金融业迎重磅新规！

登录新浪财经APP 搜索【信披】查看更多考评等级

　　来源(yuán)：中国基金报

　　中国基金报记者 含章(zhāng)

　　近日，国家
金(jīn)融监督(dū)管(guǎn)理(lǐ)总局（以下(xià)简称金融监管总局）印发《关于加强银行(xíng)业保险业移动互联网应用程(chéng)序管理的通知》（以下简称(chēng)《通知》）。

　　《通
知》从(cóng)四 方面提出(chū)18条工作要求。针(zhēn)对当(dāng)前存在的问题，金融监(jiān)管总局要求金融机构加强统筹，将移动应用(yòng)管理纳入全面(miàn)风险管理体系，有效控(kòng)制移(yí)动应用引发的风险，同 时督促(cù)金融机构进一步加强服务，改善用户体验。

　　《通知》规范对象是金融机构的移动应(yīng)用，包括对(duì)客(kè)户提(tí)供金融服(fú)务的应用，以及内部管理类应用(yòng)，也涵盖金融(róng)机构在各互联网(wǎng)平台运(yùn)营的小程序、公(gōng)众号等(děng)。

　　《通知》明确了移动应用牵头管理 部门的主要职(zhí)责。包括金融机构应当建立移(yí)动应(yīng)用台(tái)账，完善准入退出(chū)机制，统筹各业务部门及各(gè)分支机构的移动应用建设规划(huà)，合理控(kòng)制移动应用金融业迎重磅新规！数量(liàng)，对用户活跃度低、体验差、功能冗余、安全合规风险(xiǎn)隐患大的移动应用(yòng)及时进行(xíng)优化(huà)整合或终止运营。

　　《通知》对通过(guò)移动应用合规展业提出要求。要求金融机(jī)构应当(dāng)建立(lì)移(yí)动应用业(yè)务合规审核机(jī)制（含第三方合作业(yè)务），严(yán)格按(àn)照(zhào)许可证载明的业务范围和地域范围开展业务，按监管要求(qiú)开展销售过(guò)程可回溯、信息披(pī)露等工作，定期进行(xíng)业务合规检查和(hé)审计。

　　《通知》明确了“谁管业务、谁管业务数据、谁管数据安全”的原则。此外，《通知(zhī)》对外包服务中的数据(jù)安(ān)全也提(tí)出了要求。

　　来看具体内
容——

　　一(yī)、金融机构应当重视移动应(yīng)用管理工(gōng)作，将移动应用建(jiàn)设(shè)纳入(rù)数字化转型(xíng)整(zhěng)体规划，明确(què)牵头管理部(bù)门，强化统筹管理，加强(qiáng)业
务与科技协同，压(yā)实各方管理职(zhí)责，规划建 设功能(néng)全面、安全合规的移动应用。

　　二、金融机构应(yīng)当加强移动应用统筹管理，建(jiàn)立移动应用台账，完善准入退出机制，统筹各部门及(jí)各(gè)分支机(jī)构的移动应用建设规划(huà)，合理控制移动应用数量。对用户活跃度低、体验差、功能冗余、安全合规风(fēng)险隐患大的(de)移动应用及时进行优化整合或终止运营。

　　三(sān)、金融机构应当明(míng)确各移动应用的管理部门及责(zé)任人，完善内部管理机(jī)制，将合规要求落实到业务需求(qiú)、产品研发、推广和运营的各个环节。

　　四、与政府部门、企业等第(dì)三方合作建设
移动应用的，金融机构应当通过合同或者协(xié)议(yì)明确移动应用管理责任主体、约定(dìng)双方责任义务，切实履行网络安全、数据安全责任。严(yán)禁第三方通过移动(dòng)应用违规(guī)开展金融业务。

　　五、金融机构应当建立移动应用业务合规审核机制（含第三方合作业务），严格按照许可证(zhèng)载明的业务范围和地域范围开展业务，按监管要求开展销售过程可回(huí)溯、信息披(pī)露等工作，定期进行业务(wù)合规(guī)检查和审计。

　　六、金融机构开展移动应用需求管(guǎn)理 ，应(yīng)当进行同类同质业务需求整合，使移动应用(yòng)具备相(xiāng)对独立且完整的业务场景及功能，具有较高的使用(yòng)便捷度，满足适老化、未成年人保(bǎo)护等要(yào)求，不得(dé)有歧视性限制，加强移动应用及第三
方软件开发工具包(bāo)安全需求分析。

　　七、金融机构应当做好移动应用方案设计(jì)、方案评审、软件开发、代码管理和变更控制等工作，对移动应用集(jí)成的源代(dài)码或组件（含第三方组件(jiàn)）开展安全风险管理，加强
对客户认证和系(x金融业迎重磅新规！ì)统应用逻辑控制的安全性(xìng)测试，禁止在移动应用中嵌入无关
链接、失效链接、恶意
程(chéng)序(xù)等(děng)存在风险的(de)代码，并及时做(zuò)好排查清(qīng)理工作。

　　八、金融机构应当为移动应用（含第(dì)三(sān)方软件开发工具包）建(jiàn)立测试验证和上架发布制度，交付前完成缺陷和漏洞修复，与移动应用分(fēn)发平台(tái)（通过互联网提供应用程序发布、下载、动态加载等服务活动的平台，包括应用(yòng)商店、快应用中(zhōng)心、互联网小(xiǎo)程序平(píng)台、浏览器插件平台等类型）协同配合，完成资(zī)质核验、上架(jià)审核(hé)、问题整改等工作，满足网络安全(quán)、数据(jù)安(ān)全、隐私保(bǎo)护(hù)、合(hé)规展业等要求后(hòu)方可上(shàng)架发布。金融机构应当自行管控移动应用的上架发布账号(hào)。

　　九、金融机(jī)构应当对移动应(yīng)用（含第三方软件开发工(gōng)具包）的(de)运(yùn)行(xíng)状态进行实时监控，加强账号权(quán)限管理，做(zuò)好老旧版本的更新、维护(hù)和下线。金融 机构终止移动应用运营的(de)，应当协同移动应用分(fēn)发平台做好风险评估、数据迁移、隐私(sī)保(bǎo)护(hù)、用户告知(zhī)等下架管(guǎn)理工(gōng)作。金融机构应当加强对仿(fǎng)冒移动
应用的监测排(pái)查，发(fā)现仿冒移动应用，应(yīng)当尽(jǐn)快采取公开澄清等处置措(cuò)施，并及时向金融监管总局或其派出(chū)机构报告。

　　十、金融机构(gòu)应(yīng)当加强(qiáng)移动(dòng)应用(yòng)与运行环境(jìng)的兼容性、适配性管理，密切跟踪
智(zhì)能终端主(zhǔ)要操(cāo)作系统(tǒng)版本升级信息，关注移动应用分发平台的软 件版本(běn)升级公告，提前开(kāi)展移动应用（含第三方软(ruǎn)件开(kāi)发工具(jù)包）兼容(róng)性测试。开展移动应(yīng)用适(shì)配性改造，应当制定改造方(fāng)案和应急预案，强化安(ān)全管理。

　　十一(yī)、金融(róng)机构应当按(àn)照网信、工信部门要求，开展(zhǎn)互联网信(xìn)息服务和(hé)移动互(hù)联网应用程序备案工作。确定为重要信息系统（支撑(chēng)重要业务，其信息安全和服务
质量关系公民、法人和其他(tā)组织的权益(yì)，或关系(xì)社(shè)会秩序、公共利益乃至国家安全(quán)的信息系(xì)统，包括面向(xiàng)客户、涉及账务处理且实时性要求较高的业务(wù)处理类、渠道类和涉及客户风(fēng)险管理等业务的管理类信息系统）的移动应(yīng)用，应当按(àn)照重要信息系统投(tóu)产变(biàn)更相关要(yào)求，向金融监管总局或(huò)其(qí)派出机构(gòu)报告。   

　　十二
、金融(róng)机构应当加(jiā)强移动应用(yòng)网络安全管理，严格落实国 家
网络安全等级保护制度，定期对移动应用进行安全加固，采取加密方式进行数据传输，监测(cè)识别异常流(liú)量、恶意程序、攻击入侵、安全漏洞、非法(fǎ)逆向分 析 破解、代码篡改及重打包等风险，发现问题及时处置(zhì)。金融机构应当对移动应用注册用户进行(xíng)有效身份核验(yàn)。

　　十三、金融机构应(yīng)当按照“谁管业务(wù)、谁管
业务数据、谁管数据安(ān)全”的原则，明确移动应用数据安全管理责任(rèn)。结合(hé)移动应用特点强化数据安(ān)全措施(shī)，有效防范数据泄露、篡(cuàn)改和勒索攻击等风险。

　　十四、金融机构委托外包(bāo)服务提供商建设维护移动应用的，应当(dāng)严格落实信(xìn)息科技外包风险监管要求，开展移动应用外(wài)包准入、监(jiān)控评价和风险管理，按照“必需(xū)知道”和“最(zuì)小授权”原则严格控制外包服务提供(gōng)商
数据访问权限，督促其加强数据安全管理，防范数据泄露。

　　十五、金融机构应当加强移动应用业务连续性管理和突发事件应急管理，结合移动(dòng)应用特(tè)点开展业务影响分析(xī)，建立应急处置机制，制定应急预案，定期开展(zhǎn)演练，及时向金融监管总局或其(qí)派
出机构报告重大突发事(shì)件。

　　十六、金(jīn)融机构应当严格落实(shí)国家法律法(fǎ)规和监管要求，建立移动应用个人信息保护制
度，规(guī)范个人信息管理(lǐ)，遵循“合法(fǎ)、正当、必要”原则收集个人信息，向用户告知收集个(gè)人信息的(de)目(mù)的、使用和保护个人信息的方式，公布投(tóu)诉渠道信息，及时处理信息泄露和隐(yǐn)私合规相关问题，保障消费者权益。   

　　十七、金融机构应当将移动应用风险纳入全面(miàn)风险管理，识别违规展业、侵害消费者权(quán)益等业务风险及网络安全漏洞(dòng)等科技风险(xiǎn)，健全风(fēng)险防控措施(shī)，每年(nián)至少开展一次移动应用(yòng)风险评(píng)估，每三年(nián)至少开展一次审计，发生(shēng)重大移(yí)动应用风险事件时，应立即(jí)开(kāi)展专项审计。

　　十八、各级派出机构应 当压实辖内金融机构移(yí)动(dòng)应用管理(lǐ)主体责任，督促辖内金融机构落实信息科技监(jiān)管制度要(yào)求(qiú)，加强(qiáng)移动应用监测预警，定期(qī)开展渗(shèn)透测试 。在非现场监管和现(xiàn)场(chǎng)检查(chá)中对移动应用相关风险加强关注，加大风险漏洞通报力度，及时督促整改。加强对金融机构移动应用(yòng)违法违规问题处罚问责(zé金融业迎重磅新规！)力度，对于因(yīn)管理不当导致重大风险事(shì)件、存在严重风险隐患、风险排查流于(yú)形(xíng)式、问题整改不力(lì)等情形严(yán)肃问(wèn)责。

责任编辑：杨红卜

未经允许不得转载：橘子百科-橘子都知道 金融业迎重磅新规！