数字金融新规发布 加强金融机构移动应用程序监管
2024.11.27 安洋 夏君涵
一、序言
2024年9月12日,国家金融监督管理总局(简称“金融监管总局”)发布《关于加强银行业保险业移动互联网应用程序管理的通知》(简称“《移动应用程序管理新规》”)。针对目前金融机构移动互联网应用程序(简称“移动应用程序”)普遍存在的数量庞杂、功能重复、用户满意度和活跃度低、安全合规风险隐患大等一系列问题,《移动应用程序管理新规》提出了加强管理、控制风险、提升服务、改善体验等要求,在规范移动应用程序建设和管理的同时,意在提升金融机构的安全保障水平和金融服务水平,以推进金融行业数字金融的发展。
二、新规的背景
2023年10月召开的中央金融工作会议指出,要切实加强对重大战略、重点领域和薄弱环节的优质金融服务,做好科技金融、绿色金融、普惠金融、养老金融和数字金融“五篇大文章”。
2024年5月9日,金融监管总局出台《关于银行业保险业做好金融“五篇大文章”的指导意见》,作为对中央金融工作会议要求的积极响应,提出围绕发展新质生产力,切实把“五篇大文章”落地落细,提高金融服务实体经济的质量和水平。
“五篇大文章”中的“数字金融”作为信息化时代的主流金融形态,能够加速资金、信息、数据的流通,加强金融供给与企业需求之间的资源配置,助力形成新质生产力。面对数字技术的飞速发展,各行各业都在技术变革中被重塑。金融行业同样期待抓住机遇,将数字技术与金融业务深度融合,使之成为推动金融创新和实体经济协同发展的新动力。“数字金融”的发展,也为实现科技金融、绿色金融、普惠金融和养老金融打下坚实的基础。
近些年来,金融机构的移动应用程序已经成为其实现数字化转型、运用数字技术服务民生以及为实体经济建立数字化、智能化的金融服务平台的重要载体。在提升金融服务便捷性的同时,这些移动应用程序存在数量庞杂、功能重复、用户满意度和活跃度低、安全合规风险隐患大等问题。在金融监管总局就《移动应用程序管理新规》答记者问中,相关司局负责人指出,本次新规的出台,目的在于“将金融机构的移动应用管理纳入全面风险管理体系,有效控制移动应用引发的风险,提升金融机构移动应用安全保障水平和金融服务水平”。
三、新规的主要内容
《移动应用程序管理新规》共十八条。针对金融机构移动应用程序的监管,主要涉及以下五个方面:
(一)明确金融机构移动应用程序的范围
新规序言部分对移动应用程序作出了明确的定义,是指“运行在移动智能终端上向内、外部用户提供服务的应用软件,包括但不限于移动应用APP、小程序、公众号等”。
我们注意到接受监管的移动应用程序不仅仅是大家熟悉的金融机构移动应用APP和小程序,包括公众号、社交活动账户等其他移动应用程序也被纳入到监管范围之中。监管范围的扩大和明确有助于全面规范金融机构移动应用程序的使用以及金融机构对监管要求的理解和落实。
(二)强调移动应用程序建设和管理的重要性并要求牵头部门统筹管理
在金融监管总局就《移动应用程序管理新规》答记者问中,相关司局负责人指出:要“加强移动应用程序的统筹管理,要求金融机构明确移动应用管理牵头部门、建立移动应用台账、完善准入退出机制、控制移动应用数量”。
经过多年的发展,金融机构的移动应用程序不仅包含金融服务,甚至出于便民的考虑,同时覆盖了购物、外卖、打车等各类生活场景。但是这些生活类服务常常并不在同一个移动应用程序之上。打开手机应用程序商店,大家可以发现大多数的商业银行都拥有至少2个或2个以上的手机移动应用程序,部分商业银行的手机移动应用程序甚至可以达到两位数,覆盖不同的零售业务需求。日渐增多的移动应用程序数量和不断扩充的移动应用程序功能让很多用户(特别是老年人)感觉无从下手。初衷是为了方便用户的移动应用程序反而产生了相反的效果。
针对以上问题,《移动应用程序管理新规》提出了具体的要求:
首先,要求金融机构重视移动应用程序的管理工作,将移动应用程序建设纳入金融机构数字化转型的整体规划之中,明确该项工作的重要性。
其次,建立“移动应用程序的牵头管理和统筹管理”、“明确单个移动应用程序的管理部门和责任人”以及“合作建设移动应用程序时协议约定管理责任”三种方式相结合的管理模式,既可以改变不同部门管理不同移动应用程序,各自为战的局面,实现全面优化和整改,又可以明确具体移动应用程序的管理责任,将合规要求落实到业务需求、产品研发、推广和运营的具体环节。
再次,要求金融机构建立移动应用程序业务合规审核机制,在严格按照许可范围开展业务的同时,定期进行业务合规检查和审计。
最后,要求金融机构“统筹移动应用程序的建设规划,建设功能全面、安全合规的移动应用”,并且“完善准入退出机制”、“合理控制移动应用数量”,对于“数量庞杂”、“功能重复”、“用户满意度和活跃度低”、“安全合规风险隐患大”的移动应用,可以进行优化整合或者终止运营。以上规定有利于改变金融机构移动应用程序过多和过杂的问题,通过优化整合,提升移动应用程序的实用性和使用体验。
(三)要求加强移动应用程序的全生命周期管理
《移动应用程序管理新规》要求金融机构加强移动应用程序的全生命周期管理,具体可以分为以下五个阶段:
1 | 需求分析阶段 | 在该阶段,金融机构需要进行同类同质业务需求的整合,在移动应用程序具备相对独立性和完整的业务场景和功能的同时,提高使用便捷度,满足适老化和未成年人保护等要求,不得有限制性歧视。 |
2 | 设计开发阶段 | 在该阶段,金融机构需要做好移动应用方案设计、方案评审、软件开发、代码管理和变更控制等工作。安全性是监管部门关注的重点,既要对移动应用集成的源代码或组件(含第三方组件)开展安全风险管理,也要加强对客户认证和系统应用逻辑控制的安全性测试。 |
3 | 测试验证和上架发布阶段 | 在该阶段,金融机构需要建立测试验证和上架发布制度,交付前完成缺陷和漏洞修复并且与移动应用分发平台1协同配合完成资质核验、上架审核、问题整改等工作。上架发布的前提条件是该移动应用程序满足网络安全、数据安全、隐私保护、合规展业等要求。金融机构需要自行管控移动应用程序的上架发布账号。 |
4 | 监控运行阶段 | 在该阶段,金融机构需要对移动应用程序的运行状态进行实时监控,加强账号权限管理,做好老旧版本的更新、维护和下线。在移动应用程序终止运营的情形下,要协同移动应用分发平台做好风险评估、数据迁移、隐私保护、用户告知等下架管理工作。 |
5 | 运行使用阶段 | 在该阶段,金融机构需要加强移动应用程序与运行环境的兼容性、适配性管理,提前开展移动应用程序的兼容性测试。在开展移动应用程序适配性改造时,应当制定改造方案和应急预案,强化安全管理。 |
移动应用程序的便捷度和安全性关系到线上金融服务的质量和可靠程度。通过整合同类同质业务需求,可以让一款移动应用程序具备更多的实用功能,满足不同生活场景的需要。简化移动应用程序的操作界面和流程并且增加未成年人对部分功能的使用限制可以更好地满足适老化以及未成年人保护的要求。金融机构对移动应用程序进行全生命周期的管理,有利于金融机构了解用户的实际需求,提高移动应用程序开发的效率和质量,同时还有利于尽早发现移动应用程序存在的问题,及时进行调整和完善。
(四)落实移动应用程序的风险管理责任
《移动应用程序管理新规》要求金融机构落实移动应用程序的备案和报告、网络安全、数据安全、外包管理、业务连续性(突发事件应急管理)及个人信息保护等方面的监管要求。
1 | 移动应用程序的备案和报告 | 金融机构需要按照网信、工信部门要求,开展互联网信息服务和移动应用程序备案工作。备案工作可以参考《互联网信息服务管理办法》2以及《关于开展移动互联网应用程序备案工作的通知》3的规定。此外,确定为重要信息系统的移动应用,应当按照重要信息系统投产变更相关要求4,向金融监管总局或其派出机构报告。 |
2 | 网络安全管理 | 金融机构需要严格落实国家网络安全等级保护制度5,定期对移动应用程序进行安全加固,采取加密方式进行数据传输并监测识别各类风险。 |
3 | 数据安全 | 金融机构应以“谁管业务、谁管业务数据、谁管数据安全”为原则,明确移动应用数据安全管理责任并防范各类数据风险。 |
4 | 移动应用外包管理 | 金融机构需要严格落实信息科技外包风险监管要求,开展移动应用外包准入、监控评价和风险管理。对外包服务提供商数据访问权限实行“必需知道”和“最小授权”原则,督促其加强数据安全管理,防范数据泄露。 |
5 | 业务连续性管理(突发事件应急管理) | 金融机构需要加强移动应用业务连续性管理和突发事件应急管理,结合移动应用程序特点开展业务影响分析,建立应急处置机制,制定应急预案,定期开展演练,及时向金融监管总局或其派出机构报告重大突发事件。 |
6 | 个人信息保护 | 金融机构需要建立移动应用程序个人信息保护制度,按照“合法、正当、必要”的原则收集个人信息并告知用户收集个人信息的目的、使用和保护个人信息的方式。通过建立投诉渠道,及时处理信息泄露和隐私合规相关问题,保障消费者权益。 |
根据北京商报6和搜狐网7的报道,“违规收集与使用用户信息”,“强制、频繁、过度索取用户权限”,“超范围收集用户信息”等已经成为银行移动应用程序违规的主要原因,虽然违规的大多是中小银行,但此类事件让个人信息保护和数据安全问题成为监管部门和消费者关注的焦点。
在落实风险管理责任方面,《移动应用程序管理新规》针对银行移动应用程序常见的违规情形,重点强调移动应用程序的合规性和安全性。从依法履行法定备案和报告手续,到关注网络安全、数据安全以及重大突发事件的处理和报告,最后明确个人信息收集“合法、正当、必要”的基本原则,意在治理银行移动应用程序在个人信息保护和数据安全方面存在的漏洞。对于个人信息保护,还需要注意《个人信息保护法》的相关要求,包括在收集个人信息时,应当限于实现处理目的的最小范围,不得过度收集个人信息。金融监管总局在今年3月22日发布的《银行保险机构数据安全管理办法(征求意见稿)》中,同样强调银行保险机构应按照“明确告知、授权同意”的原则处理个人信息,收集个人信息应限于最小范围,不得过度收集。
(五)加强移动应用程序的风险评估、审计和监管
《移动应用程序管理新规》要求金融机构将移动应用程序的风险纳入全面风险管理,健全风险防控措施,并且进行定期的风险评估和审计工作。金融监管总局各级派出机构将通过非现场监管和现场检查的方式加强对移动应用程序风险的监管、通报和问责。
四、结语
移动应用程序已经成为金融机构提供线上服务的重要渠道。通过服务线上化,客户避免了柜台排队的时间成本,办事效率获得极大的提升。“简洁、智能、贴心、安全”的移动应用程序有利于提高客户的粘性,让金融机构在争夺客户资源方面占据先机。如何更好地满足用户对于移动应用程序不断扩展的现实需求已经成为金融机构下一步发展数字金融的方向。
《移动应用程序管理新规》的实施将为数字金融的发展创造更加规范、有序的环境,引导金融机构的移动应用程序向功能全面、体验至上、安全合规的方向迈进。金融机构将数字技术与业务场景深度融合,可以在为用户提供便捷、安全、个性化的移动金融服务同时,提升金融服务效率,增强服务实体经济和防范金融风险的水平,打造在数字化、智能化方面独有的竞争力。
[1]指通过互联网提供应用程序发布、下载、动态加载等服务活动的平台,包括应用商店、快应用中心、互联网小程序平台、浏览器插件平台等类型。
[2]参见《互联网信息服务管理办法》第四条的规定。
[3]参见《关于开展移动互联网应用程序备案工作的通知》第二条第(一)项的规定。
[4]参见《银行业金融机构重要信息系统投产及变更管理办法》第三十一条的规定。
[5]参见《中华人民共和国网络安全法》第二十一条的规定。
[6] 又有银行App遭“点名” 过度索取信息、隐私不合规乱象如何“纠偏”_用户_工作_数据
[7] 隐私危机频现:多家银行APP遭通报,数据安全何去何从?_金融_问题_管理
