金融业迎重磅新规！

登录新浪财经APP 搜索【信 披】查看(kàn)更多考评等级

　　来源：中国
基金报

　　中国基金报记者 含章

　　近日，国家金(jīn)融(róng)监督管(guǎn)理总局(jú)（以下简称金融监管总局）印发《关(guān)于加(jiā)强银行(xíng)业保险业(yè)移动(dòng)互联网应用程序管理的通知》（以下简称《通知》）。

　　《通知》从四方面提出18条(tiáo)工作要(yào)求。针对当前存在的问题，金融监管总局要(yào)求金融(róng)机构加强统筹，将移动(dòng)应用管理纳入全面风险管理体系，有(yǒu)效控制移动应用引发的风(fēng)险，同时督促金融机构进(jìn)一步加强服务，改(gǎi)善用户体验。

　　《通
知》规范(fàn)对象是金(jīn)融机构的(de)移动应用，包括对客户提供(gōng)金融服务的应用，以及(jí)内部管理类应用(yòng)，也涵盖金融(róng)机构在各互联网平台运营的小程序、公众号等。

　　《通知》明确了移动应用(yòng)牵头(tóu)管理部门的主要职(zhí)责。包括金(jīn)融机构应当建立(lì)移动(dòng)应 用台账，完善准入退出机制，统筹各业务部门及各分支机构的移动应用建(jiàn)设(shè)规划(huà)，合理(lǐ)控制移动应(yīng)用数量，对用户活跃度低、体验差、功能冗余、安全合(hé)规风险隐(yǐn)患大的移动应用及时进行优化整合或(huò)终止运营(yíng)。

　　《通知(zhī)》对通过移动应(yīng)用合规展业提出(chū)要求。要求金(jīn)融机构应
当建立移动应用业务(wù)合规审(shěn)核机制（含第三方合作业务），严(yán)格按照许可(kě)证载明的业务范围和地域范围开展业务，按监管要求开展销(xiāo)售(shòu)过程可回溯、信息(xī)披露等工作(zuò)，定期(qī)进行业务合规检查(chá)和审计。

　　《通知》明确了“谁管业(yè)务、谁管业务数据、谁管数据安全”的原(yuán)则。此外，《通知(zhī)》对外包服务(wù)中的数据安全也(yě)提(tí)出了(le)要求。

　　来看具体内容——

　　一、金融机构应当重视(shì)移动应(yīng)用管理工(gōng)作，将移(yí)动(dòng)应用建设(shè)纳入数字化(huà)转型整体规划(huà)，明确牵头管理部门，强化统筹管(guǎn)理，加强业务与科技(jì)协同(tóng)，压实各方管理职(zhí)责，规划建设功(gōng)能全面、安全合规的移动(dòng)应用
。

　　二、金融机构应当加强移动应用统筹管(guǎn)理，建(jiàn)立移动应用(yòng)台(tái)账，完善准入退出机制(zhì)，统筹(chóu)各部门及各分支机构的移动应用建设规划，合理控制移动应用数量。对用户(hù)活(huó)跃(yuè)度低、体验差 、功(gōng)能冗余(yú)、安全合规风险隐患大(dà)的移动应用(yòng)及时进行优化整合或终止运营。

　　三、金融机构应当(dāng)明确(què)各移动应用的 管理部门及责任人，完(wán)善内部管(guǎn)理机制，将合(hé)规要求落实到业务需求、产品(pǐn)研发、推广和运营的各个环节。

　　四、与政府部门、企业等第三(sān)方合(hé)作建设移动应用的(de)，金融 机构应当通(tōng)过合同(tóng)或者协(xié)议明确(què)移动应用管理(lǐ)责任主体、约定双方责 任义(yì)务(wù)，切实履行(xíng)网 络安全、数据安全责任。严禁第三方通过移动应用违规开展(zhǎn)金融业务(wù)。

　　五、金融机构应当建立移动应用业务合规审核机制（含第(dì)三方(fāng)合作业务），严(yán)格按照许(xǔ)可证载明的业务范围和地域范围开展业务，按监管要求开展(zhǎn)销
售过程可回溯(sù)、信息披(pī)露(lù)等工作，定期进行业务合规检查和审计
。

　　六(liù)、金融机构开展移动应用需求管理，应当进行同类同质业务需求整合，使移动应用(yòng)具备相对独立且完整(zhěng)的业务场景及(jí)功能，具有较高的使用便捷(jié)度，满足适老化、未成年人保护等(děng)要求，不(bù)得有歧视性限制，加强(qiáng)移动应用及第三方软(ruǎn)件开发工具(jù)包安全需求分析。

　　七、金融机构应当做好移动(dòng)应用方
案(àn)设计、方(fāng)案评审、软 件开(kāi)发(fā)、代码管理和变(biàn)更控制等工作，对(duì)移动应用(yòng)集(jí)成的(de)源代码(mǎ)或组件（含第三方组件）开展安全(quán)风险管理，加强对客户认证和系统应用逻辑控制的安全性测试，禁止(zhǐ)在移动应用中嵌入无关(guān)链(liàn)接(jiē)、失效链接、恶意程序等存在风(fēng)险的代(dài)码(mǎ)，并及时做好排查清理(lǐ)工(gōng)作。

　　八、金(jīn)融机构应(yīng)当为移动应用（含第三方(fāng)软件开发工具包）建立测试验证和上架发布制度，交付前(qián)完成缺(quē)陷和(hé)漏洞修复，与移(yí)动(dòng)应用分(fēn)发平台（通过互联(lián)网(wǎng)提供应用程(chéng)序发(fā)布、下载、动态加载(zài)等服(fú)务活(huó)动的平台，包括应用商店、快应用中心、互联网(wǎng)小程序平台、浏(liú)览器插件平(píng)台等类型）协同配合，完成资质核验、上架审核(hé)、问题整改等(děng)工作，满足网络(luò)安(ān)全、数据安全、隐私保护、合规展业等(děng)要求后方可上架发布。金融机构应当自行管 控移动应用的上架 发布账(zhàng)号。

　　九、金融机构应当对移动应用（含第三(sān)方软件开发工具包）的运行状(zhuàng)态进行实时监控，加(jiā)强(qiáng)账(zhàng)号权限管理，做好(hǎo)老旧版本的更新、维护和下线。金(jīn)融机构终止移动(dòng)应用运营的，应(yīng)当协同移动应用分发平(píng)台做(zuò)好风险评估、数据迁移、隐私保护、用户告知等(děng)下(xià)架管理工作(zuò)。金融机构(gòu)应当加强对仿冒移动应用(yòng)的监测排查(chá)，发(fā)现仿冒移动应用，应当尽快采
取公开澄清等处置措施，并及时向(xiàng)金融监管总局或其派出(chū)机构报告。

　　十、金融机构应当加强(qiáng)移动应用与运(yùn)行环境的兼容(róng)性、适(shì)配(pèi)性管理(lǐ)，密切(qiè)跟踪金融业迎重磅新规！智能(néng)终端主要操作系统版本升级信息，关注移(yí)动应用分发平台的软(ruǎn)件版本升级公告，提前开展移动应用（含第三方软(ruǎn)件开发工具包）兼容性(xìng)测试。开展移(yí)动应用(yòng)适配
性改造，应当制定改造方案和应急预案，强化安全管理。

　　十一、金融机构(gòu)应(yīng)当按照(zhào)网信、工信部门要求，开展互联网信息(xī)服(fú)务(wù)和移动(dòng)互联网应(yīng)用程序备案(àn)工(gōng)作。确定为重要 信息(xī)系统（支撑重(zhòng)要业务，其信息安全和服务质量(liàng)关(guān)系公民、法人和其他组织的权益，或关系(xì)社会秩序、公共利益乃至国家安(ān)全(quán)的信(xìn)息系统，包(bāo)括面向客户、涉及账务处理且实(shí)时性要求(qiú)较高的业
务处(chù)理类、渠道类(lèi)和涉及客户风险管理等(děng)业 务的管理类信(xìn)息系统）的移动(dòng)应(yīng)用，应当按照重要(yào)信息系统投产(chǎn)变更(gèng)相关要求，向金(jīn)融(róng)监管总局或其派出机构报告。   

　　十(shí)二(èr)、金融机(jī)构应当加强移动(dòng)应用网络安全管理，严格落实国家网络安全(quán)等级保护(hù)制度(dù)，定期对移动应用进行安全加固(gù)，采取加(jiā)密方式进行(xíng)数据传输(shū)，监测(cè)识(shí)别异常流量、恶意程序、攻(gōng)击入(rù)侵、安(ān)全漏洞、非法(fǎ)逆 向分析(xī)破解、代码篡(cuàn)改及重打包等风险，发现问题及时(shí)处置(zhì)。金融机
构应当(dāng)对移动应用注册(cè)用户进行(xíng)有效身份核验。

　　十三、金融机(jī)构应当按照“谁管业务(wù)、谁管业务数据、谁管(guǎn)数(shù)据安全(quán)”的原则，明确移(yí)动应用数据安全(quán)管理责(zé)任。结合移动应用特点强化数据安全措施，有效防范数据泄露、篡改和勒索(suǒ)攻击等(děng)风险(xiǎn)。

　　十四、金融机构委(wěi)托外包服务提供商建设维护(hù)移动应用的，应当严格落实信息科技外包风险监管要求(qiú)，开展移动应用外包准(zhǔn)入、监控(kòng)评价和风险管理，按照“必需知道”和“最小授权”原则(zé)严格控制外包服务提供商数据访问(wèn)权限，督促其加强数据安(ān)全(quán)管理，防范(fàn)数据(jù)泄露。

　　十五、金融机构应当加强移动应用业务连续性管理和突发金融业迎重磅新规！事件应急 管(guǎn)理，结(jié)合移动应用特点(diǎn)开展业(yè)务影响分析，建(jiàn)立应急处置机(jī)制，制定应急预案，定期开展演(yǎn)练，及时 向金融(róng)监管总局或其派出机构报告重大突发事件。

　　十六、金(jīn)融机构应当严格落实国(gu金融业迎重磅新规！ó)家法(fǎ)律法规和监管要求，建立移动应用个人信息保护制(zhì)度，规范个(gè)人信息管理，遵循“合法 、正当、必要”原(yuán)则收集个人信息，向用户告知收集个人信息的目(mù)的、使(shǐ)用(yòng)和保护个(gè)人信(xìn)息的方式，公布投诉渠道信息，及时处理信息泄露和隐私合规相关问题(tí)，保障消(xiāo)费者权益。   

　　十七、金 融机构应当将移动应用风险纳入全面(miàn)风险管理，识别违规展业、侵害(hài)消费者权益等业务(wù)风险及(jí)网络安全漏(lòu)洞等科技风险，健(jiàn)全风险防控(kòng)措(cuò)施，每年至少开展一次移动应(yīng)用风(fēng)险评估，每(měi)三年至少开展一次(cì)审计，发生重大移动
应用风险事(shì)件时，应立即开展专项审计。

　　十八、各(gè)级派出机(jī)构应当压实辖(xiá)内金(jīn)融(róng)机构移动应(yīng)用管理主体责任
，督促辖内金融机构 落实信息科技监管制(zhì)度要求，加强移动(dòng)应用监测预警，定期开展(zhǎn)渗透测试。在非现场监管和现场检查中对移动应用相关风(fēng)险加强关注，加大风险(xiǎn)漏 洞(dòng)通报力度，及时督促整改。加强对金融(róng)机构移动应用违(wéi)法违规问题(tí)处罚问责力度，对于因管理不当导致(zhì)重(zhòng)大(dà)风险事件、存在严(yán)重风险隐 患、风(fēng)险(xiǎn)排查流于形式、问题整改(gǎi)不力等情形严肃问责(zé)。

责任编辑：杨红卜

未经允许不得转载：中央空调,电梯,空气能热水器-中央空调,电梯,空气能热水器 金融业迎重磅新规！