金融业迎重磅新规！

登录新浪财经APP 搜索【信披】查看更多(duō)考评等级

　　来源：中国基金报

　　中国基金报记者 含章

　　近(jìn)日
，国(guó)家金融监督管理总局（以下简称金(jīn)融监管总局）印发《关(guān)于加(jiā)强银(yín)行业保险业移动互联(lián)网应用程序(xù)管(guǎn)理的通知》（以下简称《通知》）。

　　《通知》从四方面提出18条(tiáo)工作要求。针对当(dāng)前存在(zài)的问(wèn)题，金融监管总局要求(qiú)金融机(jī)构加(jiā)强统筹，将移动应用管理纳入全面风(fēng)险(xiǎn)管理体系(xì)，有(yǒu)效(xiào)控制移动应用引发的风险，同时督促金(jīn)融机构进一(yī)步加强(qiáng)服务，改善用户体验。

　　《通知》规范对(duì)象是金融机构的 移动应用(yòng)，包括对客户提供金融服务(wù)的应用，以及内部管理类应用，也涵盖金(jīn)融机构在各互联网(wǎng)平台运营的小程(ch金融业迎重磅新规！éng)序、公(gōng)众号等。

　　《通知》明确了移动应用(yòng)牵头管(guǎn)理部门的主要职责。包括金融机(jī)构应当建立(lì)移动应用台账(zhàng)，完(wán)善准(zhǔn)入退出(chū)机制，统筹各业务(wù)部(bù)门及各分支机构的移动应用建设规划，合理控制(zhì)移动应用数(shù)量，对用户活跃度低、体(tǐ)验差、功(gōng)能冗余、安全合规风险隐患大的 移动应用(yòng)及时进行优化整合或终止运营(yíng)。

　　《通知》对通过移动应(yīng)用合规展业提出要求。要求金(jīn)融(róng)机构(gòu)应当建立(lì)移动应用业务(wù)合规审核机制（含第三方(fāng)合(hé)作业(yè)务），严格按照许可证(zhèng)载(zài)明的业(yè)务范围和地域范围开展业务，按监管(guǎn)要求开展销(xiāo)售过程可回溯、信息披露等工(gōng)作，定期(qī)进行业务合(hé)规检查和审计。

　　《通知》明确(què)了(le)“谁管(guǎn)业(yè)务、谁管业务数据、谁管数据安全”的原则。此(cǐ)外，《通知》对外包(bāo)服务中的数(shù)据安全也提出了要(yào)求。

　　来看具体内容——

　　一、金融机构(gòu)应当重视(shì)移动应用管理工作，将移动(dòng)应用建设纳入数字化转型整体规划，明确牵头管理部门，强化统筹管理，加强业务与科技(jì)协同，压实(shí)各方管理职责，规划建设功能全面、安全(quán)合规的(de)移动应用(yòng)。

　　二(èr)、金融机构应当加强移动(dòng)应用统筹管理，建立移(yí)动应用台账，完善准入(rù)退出机(jī)制，统筹各部门及各分支
机构的(de)移动应金融业迎重磅新规！用建设规划，合理控(kòng)制(zhì)移动应用数量。对用户活跃度低、体验差、功能冗余、安全合规风险隐患大的移动应用及时进行(xíng)优化整合或终止(zhǐ)运营(yíng)。

　　三、金融机构应(yīng)当明(míng)确各移动应用的管理部(bù)门及责任人，完善内部管理机(jī)制，将(jiāng)合规要求落实到业务需求、产品 研发、推广(guǎng)和运营的各个(gè)环(huán)节(jié)。

　　四、与政府部门、企业等第三方合作建设移动应用的，金融机构应(yīng)当通(tōng)过合同或(huò)者协议明确 移动 应用管(guǎn)理(lǐ)责任(rèn)主体、约定双方责任义务，切实履行网络安全、数据安全责任。严禁(jìn)第三方通过(guò)移动应用违规开展金(jīn)融业务。

　　五、金融机构应当建立移动应用(yòng)业务合规审核机(jī)制（含第三方合(hé)作业务(wù)），严格按照许可证载明的业(yè)务范围和地域范围开展业务，按监管(guǎn)要求开展(zhǎn)销售过程可回溯、信息披露等工作，定期进行(xíng)业务合规(guī)检查和审计。

　　六、金融机构开展(zhǎn)移动应用需求(qiú)管理，应当进行(xíng)同类同质业务需求整合，使移动应用(yòng)具备相对独
立且完整的(de)业(yè)务场景及功能(néng)，具有较高(gāo)的使(shǐ)用便捷度，满足适老化、未成年(nián)人保护等要求，不得有歧视(shì)性限(xiàn)制，加(jiā)强移动(dòng)应用及第三方(fāng)软件开发工具包安全需求分析。

　　七、金融机构应当做(zuò)好(hǎo)移动应用(yòng)方案设计、方案评(píng)审(shěn)、软件开 发、代码管理和变更控制等工作，对移动应用集成的源代码或组件（含第(dì)三方(fāng)组件）开展安全风险管理，加强对客户认证和系统应用(yòng)逻辑(jí)控制的(de)安全性测(cè)试，禁止在移动应用中嵌(qiàn)入无关链接、失效链接、恶(è)意程序等存在(zài)风险的代码，并及时做好排(pái)查清理工作。

　　八、金融(róng)机构应当为移动应用（含第三方软件开发工具(jù)包）建立(lì)测试验证和上架发布(bù)制度(dù)，交付前完成(chéng)缺陷和(hé)漏洞修复，与移(yí)动应用分发平(píng)台（通过互联网(wǎng)提供应用(yòng)程序发布、下载、动态加载(zài)等服务活动(dòng)的平台，包括应用商店、快(kuài)应用中心、互联网小程序平(píng)台、浏览器插件平台等类型）协(xié)同配合，完成资质核(hé)验、上架审核(hé)、问题(tí)整改等工(gōng)作
，满足网络安全
、数据安全、隐私保护、合(hé)规展业等要求后方可上架发布。金融机构应当自行管控移动应用的上架发布账号。

　　九(jiǔ)、金融机构应当对(duì)移(yí)动应用（含第三方软件开发工(gōng)具包）的运行状态进行实时(shí)监控，加强账号(hào)权限管理，做好老旧版本的更新、维护和下线。金融机构终止移动应用运营的，应当协同移动应用(yòng)分发平(píng)台做好风险评估(gū)、数据迁移、隐私保护、用户告知等下架管理工作。金融(róng)机构应(yīng)当
加(jiā)强(qiáng)对仿冒移动应用的监测排查(chá)，发现仿冒移动应用，应当(dāng)尽快采取公开澄清等(děng)处置措施，并及时向金融监管总局或其派出机构报告。

　　十、金融机构应当加(jiā)强移动应用(yòng)与运行环境的兼容性、适(shì)配性管理，密切
跟踪(zōng)智能终端主(zhǔ)要操(cāo)作系统版本升级信息(xī)，关注移动应用分发(fā)平台(tái)的软件版本升级公(gōng)告，提前开(kāi)展移动应用（含第三方软件开发工具(jù)包）兼容性测试。开(kāi)展移动应用适(shì)配性改造，应当(dāng)制(zhì)定改造方(fāng)案和(hé)应急预案
，强化安全管理。

　　十一、金融机构(gòu)应当按照网信、工信 部门要求，开展(zhǎn)互(hù)联网信息服务和移动互联网应用程序备案工作(zuò)。确定为重要(yào)信息系统（支撑重要(yào)业务，其(qí)信息(xī)安(ān)全和(hé)服务质量关系公民、法人和其他组织的权益，或关系社会秩序 、公共利益乃至国家安全的信息系统，包括(kuò)面(miàn)向客户、涉及账务处理(lǐ)且实时性要求较高的业务处理类、渠(qú)道(dào)类和涉及客户风险管理等业务的管理(lǐ)类信息系统）的移动应用，应当按照重要信息系统投产变更相关要(yào)求，向金
融监管总局或其(qí)派出机构报告。   

　　十二、金融
机构应当加强移动应用网络安全管(guǎn)理(lǐ)，严格落实国家(jiā)网络安全等级保护制度，定(dìng)期对移动应用进行安全加固，采取加密方(fāng)式进行数据传输，监测识别异常流量、恶(è)意(yì)程(chéng)序(xù)、攻击入侵、安全漏洞(dòng)、非法逆向分析破解、代(dài)码篡改(gǎi)及重(zhòng)打包等风险，发现问题及时处置。金(jīn)融机构应当对移动应用(yòng)注册用户进行有效身份核验。

　　十三、金融机构应(yīng)当按照“谁管业务、谁管业务(wù)数据、谁管数据安全”的原则，明确(què)移动应用数据安全管理责任。结合移动应用特(tè)点强化(huà)数据安全措施，有效防范数据泄露、篡(cuàn)改和(hé)勒索攻击等风险。

　　十四、金融机构委托外包服务提供商(shāng)建(jiàn)设维护移动应用的，应当严格落实信息科技外包风险(xiǎn)监管要求，开(kāi)展移动应用外
包准入(rù)、监控评价和风险管理，按(àn)照“必需知道”和 “最小授权”原则严(yán)格控(kòng)制(zhì)外包服务提供商数据(jù)访(fǎng)问权限，督促(cù)其加(jiā)强数据安全管理，防范数据泄露。

　　十五、金融机构应(yīng)当(dāng)加强移动应用业务连续(xù)性管理和突(tū)发(fā)事件应急管理，结合移动应(yīng)用(yòng)特(tè)点开展业务影响分(fēn)析，建立应
急处置机制，制定应(yīng)急预案，定期开展演练，及时向金融监(jiān)管总局或(huò)其派出机构报告重大突发 事件。

　　十(shí)六(liù)、金(jīn)融机构应当严(yán)格落实
国家法律法(fǎ)规(guī)和监管要求，建立移动应用个人信息保护制(zhì)度，规范个人信息管理(lǐ)，遵循(xún)“合法、正当、必要”原则收集个人信息，向用户告知收集(jí)个人信息的目的、使用和
保护个人信息的方式，公布投(tóu)诉(sù)渠道信(xìn)息，及时处理信息泄(xiè)露(lù)和隐私合规相关(guān)问题，保(bǎo)障消费者权益。   

　　十七(qī)、金(jīn)融机构应(yīng)当将移动应用(yòng)风险纳入全(quán)面风险管理，识别违规展(zhǎn)业、侵害消费者权益等业(yè)务风险及网(wǎng)络安全漏洞等科技风险，健全(quán)风险防控措施，每年至少开展一次(cì)移动应用风险评估，每三年至少开展一次审计(jì)，发生(shēng)重大移动应用(yòng)风险事件时，应立即开展 专项审计。

　　十(shí)八、各(gè)级(jí)派(pài)出机(jī)构应当压实辖内金融(róng)机构移动应用管理主体责任，督促辖(xiá)内金融机构落实信息科技 监管制(zhì)度要求，加强移动应(yīng)用监测(cè)预警(jǐng)，定期开展渗(shèn)透测试。在(zài)非现场监管和现场检查中对移动应用(yòng)相 关风(fēng)险加强(qiáng)关注，加大风(fēng)险漏洞通报力度
，及时督促整(zhěng)改。加强对金融机构移动应用(yòng)违法违规问题处(chù)罚问责力度，对(duì)于因管理不当导致重大风险事件、存在严重风险隐患、风险排查流于形式、问题(tí)整(zhěng)改不(bù)力等情形严肃问责(zé)。

责任编辑：杨红卜

未经允许不得转载：北京APP开发_微信小程序制作_公众号开发_新思络软件定制公司 金融业迎重磅新规！