國(guó)家金融監(jiān)督管理總局辦公廳關(guān)于加強(qiáng)銀行業(yè)保險(xiǎn)業(yè)移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序管理的通知
金辦發(fā)〔2024〕99號(hào)
各金融監(jiān)管局,各政策性銀行、大型銀行、股份制銀行、外資銀行、直銷(xiāo)銀行、金融資產(chǎn)管理公司、金融資產(chǎn)投資公司、理財(cái)公司,各保險(xiǎn)集團(tuán)(控股)公司、保險(xiǎn)公司、保險(xiǎn)資產(chǎn)管理公司、養(yǎng)老金管理公司,各金融控股公司:
為指導(dǎo)銀行業(yè)金融機(jī)構(gòu)、保險(xiǎn)業(yè)金融機(jī)構(gòu)和金融控股公司(以下統(tǒng)稱(chēng)金融機(jī)構(gòu))進(jìn)一步提升服務(wù)質(zhì)量,規(guī)范移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(運(yùn)行在移動(dòng)智能終端上向內(nèi)、外部用戶(hù)提供服務(wù)的應(yīng)用軟件,包括但不限于移動(dòng)應(yīng)用APP、小程序、公眾號(hào)等,以下簡(jiǎn)稱(chēng)移動(dòng)應(yīng)用)管理,經(jīng)金融監(jiān)管總局同意,現(xiàn)就有關(guān)工作通知如下:
一、金融機(jī)構(gòu)應(yīng)當(dāng)重視移動(dòng)應(yīng)用管理工作,將移動(dòng)應(yīng)用建設(shè)納入數(shù)字化轉(zhuǎn)型整體規(guī)劃,明確牽頭管理部門(mén),強(qiáng)化統(tǒng)籌管理,加強(qiáng)業(yè)務(wù)與科技協(xié)同,壓實(shí)各方管理職責(zé),規(guī)劃建設(shè)功能全面、安全合規(guī)的移動(dòng)應(yīng)用。
二、金融機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)移動(dòng)應(yīng)用統(tǒng)籌管理,建立移動(dòng)應(yīng)用臺(tái)賬,完善準(zhǔn)入退出機(jī)制,統(tǒng)籌各部門(mén)及各分支機(jī)構(gòu)的移動(dòng)應(yīng)用建設(shè)規(guī)劃,合理控制移動(dòng)應(yīng)用數(shù)量。對(duì)用戶(hù)活躍度低、體驗(yàn)差、功能冗余、安全合規(guī)風(fēng)險(xiǎn)隱患大的移動(dòng)應(yīng)用及時(shí)進(jìn)行優(yōu)化整合或終止運(yùn)營(yíng)。
三、金融機(jī)構(gòu)應(yīng)當(dāng)明確各移動(dòng)應(yīng)用的管理部門(mén)及責(zé)任人,完善內(nèi)部管理機(jī)制,將合規(guī)要求落實(shí)到業(yè)務(wù)需求、產(chǎn)品研發(fā)、推廣和運(yùn)營(yíng)的各個(gè)環(huán)節(jié)。
四、與政府部門(mén)、企業(yè)等第三方合作建設(shè)移動(dòng)應(yīng)用的,金融機(jī)構(gòu)應(yīng)當(dāng)通過(guò)合同或者協(xié)議明確移動(dòng)應(yīng)用管理責(zé)任主體、約定雙方責(zé)任義務(wù),切實(shí)履行網(wǎng)絡(luò)安全、數(shù)據(jù)安全責(zé)任。嚴(yán)禁第三方通過(guò)移動(dòng)應(yīng)用違規(guī)開(kāi)展金融業(yè)務(wù)。
五、金融機(jī)構(gòu)應(yīng)當(dāng)建立移動(dòng)應(yīng)用業(yè)務(wù)合規(guī)審核機(jī)制(含第三方合作業(yè)務(wù)),嚴(yán)格按照許可證載明的業(yè)務(wù)范圍和地域范圍開(kāi)展業(yè)務(wù),按監(jiān)管要求開(kāi)展銷(xiāo)售過(guò)程可回溯、信息披露等工作,定期進(jìn)行業(yè)務(wù)合規(guī)檢查和審計(jì)。
六、金融機(jī)構(gòu)開(kāi)展移動(dòng)應(yīng)用需求管理,應(yīng)當(dāng)進(jìn)行同類(lèi)同質(zhì)業(yè)務(wù)需求整合,使移動(dòng)應(yīng)用具備相對(duì)獨(dú)立且完整的業(yè)務(wù)場(chǎng)景及功能,具有較高的使用便捷度,滿(mǎn)足適老化、未成年人保護(hù)等要求,不得有歧視性限制,加強(qiáng)移動(dòng)應(yīng)用及第三方軟件開(kāi)發(fā)工具包安全需求分析。
七、金融機(jī)構(gòu)應(yīng)當(dāng)做好移動(dòng)應(yīng)用方案設(shè)計(jì)、方案評(píng)審、軟件開(kāi)發(fā)、代碼管理和變更控制等工作,對(duì)移動(dòng)應(yīng)用集成的源代碼或組件(含第三方組件)開(kāi)展安全風(fēng)險(xiǎn)管理,加強(qiáng)對(duì)客戶(hù)認(rèn)證和系統(tǒng)應(yīng)用邏輯控制的安全性測(cè)試,禁止在移動(dòng)應(yīng)用中嵌入無(wú)關(guān)鏈接、失效鏈接、惡意程序等存在風(fēng)險(xiǎn)的代碼,并及時(shí)做好排查清理工作。
八、金融機(jī)構(gòu)應(yīng)當(dāng)為移動(dòng)應(yīng)用(含第三方軟件開(kāi)發(fā)工具包)建立測(cè)試驗(yàn)證和上架發(fā)布制度,交付前完成缺陷和漏洞修復(fù),與移動(dòng)應(yīng)用分發(fā)平臺(tái)(通過(guò)互聯(lián)網(wǎng)提供應(yīng)用程序發(fā)布、下載、動(dòng)態(tài)加載等服務(wù)活動(dòng)的平臺(tái),包括應(yīng)用商店、快應(yīng)用中心、互聯(lián)網(wǎng)小程序平臺(tái)、瀏覽器插件平臺(tái)等類(lèi)型)協(xié)同配合,完成資質(zhì)核驗(yàn)、上架審核、問(wèn)題整改等工作,滿(mǎn)足網(wǎng)絡(luò)安全、數(shù)據(jù)安全、隱私保護(hù)、合規(guī)展業(yè)等要求后方可上架發(fā)布。金融機(jī)構(gòu)應(yīng)當(dāng)自行管控移動(dòng)應(yīng)用的上架發(fā)布賬號(hào)。
九、金融機(jī)構(gòu)應(yīng)當(dāng)對(duì)移動(dòng)應(yīng)用(含第三方軟件開(kāi)發(fā)工具包)的運(yùn)行狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控,加強(qiáng)賬號(hào)權(quán)限管理,做好老舊版本的更新、維護(hù)和下線。金融機(jī)構(gòu)終止移動(dòng)應(yīng)用運(yùn)營(yíng)的,應(yīng)當(dāng)協(xié)同移動(dòng)應(yīng)用分發(fā)平臺(tái)做好風(fēng)險(xiǎn)評(píng)估、數(shù)據(jù)遷移、隱私保護(hù)、用戶(hù)告知等下架管理工作。金融機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)對(duì)仿冒移動(dòng)應(yīng)用的監(jiān)測(cè)排查,發(fā)現(xiàn)仿冒移動(dòng)應(yīng)用,應(yīng)當(dāng)盡快采取公開(kāi)澄清等處置措施,并及時(shí)向金融監(jiān)管總局或其派出機(jī)構(gòu)報(bào)告。
十、金融機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)移動(dòng)應(yīng)用與運(yùn)行環(huán)境的兼容性、適配性管理,密切跟蹤智能終端主要操作系統(tǒng)版本升級(jí)信息,關(guān)注移動(dòng)應(yīng)用分發(fā)平臺(tái)的軟件版本升級(jí)公告,提前開(kāi)展移動(dòng)應(yīng)用(含第三方軟件開(kāi)發(fā)工具包)兼容性測(cè)試。開(kāi)展移動(dòng)應(yīng)用適配性改造,應(yīng)當(dāng)制定改造方案和應(yīng)急預(yù)案,強(qiáng)化安全管理。
十一、金融機(jī)構(gòu)應(yīng)當(dāng)按照網(wǎng)信、工信部門(mén)要求,開(kāi)展互聯(lián)網(wǎng)信息服務(wù)和移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序備案工作。確定為重要信息系統(tǒng)(支撐重要業(yè)務(wù),其信息安全和服務(wù)質(zhì)量關(guān)系公民、法人和其他組織的權(quán)益,或關(guān)系社會(huì)秩序、公共利益乃至國(guó)家安全的信息系統(tǒng),包括面向客戶(hù)、涉及賬務(wù)處理且實(shí)時(shí)性要求較高的業(yè)務(wù)處理類(lèi)、渠道類(lèi)和涉及客戶(hù)風(fēng)險(xiǎn)管理等業(yè)務(wù)的管理類(lèi)信息系統(tǒng))的移動(dòng)應(yīng)用,應(yīng)當(dāng)按照重要信息系統(tǒng)投產(chǎn)變更相關(guān)要求,向金融監(jiān)管總局或其派出機(jī)構(gòu)報(bào)告。
十二、金融機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)移動(dòng)應(yīng)用網(wǎng)絡(luò)安全管理,嚴(yán)格落實(shí)國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,定期對(duì)移動(dòng)應(yīng)用進(jìn)行安全加固,采取加密方式進(jìn)行數(shù)據(jù)傳輸,監(jiān)測(cè)識(shí)別異常流量、惡意程序、攻擊入侵、安全漏洞、非法逆向分析破解、代碼篡改及重打包等風(fēng)險(xiǎn),發(fā)現(xiàn)問(wèn)題及時(shí)處置。金融機(jī)構(gòu)應(yīng)當(dāng)對(duì)移動(dòng)應(yīng)用注冊(cè)用戶(hù)進(jìn)行有效身份核驗(yàn)。
十三、金融機(jī)構(gòu)應(yīng)當(dāng)按照“誰(shuí)管業(yè)務(wù)、誰(shuí)管業(yè)務(wù)數(shù)據(jù)、誰(shuí)管數(shù)據(jù)安全”的原則,明確移動(dòng)應(yīng)用數(shù)據(jù)安全管理責(zé)任。結(jié)合移動(dòng)應(yīng)用特點(diǎn)強(qiáng)化數(shù)據(jù)安全措施,有效防范數(shù)據(jù)泄露、篡改和勒索攻擊等風(fēng)險(xiǎn)。
十四、金融機(jī)構(gòu)委托外包服務(wù)提供商建設(shè)維護(hù)移動(dòng)應(yīng)用的,應(yīng)當(dāng)嚴(yán)格落實(shí)信息科技外包風(fēng)險(xiǎn)監(jiān)管要求,開(kāi)展移動(dòng)應(yīng)用外包準(zhǔn)入、監(jiān)控評(píng)價(jià)和風(fēng)險(xiǎn)管理,按照“必需知道”和“最小授權(quán)”原則嚴(yán)格控制外包服務(wù)提供商數(shù)據(jù)訪問(wèn)權(quán)限,督促其加強(qiáng)數(shù)據(jù)安全管理,防范數(shù)據(jù)泄露。
十五、金融機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)移動(dòng)應(yīng)用業(yè)務(wù)連續(xù)性管理和突發(fā)事件應(yīng)急管理,結(jié)合移動(dòng)應(yīng)用特點(diǎn)開(kāi)展業(yè)務(wù)影響分析,建立應(yīng)急處置機(jī)制,制定應(yīng)急預(yù)案,定期開(kāi)展演練,及時(shí)向金融監(jiān)管總局或其派出機(jī)構(gòu)報(bào)告重大突發(fā)事件。
十六、金融機(jī)構(gòu)應(yīng)當(dāng)嚴(yán)格落實(shí)國(guó)家法律法規(guī)和監(jiān)管要求,建立移動(dòng)應(yīng)用個(gè)人信息保護(hù)制度,規(guī)范個(gè)人信息管理,遵循“合法、正當(dāng)、必要”原則收集個(gè)人信息,向用戶(hù)告知收集個(gè)人信息的目的、使用和保護(hù)個(gè)人信息的方式,公布投訴渠道信息,及時(shí)處理信息泄露和隱私合規(guī)相關(guān)問(wèn)題,保障消費(fèi)者權(quán)益。
十七、金融機(jī)構(gòu)應(yīng)當(dāng)將移動(dòng)應(yīng)用風(fēng)險(xiǎn)納入全面風(fēng)險(xiǎn)管理,識(shí)別違規(guī)展業(yè)、侵害消費(fèi)者權(quán)益等業(yè)務(wù)風(fēng)險(xiǎn)及網(wǎng)絡(luò)安全漏洞等科技風(fēng)險(xiǎn),健全風(fēng)險(xiǎn)防控措施,每年至少開(kāi)展一次移動(dòng)應(yīng)用風(fēng)險(xiǎn)評(píng)估,每三年至少開(kāi)展一次審計(jì),發(fā)生重大移動(dòng)應(yīng)用風(fēng)險(xiǎn)事件時(shí),應(yīng)立即開(kāi)展專(zhuān)項(xiàng)審計(jì)。
十八、各級(jí)派出機(jī)構(gòu)應(yīng)當(dāng)壓實(shí)轄內(nèi)金融機(jī)構(gòu)移動(dòng)應(yīng)用管理主體責(zé)任,督促轄內(nèi)金融機(jī)構(gòu)落實(shí)信息科技監(jiān)管制度要求,加強(qiáng)移動(dòng)應(yīng)用監(jiān)測(cè)預(yù)警,定期開(kāi)展?jié)B透測(cè)試。在非現(xiàn)場(chǎng)監(jiān)管和現(xiàn)場(chǎng)檢查中對(duì)移動(dòng)應(yīng)用相關(guān)風(fēng)險(xiǎn)加強(qiáng)關(guān)注,加大風(fēng)險(xiǎn)漏洞通報(bào)力度,及時(shí)督促整改。加強(qiáng)對(duì)金融機(jī)構(gòu)移動(dòng)應(yīng)用違法違規(guī)問(wèn)題處罰問(wèn)責(zé)力度,對(duì)于因管理不當(dāng)導(dǎo)致重大風(fēng)險(xiǎn)事件、存在嚴(yán)重風(fēng)險(xiǎn)隱患、風(fēng)險(xiǎn)排查流于形式、問(wèn)題整改不力等情形嚴(yán)肅問(wèn)責(zé)。
國(guó)家金融監(jiān)督管理總局辦公廳
2024年9月12日