国家金融监督管理总局印发《关于加强银行业保险业移动互联网运用程序管理的告诉》

为加强银行业保险业信息科技监管，指点银行业金融机构、保险业金融机构和金融控股公司（以下统称金融机构）有序规范建设移动互联网运用程序（以下简称移动运用），提升金融服务程度，金融监管总局近日印发了《关于加强银行业保险业移动互联网运用程序管理的告诉》（以下简称《告诉》）。

近年来，移动运用已成为金融机构线上服务的重要渠道，在提升金融服务便捷性的同时，也存在数量庞杂、功能反复、用户满意度和活跃度低等成绩。《告诉》坚持成绩导向，要求金融机构加强统筹，开展移动运用全生命周期管理，结合金融机构移动运用存在的成绩提出针对性管理要求，有效规范金融机构移动运用的建设管理工作，提升金融机构移动运用安全保障程度和金融服务程度。

《告诉》从四方面提出18条工作要求。一是加强统筹管理，要求金融机构明确移动运用管理牵头部门、建立移动运用台账、完善准入加入机制、控制移动运用数量；二是加强全生命周期管理，要求金融机构规范移动运用的需求分析、设计开发、测实验证、上架发布、监控运转等环节，强化移动运用与运转环境的兼容性、适配性管理；三是落实风险管理责任，要求金融机构落实移动运用备案、网络安全、数据安全、外包管理、业务连续性及个人信息保护等监管要求；四是加强监督管理，要求金融监管总局各级派出机构加强移动运用监管工作。

国家金融监督管理总局有关司局担任人就《关于加强银行业保险业移动互联网运用程序管理的告诉》答记者问

金融监管总局近日印发了《关于加强银行业保险业移动互联网运用程序管理的告诉》（以下简称《告诉》），金融监管总局有关司局担任人就《告诉》回答了记者发问。

一、制定《告诉》的背景和意义是什么？

近年来，移动互联网运用程序（以下简称移动运用）已成为银行业金融机构、保险业金融机构和金融控股公司（以下统称金融机构）线上服务的重要渠道，在提升金融服务便捷性的同时，也存在数量庞杂、功能反复、用户满意度和活跃度低等成绩。为贯彻落实银行业保险业信息科技监管要求，指点金融机构有序规范建设移动运用，提升金融服务程度，金融监管总局印发了《告诉》。

《告诉》针对当前存在的成绩，要求金融机构加强统筹，将移动运用管理纳入片面风险管理体系，有效控制移动运用引发的风险，同时督促金融机构进一步加强服务，改善用户体验，有利于规范银行业保险业移动运用建设管理，提升金融机构移动运用安全保障程度和金融服务程度，筑牢信息科技风险防线。

二、《告诉》的次要内容是什么？

《告诉》从四方面提出18条工作要求，一是加强统筹管理，要求金融机构明确移动运用管理牵头部门、建立移动运用台账、完善准入加入机制、控制移动运用数量；二是加强全生命周期管理，要求金融机构规范移动运用的需求分析、设计开发、测实验证、上架发布、监控运转等环节，强化移动运用与运转环境的兼容性、适配性管理；三是落实风险管理责任，要求金融机构落实移动运用备案、网络安全、数据安全、外包管理、业务连续性及个人信息保护等监管要求；四是加强监督管理，要求金融监管总局各级派出机构加强移动运用监管工作。

三、《告诉》规范的次要对象是什么？

《告诉》规范对象是金融机构的移动运用，包括对客户提供金融服务的运用，以及内部管理类运用，也涵盖金融机构在各互联网平台运营的小程序、公众号等。

四、移动运用牵头管理部门的次要职责有哪些？

《告诉》要求，金融机构要明确移动运用牵头管理部门，强化统筹管理，加强业务与科技协同，压实各方管理职责，规划建设功能片面、安全合规的移动运用。金融机构该当建立移动运用台账，完善准入加入机制，统筹各业务部门及各分支机构的移动运用建设规划，合理控制移动运用数量，对用户活跃度低、体验差、功能冗余、安全合规风险隐患大的移动运用及时进行优化整合或终止运营。

五、《告诉》对经过移动运用合规展业提出了哪些要求？

《告诉》要求，金融机构该当建立移动运用业务合规审核机制（含第三方合作业务），严厉按照答应证载明的业务范围和地域范围开展业务，按监管要求开展销售过程可回溯、信息披露等工作，定期进行业务合规检查和审计。

六、《告诉》对金融机构移动运用整合提出哪些要求？

《告诉》要求，金融机构该当加强移动运用统筹管理，建立移动运用台账，完善准入加入机制，统筹各业务部门及各分支机构的移动运用建设规划，合理控制移动运用数量。对用户活跃度低、体验差、功能冗余、安全合规风险隐患大的移动运用及时进行优化整合或终止运营。金融机构开展移动运用需求管理，该当进行同类同质业务需求整合，使移动应用具备绝对独立且残缺的业务场景及功能。在符合《告诉》要求的前提下，各金融机构可根据本身状况，制定整合标准，在整合过程中做好风险评价、数据迁移、隐私保护、用户告知等管理工作。

七、《告诉》中金融机构移动运用数据安全责任如何界定？

《告诉》明确了“谁管业务、谁管业务数据、谁管数据安全”的准绳，金融机构要压实业务管理部门数据管理职责，会同信息科技部门做好业务数据安全管理工作。《告诉》对外包服务中的数据安全也提出了要求，机构应按照“必需知道”和“最小授权”准绳严厉控制外包服务提供商数据访问权限，督促其加强数据安全管理，防备数据泄露。

八、《告诉》对金融机构移动运用个人信息保护提出了哪些要求？

《告诉》要求，金融机构该当严厉落实国家法律法规和监管要求，建立移动运用个人信息保护制度，规范个人信息管理，遵照“合法、合理、必要”准绳搜集个人信息，向用户告知搜集个人信息的目的、运用和保护个人信息的方式，公布赞扬渠道信息，及时处理信息泄露和隐私合规相关成绩，保障消费者权益。

国家金融监督管理总局

金办发〔2024〕99号

国家金融监督管理总局办公厅关于加强银行业保险业移动互联网运用程序管理的告诉

各金融监管局，各政策性银行、大型银行、股份制银行、外资银行、直销银行、金融资产管理公司、金融资产投资公司、理财公司，各保险350vip葡亰集团350vip葡亰集团350vip葡亰集团集团（控股）公司、保险公司、保险资产管理公司、养老金管理公司，各金融控股公司：

为指点银行业金融机构、保险业金融机构和金融控股公司（以下统称金融机构）进一步提升服务质量，规范移动互联网运用程序（运转在移动智能终端上向内、内部用户提供服务的运用软件，包括但不限于移动运用APP、小程序、公众号等，以下简称移动运用）管理，经金融监管总局赞同，现就有关工作告诉如下：

一、金融机构该当注重移动运用管理工作，将移动运用建设纳入数字化转型全体规划，明确牵头管理部门，强化统筹管理，加强业务与科技协同，压实各方管理职责，规划建设功能片面、安全合规的移动运用。

二、金融机构该当加强移动运用统筹管理，建立移动运用台账，完善准入加入机制，统筹各部门及各分支机构的移动运用建设规划，合理控制移动运用数量。对用户活跃度低、体验差、功能冗余、安全合规风险隐患大的移动运用及时进行优化整合或终止运营。

三、金融机构该当明确各移动运用的管理部门及责任人，完善内部管理机制，将合规要求落实到业务需求、产品研发、推行和运营的各个环节。

四、与政府部门、企业等第三方合作建设移动运用的，金融机构该当经过合同或者协议明确移动运用管理责任主体、商定单方责任义务，实在履行网络安全、数据安全责任。严禁第三方经过移动运用违规开展金融业务。

五、金融机构该当建立移动运用业务合规审核机制（含第三方合作业务），严厉按照答应证载明的业务范围和地域范围开展业务，按监管要求开展销售过程可回溯、信息披露等工作，定期进行业务合规检查和审计。

六、金融机构开展移动运用需求管理，该当进行同类同质业务需求整合，使移动应用具备绝对独立且残缺的业务场景及功能，具有较高的运用便捷度，满足适老化、未成年人保护等要求，不得有歧视性限制，加强移动运用及第三方软件开发工具包安全需求分析。

七、金融机构该当做好移动运用方案设计、方案评审、软件开发、代码管理和变更控制等工作，对移动运用集成的源代码或组件（含第三方组件）开展安全风险管理，加强对客户认证和零碎运用逻辑控制的安全性测试，禁止在移动运用中嵌入有关链接、失效链接、恶意程序等存在风险的代码，并及时做好排查清算工作。

八、金融机构该当为移动运用（含第三方软件开发工具包）建立测实验证和上架发布制度，交付前完成缺陷和漏洞修复，与移动运用分发平台（经过互联网提供运用程序发布、下载、动态加载等服务活动的平台，包括运用商店、快运用中心、互联网小程序平台、浏览器插件平台等类型）协同配合，完成资质核验、上架审核、成绩整改等工作，满足网络安全、数据安全、隐私保护、合规展业等要求后方可上架发布。金融机构该当自行管控移动运用的上架发布账号。

九、金融机构该当对移动运用（含第三方软件开发工具包）的运转形状进行实时监控，加强账号权限管理，做好老旧版本的更新、维护和下线。金融机构终止移动运用运营的，该当协同移动运用分发平台做好风险评价、数据迁移、隐私保护、用户告知等下架管理工作。金融机构该当加强对仿冒移动运用的监测排查，发现仿冒移动运用，该当尽快采取公开澄清等处置措施，并及时向金融监管总局或其派出机构报告。

十、金融机构该当加强移动运用与运转环境的兼容性、适配性管理，密切跟踪智能终端次要操作零碎版本晋级信息，关注移动运用分发平台的软件版本晋级公告，提早开展移动运用（含第三方软件开发工具包）兼容性测试。开展移动运用适配性改造，该当制定改造方案和应急预案，强化安全管理。

十一、金融机构该当按照网信、工信部门要求，开展互联网信息服务和移动互联网运用程序备案工作。确定为重要信息零碎（支撑重要业务，其信息安全和服务质量关系公民、法人和其他组织的权益，或关系社会次序、公共利益乃至国家安全的信息零碎，包括面向客户、触及账务处理且实时性要求较高的业务处理类、渠道类和触及客户风险管理等业务的管理类信息零碎）的移动运用，该当按照重要信息零碎投产变更相关要求，向金融监管总局或其派出机构报告。

十二、金融机构该当加强移动运用网络安全管理，严厉落实国家网络安全等级保护制度，定期对移动运用进行安全加固，采取加密方式进行数据传输，监测辨认异常流量、恶意程序、攻击入侵、安全漏洞、非法逆向分析破解、代码篡改及重打包等风险，发现成绩及时处置。金融机构该当对移动运用注册用户进行有效身份核验。

十三、金融机构该当按照“谁管业务、谁管业务数据、谁管数据安全”的准绳，明确移动运用数据安全管理责任。结合移动运用特点强化数据安全措施，有效防备数据泄露、篡改和勒索攻击等风险。

十四、金融机构委托外包服务提供商建设维护移动运用的，该当严厉落实信息科技外包风险监管要求，开展移动运用外包准入、监控评价和风险管理，按照“必需知道”和“最小授权”准绳严厉控制外包服务提供商数据访问权限，督促其加强数据安全管理，防备数据泄露。

十五、金融机构该当加强移动运用业务连续性管理和突发事情应急管理，结合移动运用特点开展业务影响分析，建立应急处置机制，制定应急预案，定期开展演练，及时向金融监管总局或其派出机构报告严重突发事情。

十六、金融机构该当严厉落实国家法律法规和监管要求，建立移动运用个人信息保护制度，规范个人信息管理，遵照“合法、合理、必要”准绳搜集个人信息，向用户告知搜集个人信息的目的、运用和保护个人信息的方式，公布赞扬渠道信息，及时处理信息泄露和隐私合规相关成绩，保障消费者权益。

十七、金融机构该当将移动运用风险纳入片面风险管理，辨认违规展业、损害消费者权益等业务风险及网络安全漏洞等科技风险，健全风险防控措施，每年至少开展一次移动运用风险评价，每三年至少开展一次审计，发生严重移动运用风险事情时，应立即开展专项审计。

十八、各级派出机构该当压实辖内金融机构移动运用管理主体责任，督促辖内金融机构落实信息科技监管制度要求，加强移动运用监测预警，定期开展浸透测试。在非现场监管和现场检查中对移动运用相关风险加强关注，加大风险漏洞通报力度，及时督促整改。加强对金融机构移动运用违法违规成绩处罚问责力度，对于因管理不当导致严重风险事情、存在严重风险隐患、风险排查流于方式、成绩整改不力等情形严肃问责。

国家金融监督管理总局办公厅

2024年9月12日    

（此件发至金融监管分局与辖内地方法人银行业金融机构、保险业金融机构）