涉及账务
处(chù)理且实时性要(yào)求较(jiào)高(gāo)的业务处理类、渠道类和涉(shè)及客户风(fēng)险管理等业务的管理类信息(xī)系统）的移动(dòng)应用(yòng)，应当(dāng)按照重(zhòng)要信 息系统(tǒng)投产变(biàn)更相关要求，向金融(róng)监管总局(jú)或其派出机构报告。   

　　十 二、金融机构应当加强移动(dòng)应(yīng)用网络安全管理，严格落实国家网络安全等级保护制度，定期对移动应用进行安全加固，采取加密方(fāng)式进行(xíng)数据传输，监测识(shí)别异常流(liú)量、恶意(yì)程序、攻(gōng)击入侵、安全漏(lòu)洞、非法(fǎ)逆向分析破解、代码篡改及重打包等风(fēng)险，发现问题及时处置。金融机构应当对移(yí)动应用注册用户进行有效身份核验(yàn)。

　　十三、金融机构应当按照“谁管(guǎn)业务、谁管业(yè)务数据、谁管数据安全”的原则，明确移动应用数据安(ān)全管理责(zé)任。结合移动应用特点强化数据安(ān)全措施(shī)，有效防范数
据泄露、篡改和勒索(suǒ)攻击等(děng)风险。

　　十四、金融机构委托外包服(fú)务提供商建设维护移(yí)动应用(yòng)的，应当严格落实(shí)信息科(kē)技外(wài)包
风险监管(guǎn)要求(qiú)，开展移动应用外包准入、监控(kòng)评价和风险(xiǎn)管理，按照“必需知道”和(hé)“最小授权”原(yuán)则严格控(kòng)制(zhì)外包(bāo)服务提供商数据访问权限，督促其加强(qiáng)数据安全(quán)管理，防范数据泄(xiè)露 。

　　十(shí)五、金融机构应当加强移动(dòng)应用业务连(lián)续性管理和突发事件应急管理，结合(hé)移
动应用特点开(kāi)展业务(wù)影响分析，建立(lì)应急处(chù)置机制，制定应急预案(àn)，定期(qī)开展(zhǎn)演(yǎn)练，及时向 金融监管(guǎn)总局(jú)或其派(pài)出
机构(gòu)报告(gào)重大(dà)突发(fā)事件。

　　十六(liù)、金融机构应(yīng)当严格落实国家法律(lǜ)法 规和监管要求，建立移动应用个人信息(xī)保护(hù)制度，规范个人(rén)信息(xī)管理，遵循“合法、正当、必要”原则收集(jí)个人信息，向用户告知收集个人信息的(de)目的(de)、使用(yòng)和保护个人信息的方式，公布投诉渠道信
息，及时处理信息泄露和隐私合规(guī)相关问题，保障消(xiāo)费者权(quán)益。   

　　十(shí)七、金融机构应当将移(yí)动应用风险纳入全面风险管理，识别违规(guī)展业、侵害消费者(zhě)权益等业(yè)务风险及网络(luò)安全漏洞等科技风险，健全风险防控(kòng)措施，每年至少开展一次移动应(yīng)用(yòng)风险评(píng)估，每三年(nián)至少开(kāi)展一(yī)次审计，发生重大(dà)移动应(yīng)用风险事件(jiàn)时，应立即开(kāi)展(zhǎn)专项审计。

　　十八、各级(jí)派出机构应当(dāng)压实辖内金融机构移动应用管(guǎn)理主体责任(rèn)，督促辖
内金(jīn)融(róng)机(jī)构落实信息科技(jì)监管制度要求，加强移动应用监测预警，定期开展渗透测试。在非(fēi)现场监管和(hé)现场检查中对移动应用相关风险加强(qiáng)关注，加大风险漏洞通报力度，及时(shí)督促整改(gǎi)。加(jiā)强对金融机构移(yí)动应用违法违规问题处罚(fá)问责力度(dù)，对于因管理不当导(dǎo)致重大风险事件、存在严重(zhòng)风(fēng)险隐患、风(fēng)险(xiǎn)排查流于形式、问题整改不力(lì)等情形严肃(sù)问责。

责(zé)任编辑：杨
红卜

未经允许不得转载：橘子百科-橘子都知道 金融业迎重磅新规！