證券時報
胡可
2024-09-22 22:30
【導讀】金融監(jiān)管總局印發(fā)《關于加強銀行業(yè)保險業(yè)移動互聯(lián)網(wǎng)應用程序管理的通知》
中國基金報記者 含章
近日,國家金融監(jiān)督管理總局(以下簡稱金融監(jiān)管總局)印發(fā)《關于加強銀行業(yè)保險業(yè)移動互聯(lián)網(wǎng)應用程序管理的通知》(以下簡稱《通知》)。
《通知》從四方面提出18條工作要求。針對當前存在的問題,金融監(jiān)管總局要求金融機構加強統(tǒng)籌,將移動應用管理納入全面風險管理體系,有效控制移動應用引發(fā)的風險,同時督促金融機構進一步加強服務,改善用戶體驗。
《通知》規(guī)范對象是金融機構的移動應用,包括對客戶提供金融服務的應用,以及內部管理類應用,也涵蓋金融機構在各互聯(lián)網(wǎng)平臺運營的小程序、公眾號等。
《通知》明確了移動應用牽頭管理部門的主要職責。包括金融機構應當建立移動應用臺賬,完善準入退出機制,統(tǒng)籌各業(yè)務部門及各分支機構的移動應用建設規(guī)劃,合理控制移動應用數(shù)量,對用戶活躍度低、體驗差、功能冗余、安全合規(guī)風險隱患大的移動應用及時進行優(yōu)化整合或終止運營。
《通知》對通過移動應用合規(guī)展業(yè)提出要求。要求金融機構應當建立移動應用業(yè)務合規(guī)審核機制(含第三方合作業(yè)務),嚴格按照許可證載明的業(yè)務范圍和地域范圍開展業(yè)務,按監(jiān)管要求開展銷售過程可回溯、信息披露等工作,定期進行業(yè)務合規(guī)檢查和審計。
《通知》明確了“誰管業(yè)務、誰管業(yè)務數(shù)據(jù)、誰管數(shù)據(jù)安全”的原則。此外,《通知》對外包服務中的數(shù)據(jù)安全也提出了要求。
來看具體內容——
一、金融機構應當重視移動應用管理工作,將移動應用建設納入數(shù)字化轉型整體規(guī)劃,明確牽頭管理部門,強化統(tǒng)籌管理,加強業(yè)務與科技協(xié)同,壓實各方管理職責,規(guī)劃建設功能全面、安全合規(guī)的移動應用。
二、金融機構應當加強移動應用統(tǒng)籌管理,建立移動應用臺賬,完善準入退出機制,統(tǒng)籌各部門及各分支機構的移動應用建設規(guī)劃,合理控制移動應用數(shù)量。對用戶活躍度低、體驗差、功能冗余、安全合規(guī)風險隱患大的移動應用及時進行優(yōu)化整合或終止運營。
三、金融機構應當明確各移動應用的管理部門及責任人,完善內部管理機制,將合規(guī)要求落實到業(yè)務需求、產(chǎn)品研發(fā)、推廣和運營的各個環(huán)節(jié)。
四、與政府部門、企業(yè)等第三方合作建設移動應用的,金融機構應當通過合同或者協(xié)議明確移動應用管理責任主體、約定雙方責任義務,切實履行網(wǎng)絡安全、數(shù)據(jù)安全責任。嚴禁第三方通過移動應用違規(guī)開展金融業(yè)務。
五、金融機構應當建立移動應用業(yè)務合規(guī)審核機制(含第三方合作業(yè)務),嚴格按照許可證載明的業(yè)務范圍和地域范圍開展業(yè)務,按監(jiān)管要求開展銷售過程可回溯、信息披露等工作,定期進行業(yè)務合規(guī)檢查和審計。
六、金融機構開展移動應用需求管理,應當進行同類同質業(yè)務需求整合,使移動應用具備相對獨立且完整的業(yè)務場景及功能,具有較高的使用便捷度,滿足適老化、未成年人保護等要求,不得有歧視性限制,加強移動應用及第三方軟件開發(fā)工具包安全需求分析。
七、金融機構應當做好移動應用方案設計、方案評審、軟件開發(fā)、代碼管理和變更控制等工作,對移動應用集成的源代碼或組件(含第三方組件)開展安全風險管理,加強對客戶認證和系統(tǒng)應用邏輯控制的安全性測試,禁止在移動應用中嵌入無關鏈接、失效鏈接、惡意程序等存在風險的代碼,并及時做好排查清理工作。
八、金融機構應當為移動應用(含第三方軟件開發(fā)工具包)建立測試驗證和上架發(fā)布制度,交付前完成缺陷和漏洞修復,與移動應用分發(fā)平臺(通過互聯(lián)網(wǎng)提供應用程序發(fā)布、下載、動態(tài)加載等服務活動的平臺,包括應用商店、快應用中心、互聯(lián)網(wǎng)小程序平臺、瀏覽器插件平臺等類型)協(xié)同配合,完成資質核驗、上架審核、問題整改等工作,滿足網(wǎng)絡安全、數(shù)據(jù)安全、隱私保護、合規(guī)展業(yè)等要求后方可上架發(fā)布。金融機構應當自行管控移動應用的上架發(fā)布賬號。
九、金融機構應當對移動應用(含第三方軟件開發(fā)工具包)的運行狀態(tài)進行實時監(jiān)控,加強賬號權限管理,做好老舊版本的更新、維護和下線。金融機構終止移動應用運營的,應當協(xié)同移動應用分發(fā)平臺做好風險評估、數(shù)據(jù)遷移、隱私保護、用戶告知等下架管理工作。金融機構應當加強對仿冒移動應用的監(jiān)測排查,發(fā)現(xiàn)仿冒移動應用,應當盡快采取公開澄清等處置措施,并及時向金融監(jiān)管總局或其派出機構報告。
十、金融機構應當加強移動應用與運行環(huán)境的兼容性、適配性管理,密切跟蹤智能終端主要操作系統(tǒng)版本升級信息,關注移動應用分發(fā)平臺的軟件版本升級公告,提前開展移動應用(含第三方軟件開發(fā)工具包)兼容性測試。開展移動應用適配性改造,應當制定改造方案和應急預案,強化安全管理。
十一、金融機構應當按照網(wǎng)信、工信部門要求,開展互聯(lián)網(wǎng)信息服務和移動互聯(lián)網(wǎng)應用程序備案工作。確定為重要信息系統(tǒng)(支撐重要業(yè)務,其信息安全和服務質量關系公民、法人和其他組織的權益,或關系社會秩序、公共利益乃至國家安全的信息系統(tǒng),包括面向客戶、涉及賬務處理且實時性要求較高的業(yè)務處理類、渠道類和涉及客戶風險管理等業(yè)務的管理類信息系統(tǒng))的移動應用,應當按照重要信息系統(tǒng)投產(chǎn)變更相關要求,向金融監(jiān)管總局或其派出機構報告。
十二、金融機構應當加強移動應用網(wǎng)絡安全管理,嚴格落實國家網(wǎng)絡安全等級保護制度,定期對移動應用進行安全加固,采取加密方式進行數(shù)據(jù)傳輸,監(jiān)測識別異常流量、惡意程序、攻擊入侵、安全漏洞、非法逆向分析破解、代碼篡改及重打包等風險,發(fā)現(xiàn)問題及時處置。金融機構應當對移動應用注冊用戶進行有效身份核驗。
十三、金融機構應當按照“誰管業(yè)務、誰管業(yè)務數(shù)據(jù)、誰管數(shù)據(jù)安全”的原則,明確移動應用數(shù)據(jù)安全管理責任。結合移動應用特點強化數(shù)據(jù)安全措施,有效防范數(shù)據(jù)泄露、篡改和勒索攻擊等風險。
十四、金融機構委托外包服務提供商建設維護移動應用的,應當嚴格落實信息科技外包風險監(jiān)管要求,開展移動應用外包準入、監(jiān)控評價和風險管理,按照“必需知道”和“最小授權”原則嚴格控制外包服務提供商數(shù)據(jù)訪問權限,督促其加強數(shù)據(jù)安全管理,防范數(shù)據(jù)泄露。
十五、金融機構應當加強移動應用業(yè)務連續(xù)性管理和突發(fā)事件應急管理,結合移動應用特點開展業(yè)務影響分析,建立應急處置機制,制定應急預案,定期開展演練,及時向金融監(jiān)管總局或其派出機構報告重大突發(fā)事件。
十六、金融機構應當嚴格落實國家法律法規(guī)和監(jiān)管要求,建立移動應用個人信息保護制度,規(guī)范個人信息管理,遵循“合法、正當、必要”原則收集個人信息,向用戶告知收集個人信息的目的、使用和保護個人信息的方式,公布投訴渠道信息,及時處理信息泄露和隱私合規(guī)相關問題,保障消費者權益。
十七、金融機構應當將移動應用風險納入全面風險管理,識別違規(guī)展業(yè)、侵害消費者權益等業(yè)務風險及網(wǎng)絡安全漏洞等科技風險,健全風險防控措施,每年至少開展一次移動應用風險評估,每三年至少開展一次審計,發(fā)生重大移動應用風險事件時,應立即開展專項審計。
十八、各級派出機構應當壓實轄內金融機構移動應用管理主體責任,督促轄內金融機構落實信息科技監(jiān)管制度要求,加強移動應用監(jiān)測預警,定期開展?jié)B透測試。在非現(xiàn)場監(jiān)管和現(xiàn)場檢查中對移動應用相關風險加強關注,加大風險漏洞通報力度,及時督促整改。加強對金融機構移動應用違法違規(guī)問題處罰問責力度,對于因管理不當導致重大風險事件、存在嚴重風險隱患、風險排查流于形式、問題整改不力等情形嚴肅問責。
編輯:喬伊
審核:木魚
