筑牢信息科技風險防線
移動應用管理納入金融機構(gòu)全面風險管理體系
□ 本報記者 李立娟
為加強銀行業(yè)保險業(yè)信息科技監(jiān)管�����,指導銀行業(yè)金融機構(gòu)、保險業(yè)金融機構(gòu)和金融控股公司(以下統(tǒng)稱金融機構(gòu))有序規(guī)范建設(shè)移動互聯(lián)網(wǎng)應用程序(以下簡稱移動應用)�����,提升金融服務(wù)水平,國家金融監(jiān)督管理總局近日印發(fā)《關(guān)于加強銀行業(yè)保險業(yè)移動互聯(lián)網(wǎng)應用程序管理的通知》(以下簡稱《通知》)��。
統(tǒng)籌移動應用管理
據(jù)了解�,近年來,移動應用已成為金融機構(gòu)線上服務(wù)的重要渠道���,在提升金融服務(wù)便捷性的同時����,也存在數(shù)量龐雜����、功能重復、用戶滿意度和活躍度低等問題����。
金融監(jiān)管總局有關(guān)司局負責人表示,《通知》針對當前存在的問題�,要求金融機構(gòu)加強統(tǒng)籌,將移動應用管理納入全面風險管理體系����,有效控制移動應用引發(fā)的風險,同時督促金融機構(gòu)進一步加強服務(wù)����,改善用戶體驗,有利于規(guī)范銀行業(yè)保險業(yè)移動應用建設(shè)管理����,提升金融機構(gòu)移動應用安全保障水平和金融服務(wù)水平���,筑牢信息科技風險防線。
《通知》從四方面提出18條工作要求�����。具體來說����,在加強統(tǒng)籌管理方面��,要求金融機構(gòu)明確移動應用管理牽頭部門����、建立移動應用臺賬、完善準入退出機制�����、控制移動應用數(shù)量�;
在加強全生命周期管理方面,要求金融機構(gòu)規(guī)范移動應用的需求分析��、設(shè)計開發(fā)、測試驗證��、上架發(fā)布��、監(jiān)控運行等環(huán)節(jié)�,強化移動應用與運行環(huán)境的兼容性、適配性管理����;
在落實風險管理責任方面,要求金融機構(gòu)落實移動應用備案���、網(wǎng)絡(luò)安全�、數(shù)據(jù)安全����、外包管理、業(yè)務(wù)連續(xù)性及個人信息保護等監(jiān)管要求��;
在加強監(jiān)督管理方面��,要求金融監(jiān)管總局各級派出機構(gòu)加強移動應用監(jiān)管工作�����。
建立合規(guī)審核機制
金融監(jiān)管總局有關(guān)司局負責人介紹,《通知》規(guī)范對象是金融機構(gòu)的移動應用���,包括對客戶提供金融服務(wù)的應用��,以及內(nèi)部管理類應用���,也涵蓋金融機構(gòu)在各互聯(lián)網(wǎng)平臺運營的小程序、公眾號等���。
“金融機構(gòu)要明確移動應用牽頭管理部門,強化統(tǒng)籌管理�,加強業(yè)務(wù)與科技協(xié)同,壓實各方管理職責�,規(guī)劃建設(shè)功能全面、安全合規(guī)的移動應用�����?��!睂τ谝苿討脿款^管理部門的主要職責�,上述負責人表示�����,金融機構(gòu)應當建立移動應用臺賬,完善準入退出機制����,統(tǒng)籌各業(yè)務(wù)部門及各分支機構(gòu)的移動應用建設(shè)規(guī)劃,合理控制移動應用數(shù)量����,對用戶活躍度低、體驗差�、功能冗余、安全合規(guī)風險隱患大的移動應用及時進行優(yōu)化整合或終止運營����。
金融機構(gòu)應當建立移動應用業(yè)務(wù)合規(guī)審核機制(含第三方合作業(yè)務(wù)),嚴格按照許可證載明的業(yè)務(wù)范圍和地域范圍開展業(yè)務(wù)�,按監(jiān)管要求開展銷售過程可回溯、信息披露等工作����,定期進行業(yè)務(wù)合規(guī)檢查和審計。
此外���,對于金融機構(gòu)移動應用整合�,《通知》要求,金融機構(gòu)應當加強移動應用統(tǒng)籌管理����,建立移動應用臺賬,完善準入退出機制��,統(tǒng)籌各業(yè)務(wù)部門及各分支機構(gòu)的移動應用建設(shè)規(guī)劃���,合理控制移動應用數(shù)量��。對用戶活躍度低����、體驗差��、功能冗余����、安全合規(guī)風險隱患大的移動應用及時進行優(yōu)化整合或終止運營�����。金融機構(gòu)開展移動應用需求管理�,應當進行同類同質(zhì)業(yè)務(wù)需求整合�����,使移動應用具備相對獨立且完整的業(yè)務(wù)場景及功能���。在符合《通知》要求的前提下,各金融機構(gòu)可根據(jù)自身情況����,制定整合標準,在整合過程中做好風險評估���、數(shù)據(jù)遷移��、隱私保護�����、用戶告知等管理工作�����。
加強個人信息保護
對于金融機構(gòu)移動應用數(shù)據(jù)安全責任和個人信息保護����,《通知》均提出多項要求。
具體來說����,《通知》明確了“誰管業(yè)務(wù)、誰管業(yè)務(wù)數(shù)據(jù)��、誰管數(shù)據(jù)安全”的原則�����,金融機構(gòu)要壓實業(yè)務(wù)管理部門數(shù)據(jù)管理職責����,會同信息科技部門做好業(yè)務(wù)數(shù)據(jù)安全管理工作。
《通知》對外包服務(wù)中的數(shù)據(jù)安全也提出了要求�����,機構(gòu)應按照“必需知道”和“最小授權(quán)”原則嚴格控制外包服務(wù)提供商數(shù)據(jù)訪問權(quán)限�����,督促其加強數(shù)據(jù)安全管理����,防范數(shù)據(jù)泄露。
金融監(jiān)管總局有關(guān)司局負責人表示�����,金融機構(gòu)應當嚴格落實國家法律法規(guī)和監(jiān)管要求�,建立移動應用個人信息保護制度,規(guī)范個人信息管理���,遵循“合法�、正當���、必要”原則收集個人信息���,向用戶告知收集個人信息的目的、使用和保護個人信息的方式��,公布投訴渠道信息���,及時處理信息泄露和隱私合規(guī)相關(guān)問題����,保障消費者權(quán)益。
此外�,《通知》明確,各級派出機構(gòu)應當壓實轄內(nèi)金融機構(gòu)移動應用管理主體責任����,督促轄內(nèi)金融機構(gòu)落實信息科技監(jiān)管制度要求,加強移動應用監(jiān)測預警�����,定期開展?jié)B透測試����。在非現(xiàn)場監(jiān)管和現(xiàn)場檢查中對移動應用相關(guān)風險加強關(guān)注,加大風險漏洞通報力度�����,及時督促整改����。加強對金融機構(gòu)移動應用違法違規(guī)問題處罰問責力度,對于因管理不當導致重大風險事件�����、存在嚴重風險隱患����、風險排查流于形式、問題整改不力等情形嚴肅問責�����。
法治號
