金融监督管理总局重磅!这些应用将全部纳入管理

【环球网财经综合报道】近日,国家金融监督管理总局(简称“金融监管总局”)正式印发了《关于加强银行业保险业移动互联网应用程序管理的通知》(简称《通知》)。该《通知》针对当前移动应用存在的问题,从四个方面提出了18条具体工作要求,旨在强银行业保险业信息科技监管,指导银行业金融机构、保险业金融机构和金融控股公司有序规范建设移动互联网应用程序,提升金融服务水平。

《通知》首先明确了规范对象,即金融机构的移动应用,包括提供金融服务的应用、内部管理类应用,以及金融机构在各互联网平台运营的小程序、公众号等。同时,《通知》还明确了移动应用牵头管理部门的主要职责,要求金融机构建立移动应用台账,完善准入退出机制,并合理控制移动应用数量。

在移动应用合规展业方面,《通知》要求金融机构建立移动应用业务合规审核机制,严格按照许可证载明的业务范围和地域范围开展业务,并按监管要求开展销售过程可回溯、信息披露等工作。此外,还强调了“谁管业务、谁管业务数据、谁管数据安全”的原则,并对外包服务中的数据安全提出了具体要求。

《通知》还详细列出了金融机构在移动应用管理方面的具体职责。包括将移动应用建设纳入数字化转型整体规划,明确牵头管理部门,强化统筹管理;加强移动应用统筹管理,对用户活跃度低、体验差、功能冗余、安全合规风险隐患大的移动应用及时进行优化整合或终止运营;明确各移动应用的管理部门及责任人,完善内部管理机制;与第三方合作建设移动应用时,通过合同或协议明确责任主体,切实履行网络安全、数据安全责任;建立移动应用测试验证和上架发布制度,确保满足网络安全、数据安全、隐私保护、合规展业等要求后方可上架发布;对移动应用的运行状态进行实时监控,加强账号权限管理,做好老旧版本的更新、维护和下线;加强移动应用与运行环境的兼容性、适配性管理;按照网信、工信部门要求开展互联网信息服务和移动互联网应用程序备案工作;加强移动应用网络安全管理,严格落实国家网络安全等级保护制度;按照“谁管业务、谁管业务数据、谁管数据安全”的原则,明确移动应用数据安全管理责任;委托外包服务提供商建设维护移动应用时,严格落实信息科技外包风险监管要求;加强移动应用业务连续性管理和突发事件应急管理;建立移动应用个人信息保护制度,规范个人信息管理;将移动应用风险纳入全面风险管理,每年至少开展一次移动应用风险评估,每三年至少开展一次审计。

此外,《通知》还要求各级派出机构压实辖内金融机构移动应用管理主体责任,督促金融机构落实信息科技监管制度要求,加强移动应用监测预警,定期开展渗透测试。在非现场监管和现场检查中对移动应用相关风险加强关注,加大风险漏洞通报力度,及时督促整改。同时,加强对金融机构移动应用违法违规问题的处罚问责力度,确保金融机构严格遵守相关规定。