筑牢信息科技風險防線 移動應用管理納入金融機構全面風險管理體系

選稿人員：褚辰   |   發(fā)布日期：2024/12/29 17:01:10   |   瀏覽次數: 416

　　為加強銀行業(yè)保險業(yè)信息科技監(jiān)管，指導銀行業(yè)金融機構、保險業(yè)金融機構和金融控股公司(以下統稱金融機構)有序規(guī)范建設移動互聯網應用程序(以下簡稱移動應用)，提升金融服務水平，國家金融監(jiān)督管理總局近日印發(fā)《關于加強銀行業(yè)保險業(yè)移動互聯網應用程序管理的通知》(以下簡稱《通知》)。

　　統籌移動應用管理

　　據了解，近年來，移動應用已成為金融機構線上服務的重要渠道，在提升金融服務便捷性的同時，也存在數量龐雜、功能重復、用戶滿意度和活躍度低等問題。

　　金融監(jiān)管總局有關司局負責人表示，《通知》針對當前存在的問題，要求金融機構加強統籌，將移動應用管理納入全面風險管理體系，有效控制移動應用引發(fā)的風險，同時督促金融機構進一步加強服務，改善用戶體驗，有利于規(guī)范銀行業(yè)保險業(yè)移動應用建設管理，提升金融機構移動應用安全保障水平和金融服務水平，筑牢信息科技風險防線。

　　《通知》從四方面提出18條工作要求。具體來說，在加強統籌管理方面，要求金融機構明確移動應用管理牽頭部門、建立移動應用臺賬、完善準入退出機制、控制移動應用數量;

　　在加強全生命周期管理方面，要求金融機構規(guī)范移動應用的需求分析、設計開發(fā)、測試驗證、上架發(fā)布、監(jiān)控運行等環(huán)節(jié)，強化移動應用與運行環(huán)境的兼容性、適配性管理;

　　在落實風險管理責任方面，要求金融機構落實移動應用備案、網絡安全、數據安全、外包管理、業(yè)務連續(xù)性及個人信息保護等監(jiān)管要求;

　　在加強監(jiān)督管理方面，要求金融監(jiān)管總局各級派出機構加強移動應用監(jiān)管工作。

　　建立合規(guī)審核機制

　　金融監(jiān)管總局有關司局負責人介紹，《通知》規(guī)范對象是金融機構的移動應用，包括對客戶提供金融服務的應用，以及內部管理類應用，也涵蓋金融機構在各互聯網平臺運營的小程序、公眾號等。

　　“金融機構要明確移動應用牽頭管理部門，強化統籌管理，加強業(yè)務與科技協同，壓實各方管理職責，規(guī)劃建設功能全面、安全合規(guī)的移動應用?！睂τ谝苿討脿款^管理部門的主要職責，上述負責人表示，金融機構應當建立移動應用臺賬，完善準入退出機制，統籌各業(yè)務部門及各分支機構的移動應用建設規(guī)劃，合理控制移動應用數量，對用戶活躍度低、體驗差、功能冗余、安全合規(guī)風險隱患大的移動應用及時進行優(yōu)化整合或終止運營。

　　金融機構應當建立移動應用業(yè)務合規(guī)審核機制(含第三方合作業(yè)務)，嚴格按照許可證載明的業(yè)務范圍和地域范圍開展業(yè)務，按監(jiān)管要求開展銷售過程可回溯、信息披露等工作，定期進行業(yè)務合規(guī)檢查和審計。

　　此外，對于金融機構移動應用整合，《通知》要求，金融機構應當加強移動應用統籌管理，建立移動應用臺賬，完善準入退出機制，統籌各業(yè)務部門及各分支機構的移動應用建設規(guī)劃，合理控制移動應用數量。對用戶活躍度低、體驗差、功能冗余、安全合規(guī)風險隱患大的移動應用及時進行優(yōu)化整合或終止運營。金融機構開展移動應用需求管理，應當進行同類同質業(yè)務需求整合，使移動應用具備相對獨立且完整的業(yè)務場景及功能。在符合《通知》要求的前提下，各金融機構可根據自身情況，制定整合標準，在整合過程中做好風險評估、數據遷移、隱私保護、用戶告知等管理工作。

　　加強個人信息保護

　　對于金融機構移動應用數據安全責任和個人信息保護，《通知》均提出多項要求。

　　具體來說，《通知》明確了“誰管業(yè)務、誰管業(yè)務數據、誰管數據安全”的原則，金融機構要壓實業(yè)務管理部門數據管理職責，會同信息科技部門做好業(yè)務數據安全管理工作。

　　《通知》對外包服務中的數據安全也提出了要求，機構應按照“必需知道”和“最小授權”原則嚴格控制外包服務提供商數據訪問權限，督促其加強數據安全管理，防范數據泄露。

　　金融監(jiān)管總局有關司局負責人表示，金融機構應當嚴格落實國家法律法規(guī)和監(jiān)管要求，建立移動應用個人信息保護制度，規(guī)范個人信息管理，遵循“合法、正當、必要”原則收集個人信息，向用戶告知收集個人信息的目的、使用和保護個人信息的方式，公布投訴渠道信息，及時處理信息泄露和隱私合規(guī)相關問題，保障消費者權益。

　　此外，《通知》明確，各級派出機構應當壓實轄內金融機構移動應用管理主體責任，督促轄內金融機構落實信息科技監(jiān)管制度要求，加強移動應用監(jiān)測預警，定期開展?jié)B透測試。在非現場監(jiān)管和現場檢查中對移動應用相關風險加強關注，加大風險漏洞通報力度，及時督促整改。加強對金融機構移動應用違法違規(guī)問題處罰問責力度，對于因管理不當導致重大風險事件、存在嚴重風險隱患、風險排查流于形式、問題整改不力等情形嚴肅問責。

　　來源：法治日報-法治網