總局重磅通知!保險業迎來18條新規。
時間:2024/9/23 9:33:19 | 來源:保險論壇
近日,國家金融監管總局印發《關于加強銀行業保險業移動互聯網應用程序管理的通知》,從四方面提出18條工作要求。金融監管總局有關司局負責人介紹,近年來,移動互聯網應用程序已成為銀行業金融機構、保險業金融機構和金融控股公司線上服務的重要渠道。然而,在提升金融服務便…
近日,國家金融監管總局印發《關于加強銀行業保險業移動互聯網應用程序管理的通知》,從四方面提出18條工作要求。金融監管總局有關司局負責人介紹,近年來,移動互聯網應用程序已成為銀行業金融機構、保險業金融機構和金融控股公司線上服務的重要渠道。然而,在提升金融服務便捷性的同時,也存在數量龐雜、功能重復、用戶滿意度和活躍度低等問題。“為貫徹落實銀行業保險業信息科技監管要求,指導金融機構有序規范建設移動應用,提升金融服務水平,金融監管總局印發了《通知》。《通知》針對當前存在的問題,要求金融機構加強統籌,將移動應用管理納入全面風險管理體系,有效控制移動應用引發的風險,同時督促金融機構進一步加強服務,改善用戶體驗,有利于規范銀行業保險業移動應用建設管理,提升金融機構移動應用安全保障水平和金融服務水平,筑牢信息科技風險防線。附:國家金融監督管理總局辦公廳關于加強銀行業保險業移動互聯網應用程序管理的通知各金融監管局,各政策性銀行、大型銀行、股份制銀行、外資銀行、直銷銀行、金融資產管理公司、金融資產投資公司、理財公司,各保險集團(控股)公司、保險公司、保險資產管理公司、養老金管理公司,各金融控股公司:為指導銀行業金融機構、保險業金融機構和金融控股公司(以下統稱金融機構)進一步提升服務質量,規范移動互聯網應用程序(運行在移動智能終端上向內、外部用戶提供服務的應用軟件,包括但不限于移動應用APP、小程序、公眾號等,以下簡稱移動應用)管理,經金融監管總局同意,現就有關工作通知如下:一、金融機構應當重視移動應用管理工作,將移動應用建設納入數字化轉型整體規劃,明確牽頭管理部門,強化統籌管理,加強業務與科技協同,壓實各方管理職責,規劃建設功能全面、安全合規的移動應用。二、金融機構應當加強移動應用統籌管理,建立移動應用臺賬,完善準入退出機制,統籌各部門及各分支機構的移動應用建設規劃,合理控制移動應用數量。對用戶活躍度低、體驗差、功能冗余、安全合規風險隱患大的移動應用及時進行優化整合或終止運營。三、金融機構應當明確各移動應用的管理部門及責任人,完善內部管理機制,將合規要求落實到業務需求、產品研發、推廣和運營的各個環節。四、與政府部門、企業等第三方合作建設移動應用的,金融機構應當通過合同或者協議明確移動應用管理責任主體、約定雙方責任義務,切實履行網絡安全、數據安全責任。嚴禁第三方通過移動應用違規開展金融業務。五、金融機構應當建立移動應用業務合規審核機制(含第三方合作業務),嚴格按照許可證載明的業務范圍和地域范圍開展業務,按監管要求開展銷售過程可回溯、信息披露等工作,定期進行業務合規檢查和審計。六、金融機構開展移動應用需求管理,應當進行同類同質業務需求整合,使移動應用具備相對獨立且完整的業務場景及功能,具有較高的使用便捷度,滿足適老化、未成年人保護等要求,不得有歧視性限制,加強移動應用及第三方軟件開發工具包安全需求分析。七、金融機構應當做好移動應用方案設計、方案評審、軟件開發、代碼管理和變更控制等工作,對移動應用集成的源代碼或組件(含第三方組件)開展安全風險管理,加強對客戶認證和系統應用邏輯控制的安全性測試,禁止在移動應用中嵌入無關鏈接、失效鏈接、惡意程序等存在風險的代碼,并及時做好排查清理工作。八、金融機構應當為移動應用(含第三方軟件開發工具包)建立測試驗證和上架發布制度,交付前完成缺陷和漏洞修復,與移動應用分發平臺(通過互聯網提供應用程序發布、下載、動態加載等服務活動的平臺,包括應用商店、快應用中心、互聯網小程序平臺、瀏覽器插件平臺等類型)協同配合,完成資質核驗、上架審核、問題整改等工作,滿足網絡安全、數據安全、隱私保護、合規展業等要求后方可上架發布。金融機構應當自行管控移動應用的上架發布賬號。九、金融機構應當對移動應用(含第三方軟件開發工具包)的運行狀態進行實時監控,加強賬號權限管理,做好老舊版本的更新、維護和下線。金融機構終止移動應用運營的,應當協同移動應用分發平臺做好風險評估、數據遷移、隱私保護、用戶告知等下架管理工作。金融機構應當加強對仿冒移動應用的監測排查,發現仿冒移動應用,應當盡快采取公開澄清等處置措施,并及時向金融監管總局或其派出機構報告。十、金融機構應當加強移動應用與運行環境的兼容性、適配性管理,密切跟蹤智能終端主要操作系統版本升級信息,關注移動應用分發平臺的軟件版本升級公告,提前開展移動應用(含第三方軟件開發工具包)兼容性測試。開展移動應用適配性改造,應當制定改造方案和應急預案,強化安全管理。十一、金融機構應當按照網信、工信部門要求,開展互聯網信息服務和移動互聯網應用程序備案工作。確定為重要信息系統(支撐重要業務,其信息安全和服務質量關系公民、法人和其他組織的權益,或關系社會秩序、公共利益乃至國家安全的信息系統,包括面向客戶、涉及賬務處理且實時性要求較高的業務處理類、渠道類和涉及客戶風險管理等業務的管理類信息系統)的移動應用,應當按照重要信息系統投產變更相關要求,向金融監管總局或其派出機構報告。十二、金融機構應當加強移動應用網絡安全管理,嚴格落實國家網絡安全等級保護制度,定期對移動應用進行安全加固,采取加密方式進行數據傳輸,監測識別異常流量、惡意程序、攻擊入侵、安全漏洞、非法逆向分析破解、代碼篡改及重打包等風險,發現問題及時處置。金融機構應當對移動應用注冊用戶進行有效身份核驗。十三、金融機構應當按照“誰管業務、誰管業務數據、誰管數據安全”的原則,明確移動應用數據安全管理責任。結合移動應用特點強化數據安全措施,有效防范數據泄露、篡改和勒索攻擊等風險。十四、金融機構委托外包服務提供商建設維護移動應用的,應當嚴格落實信息科技外包風險監管要求,開展移動應用外包準入、監控評價和風險管理,按照“必需知道”和“最小授權”原則嚴格控制外包服務提供商數據訪問權限,督促其加強數據安全管理,防范數據泄露。十五、金融機構應當加強移動應用業務連續性管理和突發事件應急管理,結合移動應用特點開展業務影響分析,建立應急處置機制,制定應急預案,定期開展演練,及時向金融監管總局或其派出機構報告重大突發事件。十六、金融機構應當嚴格落實國家法律法規和監管要求,建立移動應用個人信息保護制度,規范個人信息管理,遵循“合法、正當、必要”原則收集個人信息,向用戶告知收集個人信息的目的、使用和保護個人信息的方式,公布投訴渠道信息,及時處理信息泄露和隱私合規相關問題,保障消費者權益。十七、金融機構應當將移動應用風險納入全面風險管理,識別違規展業、侵害消費者權益等業務風險及網絡安全漏洞等科技風險,健全風險防控措施,每年至少開展一次移動應用風險評估,每三年至少開展一次審計,發生重大移動應用風險事件時,應立即開展專項審計。十八、各級派出機構應當壓實轄內金融機構移動應用管理主體責任,督促轄內金融機構落實信息科技監管制度要求,加強移動應用監測預警,定期開展滲透測試。在非現場監管和現場檢查中對移動應用相關風險加強關注,加大風險漏洞通報力度,及時督促整改。加強對金融機構移動應用違法違規問題處罰問責力度,對于因管理不當導致重大風險事件、存在嚴重風險隱患、風險排查流于形式、問題整改不力等情形嚴肅問責。(此件發至金融監管分局與轄內地方法人銀行業金融機構、保險業金融機構)
