重磅通知!金融机构迎18项新规!
近年来,移动互联网应用程序(以下简称“移动应用”)已成为金融机构线上服务的重要渠道,在提升金融服务便捷性的同时,也存在数量庞杂、功能重复、用户满意度和活跃度低等问题。
近日,国家金融监管总局印发《关于加强银行业保险业移动互联网应用程序管理的通知》(以下简称《通知》),从四方面提出18条工作要求,要求金融机构加强统筹,将移动应用管理纳入全面风险管理体系,有效控制移动应用引发的风险,同时督促金融机构进一步加强服务,改善用户体验。
《通知》所指的移动应用,包括对客户提供金融服务的应用,以及内部管理类应用,也涵盖金融机构在各互联网平台运营的小程序、公众号等。
《通知》要求,金融机构应当重视移动应用管理工作,将移动应用建设纳入数字化转型整体规划,明确牵头管理部门,强化统筹管理,加强业务与科技协同,压实各方管理职责,规划建设功能全面、安全合规的移动应用。
重要内容一览:金融机构应当加强移动应用统筹管理,建立移动应用台账,完善准入退出机制,统筹各部门及各分支机构的移动应用建设规划,合理控制移动应用数量。对用户活跃度低、体验差、功能冗余、安全合规风险隐患大的移动应用及时进行优化整合或终止运营。严禁第三方通过移动应用违规开展金融业务。
金融机构应当建立移动应用业务合规审核机制(含第三方合作业务),严格按照许可证载明的业务范围和地域范围开展业务,按监管要求开展销售过程可回溯、信息披露等工作,定期进行业务合规检查和审计。金融机构应当按照“谁管业务、谁管业务数据、谁管数据安全”的原则,明确移动应用数据安全管理责任。用户活跃度低、体验差的移动应用优化整合或终止运营。
金融机构应当建立移动应用业务合规审核机制。《通知》对通过移动应用合规展业提出要求。其中,金融机构应当建立移动应用业务合规审核机制(含第三方合作业务),严格按照许可证载明的业务范围和地域范围开展业务,按监管要求开展销售过程可回溯、信息披露等工作,定期进行业务合规检查和审计。与政府部门、企业等第三方合作建设移动应用的,金融机构应当通过合同或者协议明确移动应用管理责任主体、约定双方责任义务,切实履行网络安全、数据安全责任。严禁第三方通过移动应用违规开展金融业务。
加强个人信息保护和数据安全管理。对于数据安全管理和个人信息保护,《通知》提出多项要求,压实金融机构职责。
具体来看,《通知》明确了“谁管业务、谁管业务数据、谁管数据安全”的原则,金融机构要压实业务管理部门数据管理职责,会同信息科技部门做好业务数据安全管理工作。《通知》对外包服务中的数据安全也提出了要求,机构应按照“必须知道”和“最小授权”原则严格控制外包服务提供商数据访问权限,督促其加强数据安全管理,防范数据泄露。
《通知》要求,金融机构应当严格落实国家法律法规和监管要求,建立移动应用个人信息保护制度,规范个人信息管理,遵循“合法、正当、必要”原则收集个人信息,向用户告知收集个人信息的目的、使用和保护个人信息的方式,公布投诉渠道信息,及时处理信息泄露和隐私合规相关问题,保障消费者权益。
此外,《通知》明确,金融机构应当加强移动应用网络安全管理,严格落实国家网络安全等级保护制度,定期对移动应用进行安全加固,采取加密方式进行数据传输,监测识别异常流量、恶意程序、攻击入侵、安全漏洞、非法逆向分析破解、代码篡改及重打包等风险,发现问题及时处置。金融机构应当对移动应用注册用户进行有效身份核验。