2024年9月12日,国家金融监督管理总局(简称“金融监管总局”)发布《关于加强银行业保险业移动互联网应用程序管理的通知》(简称“《移动应用程序管理新规》”)。针对目前金融机构移动互联网应用程序(简称“移动应用程序”)普遍存在的数量庞杂、功能重复、用户满意度和活跃度低、安全合规风险隐患大等一系列问题,《移动应用程序管理新规》提出了加强管理、控制风险、提升服务、改善体验等要求,在规范移动应用程序建设和管理的同时,意在提升金融机构的安全保障水平和金融服务水平,以推进金融行业数字金融的发展。
二、新规的背景
三、新规的主要内容
《移动应用程序管理新规》共十八条。针对金融机构移动应用程序的监管,主要涉及以下五个方面:
(一)明确金融机构移动应用程序的范围
新规序言部分对移动应用程序作出了明确的定义,是指“运行在移动智能终端上向内、外部用户提供服务的应用软件,包括但不限于移动应用APP、小程序、公众号等”。
我们注意到接受监管的移动应用程序不仅仅是大家熟悉的金融机构移动应用APP和小程序,包括公众号、社交活动账户等其他移动应用程序也被纳入到监管范围之中。监管范围的扩大和明确有助于全面规范金融机构移动应用程序的使用以及金融机构对监管要求的理解和落实。
(二)强调移动应用程序建设和管理的重要性并要求牵头部门统筹管理
经过多年的发展,金融机构的移动应用程序不仅包含金融服务,甚至出于便民的考虑,同时覆盖了购物、外卖、打车等各类生活场景。但是这些生活类服务常常并不在同一个移动应用程序之上。打开手机应用程序商店,大家可以发现大多数的商业银行都拥有至少2个或2个以上的手机移动应用程序,部分商业银行的手机移动应用程序甚至可以达到两位数,覆盖不同的零售业务需求。日渐增多的移动应用程序数量和不断扩充的移动应用程序功能让很多用户(特别是老年人)感觉无从下手。初衷是为了方便用户的移动应用程序反而产生了相反的效果。
针对以上问题,《移动应用程序管理新规》提出了具体的要求:
首先,要求金融机构重视移动应用程序的管理工作,将移动应用程序建设纳入金融机构数字化转型的整体规划之中,明确该项工作的重要性。
其次,建立“移动应用程序的牵头管理和统筹管理”、“明确单个移动应用程序的管理部门和责任人”以及“合作建设移动应用程序时协议约定管理责任”三种方式相结合的管理模式,既可以改变不同部门管理不同移动应用程序,各自为战的局面,实现全面优化和整改,又可以明确具体移动应用程序的管理责任,将合规要求落实到业务需求、产品研发、推广和运营的具体环节。
再次,要求金融机构建立移动应用程序业务合规审核机制,在严格按照许可范围开展业务的同时,定期进行业务合规检查和审计。
最后,要求金融机构“统筹移动应用程序的建设规划,建设功能全面、安全合规的移动应用”,并且“完善准入退出机制”、“合理控制移动应用数量”,对于“数量庞杂”、“功能重复”、“用户满意度和活跃度低”、“安全合规风险隐患大”的移动应用,可以进行优化整合或者终止运营。以上规定有利于改变金融机构移动应用程序过多和过杂的问题,通过优化整合,提升移动应用程序的实用性和使用体验。
(三)要求加强移动应用程序的全生命周期管理
《移动应用程序管理新规》要求金融机构加强移动应用程序的全生命周期管理,具体可以分为以下五个阶段:
1
需求分析阶段
在该阶段,金融机构需要进行同类同质业务需求的整合,在移动应用程序具备相对独立性和完整的业务场景和功能的同时,提高使用便捷度,满足适老化和未成年人保护等要求,不得有限制性歧视。
2
设计开发阶段
3
测试验证和上架发布阶段
在该阶段,金融机构需要建立测试验证和上架发布制度,交付前完成缺陷和漏洞修复并且与移动应用分发平台1协同配合完成资质核验、上架审核、问题整改等工作。上架发布的前提条件是该移动应用程序满足网络安全、数据安全、隐私保护、合规展业等要求。金融机构需要自行管控移动应用程序的上架发布账号。
4
监控运行阶段
在该阶段,金融机构需要对移动应用程序的运行状态进行实时监控,加强账号权限管理,做好老旧版本的更新、维护和下线。在移动应用程序终止运营的情形下,要协同移动应用分发平台做好风险评估、数据迁移、隐私保护、用户告知等下架管理工作。
5
运行使用阶段
在该阶段,金融机构需要加强移动应用程序与运行环境的兼容性、适配性管理,提前开展移动应用程序的兼容性测试。在开展移动应用程序适配性改造时,应当制定改造方案和应急预案,强化安全管理。
移动应用程序的便捷度和安全性关系到线上金融服务的质量和可靠程度。通过整合同类同质业务需求,可以让一款移动应用程序具备更多的实用功能,满足不同生活场景的需要。简化移动应用程序的操作界面和流程并且增加未成年人对部分功能的使用限制可以更好地满足适老化以及未成年人保护的要求。金融机构对移动应用程序进行全生命周期的管理,有利于金融机构了解用户的实际需求,提高移动应用程序开发的效率和质量,同时还有利于尽早发现移动应用程序存在的问题,及时进行调整和完善。
(四)落实移动应用程序的风险管理责任
《移动应用程序管理新规》要求金融机构落实移动应用程序的备案和报告、网络安全、数据安全、外包管理、业务连续性(突发事件应急管理)及个人信息保护等方面的监管要求。
移动应用程序的备案和报告
网络安全管理
金融机构需要严格落实国家网络安全等级保护制度5,定期对移动应用程序进行安全加固,采取加密方式进行数据传输并监测识别各类风险。
数据安全
金融机构应以“谁管业务、谁管业务数据、谁管数据安全”为原则,明确移动应用数据安全管理责任并防范各类数据风险。
移动应用外包管理
业务连续性管理(突发事件应急管理)
金融机构需要加强移动应用业务连续性管理和突发事件应急管理,结合移动应用程序特点开展业务影响分析,建立应急处置机制,制定应急预案,定期开展演练,及时向金融监管总局或其派出机构报告重大突发事件。
6
个人信息保护
(五)加强移动应用程序的风险评估、审计和监管
《移动应用程序管理新规》要求金融机构将移动应用程序的风险纳入全面风险管理,健全风险防控措施,并且进行定期的风险评估和审计工作。金融监管总局各级派出机构将通过非现场监管和现场检查的方式加强对移动应用程序风险的监管、通报和问责。
四、结语
《移动应用程序管理新规》的实施将为数字金融的发展创造更加规范、有序的环境,引导金融机构的移动应用程序向功能全面、体验至上、安全合规的方向迈进。金融机构将数字技术与业务场景深度融合,可以在为用户提供便捷、安全、个性化的移动金融服务同时,提升金融服务效率,增强服务实体经济和防范金融风险的水平,打造在数字化、智能化方面独有的竞争力。
[1]指通过互联网提供应用程序发布、下载、动态加载等服务活动的平台,包括应用商店、快应用中心、互联网小程序平台、浏览器插件平台等类型。
[2]参见《互联网信息服务管理办法》第四条的规定。
[3]参见《关于开展移动互联网应用程序备案工作的通知》第二条第(一)项的规定。
[4]参见《银行业金融机构重要信息系统投产及变更管理办法》第三十一条的规定。
[5]参见《中华人民共和国网络安全法》第二十一条的规定。
[6]又有银行App遭“点名”过度索取信息、隐私不合规乱象如何“纠偏”_用户_工作_数据
[7]隐私危机频现:多家银行APP遭通报,数据安全何去何从?_金融_问题_管理