金 融业迎重磅新规！

登录新浪(làng)财(cái)经APP 搜索【信披(pī)】查看更多考评等级

　　来源：中国基(jī)金报

　　中国基(jī)金报记者 含章

　　近日，国家金融监(jiān)督管理总局(jú)（以下简称金融监管总(zǒng)局）印发《关于(yú)加强(qiáng)银行业保险业移动互联网(wǎng)应用程(chéng)序管理的通知》（以下(xià)简称《通知》）。

　　《通知》从四方面提出18条工作要(yào)求。针对当前存在的问题，金融监管总
局要求金融机(jī)构加强统筹，将移动应(yīng)用管理纳入全面风险管 理体系，有效控制移动应(yīng)用引发(fā)的风(fēng)险，同时督促金融机构进一步加(jiā)强(qiáng)服务，改(gǎi)善用户(hù)体验。

　　《通知》规范对象是金融机构(gòu)的移动应用，包(bāo)括对客户提供金融服务
的应用，以及内部(bù)管理(lǐ)类应用(yòng)，也涵盖金融机构在各互联网平台运营的(de)小程序、公众号等。

　　《通(tōng)知》明确(què)了移动应用牵(qiān)头管理部门的主要(yào)职责。包括金融机构应当建立移动应用台(tái)账，完(wán)善准入退出机制(zhì)，统筹各业务部(bù)门及(jí)各分(fēn)支机构的(de)移动应用建设(shè)规划，合理控制移动应用数量，对用户(hù)活跃度低(dī)、体验差、功(gōng)能冗(rǒng)余、安全合规风险隐患大(dà)的移动应用(yòng)及时进行优化整合或终止运营。

　　《通知》对通过(guò)移动应用合规展业提出要求。要求金融机构应当建立(lì)移动应用业务合规审核(hé)机制(zhì)（含第(dì)三方合作业务），严格按(àn)照许可证载明的业务范围和地域范围开展业务，按监管要(yào)求(qiú)开展销售过程可回(huí)溯、信息披(pī)露等工(gōng)作，定期进行业务(wù)合规检查和审计。

　　《通知》明确了“谁管业务(wù)、谁管业务(wù)数据、谁管数(shù)据安全”的原则(zé)。此外，《通知》对外包服务中的数据安全也(yě)提出(chū)了(le)要求。

　　来看具体内容(róng)——

　　一、金融机构应当(dāng)重视移动(dòng)应用管理工作，将移动应用建设纳(nà)入数字(zì)化转(zhuǎn)型整体规划，明确牵头管理部门，强(qiáng)化统筹管 理，加强业务与科技协同，压实各方管理职责(zé)，规划建设功能(néng)全面、安(ān)全合规(guī)的(de)移动应用。

　　二、金融机构应当(dāng)加强移(yí)动应用统(tǒng)筹管(guǎn)理金融业迎重磅新规！，建立(lì)移(yí)动应用台账，完善准(zhǔn)入退出机制，统筹各部门及各(gè)分支机构(gòu)的移动应用建设规划，合理(lǐ)控制移动(dòng)应(yīng)用数量。对(duì)用户活(huó)跃度低(dī)、体验差、功能冗余、安全合规(guī)风险隐患(huàn)大的移动应用及时进行优化整合或终(zhōng)止运营。

　　三、金融机构应当明确各移动应(yīng)用的管理(lǐ)部门及责任人，完善内部
管理机制，将合规要求落实到业务(wù)需求、产品研发、推广和运营(yíng)的各(gè)个环节。

　　四、与政府部门、企业等(děng)第三 方合作(zuò)建设(shè)移动应用(yòng)的，金(jīn)融机构(gòu)应(yīng)当通过合同(tóng)或者协议明确移(yí)动应用管理责任主体、约(yuē)定双(shuāng)方责任义务，切实履行网(wǎng)络安(ān)全(quán)、数据安全责任。严禁第三方通过移动应用违规开展(zhǎn)金融业务。

　　五、金融机构应当(dāng)建立移动应用业务合规审核机制（含第三(sān)方合作业务(wù)），严格(gé)按照许可证载明的业务范围和地域范围开展业务，按监管要(yào)求(qiú)开展销售过程可回溯、信息披(pī)露等工(gōng)作，定期进行(xíng)业务合规检(jiǎn)查和审计。

　　六、金融机构开展移动应用需(xū)求管
理(lǐ)，应当进行同类同质业务需求整合，使移(yí)动应用具备相对(duì)独立且完整的业务场景(jǐng)及功能，具有较高(gāo)的(de)使用便捷度，满足适老化、未(wèi)成年人保护等要求，不得有歧视性限(xiàn)制，加强移(yí)动应用及第三方软件开发工具包安全需求分析(xī)。

　　七(qī)、金(jīn)融机构应当做(zuò)好移动应用(yòng)方(fāng)案设计、方案评审、软件开发、代码管理和变更控制(zhì)等工作，对移动应用集成(chéng)的源代(dài)码或组件（含第三方(fāng)组件）开展安全风险管理(lǐ)，加强对客户认证和(hé)系统应用逻(luó)辑控制的(de)安全(quán)性(xìng)测试，禁(jìn)止在移(yí)动应(yīng)用中嵌入无关链接、失效链接、恶(è)意程序等存在风险的代码，并及时做(zuò)好排查清理工
作。

　　八、金融(róng)机构应当为(wèi)移动应用（含第三方软
件开发工具(jù)包）建(jiàn)立测试(shì)验证和上架发布制度，交付前完成缺(quē)陷和(hé)漏洞修复，与移动应用分发平台（通过互(hù)联网提供(gōng)应用程序发(fā)布(bù)、下载、动(dòng)态加 载等服务活动的平台，包括应用商店、快应用中心、互联网(wǎng)小程序平台、浏(liú)览(lǎn)器插件平台等类(lèi)型）协同配合，完成资质核验、上架审核、问题整改等工作(zuò)，满足网络安全、数据安全、隐私保护、合规(guī)展业等(děng)要(yào)求后方可上架发布。金融(róng)机构应当自行管控移动应用的上架发布账(zhàng)号。

　　九、金融机构应当对移动应(yīng)用（含第(dì)三方软件开发工具包）的运行状(zhuàng)态进行实时监(jiān)控，加强账号权限管(guǎn)理，做好老旧(jiù)版(bǎn)本的更新、维护和下线。金融(róng)机构终止移动应用运营的，应当协(xié)同移动应用分发平台做好(hǎo)风险评估、数据迁移(yí)、隐私保护(hù)、用户告(gào)知等下架管(guǎn)理(lǐ)工作。金(jīn)融机构(gòu)应当加强(qiáng)对仿冒移动应用的监测(cè)排查，发现(xiàn)仿冒移(yí)动应用，应当尽(jǐn)快采取公(gōng)开澄(chéng)清等(děng)处置措施，并
及时(shí)向金融监管总局或其派出机构报告。

　　十、金融(róng)机构
应当加强移动应用与运行环(huán)境的兼容性(xìng)、适配(pèi)性管理，密切跟踪(zōng)智能(néng)终端主要操作(zuò)系统版本升级信息，关注移(yí)动应用分发平台的软 件版本升级公告，提前开展移动应用（含第三方软件开 发工具包）兼容性测试。开展移动(dòng)应用适(shì)配性改造，应当制定改造方案(àn)和应急预案(àn)，强化安全管理(lǐ)。

　　十一、金融机(jī)构(gòu)应
当(dāng)按照网(wǎng)信、工(gōng)信部门要求，开展(zhǎn)互联网信息服务和移动(dòng)互联网应用程序备案工作。确(què)定为重要信息系统(tǒng)（支撑重要业务(wù)，其信息安全和服务质量关系公民、法人和其他组织的权益，或关系社会(huì)秩序、公共利益 乃至国家安全(quán)的信息系统，包括面向客户、涉及(jí)账务处理且(qiě)实时性要求较高的业务处理(lǐ)类(lèi)、渠道类和涉及客户风险(xiǎn)管理等业务的管理类信(xìn)息系统）的移动应用，应当按照重要(yào)信(xìn)息系统投(tóu)产变更相关要求，向金融监管总局或其派(pài)出机构(gòu)报告。   

　　十(shí)二、金融机构(gòu)应当加强(qiáng)移动应(yīng)用网络安全管理，严格落(luò)实(shí)国家网络安全(quán)等级(jí)保护制度，定(dìng)期(qī)对移动应用进行安全加固，采取加密方式进行数据传输，监测识别异常(cháng)流量、恶意程序(xù)、攻击
入(rù)侵、安全漏洞、非法逆向分析破解、代码篡改及重打包等风险，发现问题及时处置。金融机构应(yīng)当对移动应(yīng)用注册用户进行(xíng)有(yǒu)效身份核验(yàn)。

　　十三(sān)、金融机构应当按照“谁管业务(wù)、谁管业务数(shù)据、谁管数据安(ān)全”的原则，明确移动应用(yòng)数据安全管(guǎn)理(lǐ)责任。结合移动应用特点(diǎn)强化数据安全
措施，有效防范数据泄露、篡改(gǎi)和勒索攻击等(děng)风险(xiǎn)。

　　十四、金融机构委托外包服务提供商建设维护(hù)移动应用(yòng)的，应当严格落实信息科技外包风险监管要求，开展移动应用(yòng)外包准入、监
控评价和风险管理
，按照“必需(xū)知道”和“最小授权”原则严格控
制外包服(fú)务提供商数据访问权限，督(dū)促其加强数据安全管理，防(fáng)范数据泄露。

　　十五、金融机构应(yīng)当(dāng)加强移动应(yīng)用业务连续性(xìng)管理和突发事件(jiàn)应急管理，结合移动应用
特点开(kāi)展业务影响(xiǎng)分(fēn)析，建立应急处置机制，制定应急预案，定期开展演练，及时 向金融监管总局或(huò)其派出机(jī)构报告重大突发事件。

　　十六、金融机构应当(dāng)严格落(luò)实 国家法律(lǜ)法规和监管要求，建(jiàn)立移(yí)动应用个人信息保护制度，规(guī)范个人信息管
理，遵循“合法、正当、必要(yào)”原则收(shōu)集个人信(xìn)息，向(xiàng)用户告知收集个人信息的目的、使用和保护个人信息(xī)的方式，公布投诉渠道信息(xī)，及时处理信息泄(xiè)露和(hé)隐私合规相(xiāng)关问题，保(bǎo)障消费者权益。   

　　十七、金融机构应当将移动应用风险纳入全面风险管理，识别违规展(zhǎn)业、侵害消费者权(quán)益等
业务风险及网络安全(quán)漏洞(dòng)等科技风险，健全(quán)风险防控措施，每年至(zhì)少开展一次移(yí)动(dòng)应用(yòng)风险(xiǎn)评估，每三年至少开展一次审计，发生(shēng)重大移动应用风险事件时，应立即(jí)开展专项审计(jì)。

　　十(shí)八、各级派出机(jī)构应当压实辖(xiá)内(nèi)金(jīn)融机构移动应用管理主体责任，督促辖内金(jīn)融机构落实信息科技监(jiān)管制度要求，加强移动应用监测(cè)预警，定期开展渗透测试。在非现场监管和现场检查中对移动应用相关风险(xiǎn)加(jiā)强关注，加大风险漏洞通报力度，及时督促整改。加强对(duì)金(jīn)融机构移动应用违法违规问题处罚问责力度，对(duì)于因管(guǎn)理不当(dāng)导致重大风(fēng)险事件、存在严(yán)重风险隐(yǐn)患、风险排查流于形式、问题整改不力等情形严肃问责。

责任编(biān)辑：杨红卜

未经允许不得转载：橘子百科-橘子都知道 金融业迎重磅新规！