为加强银行业保险业信息科技监管，指导银行业金融机构、保险业金融机构和金融控股公司有序规范建设移动互联网应用程序(以下简称移动应用)，提升金融服务水平，金融监管总局于2024年9月印发了《关于加强银行业保险业移动互联网应用程序管理的通知》。

　　《关于加强银行业保险业移动互联网应用程序管理的通知》

　　各金融监管局，各政策性银行、大型银行、股份制银行、外资银行、直销银行、金融资产管理公司、金融资产投资公司、理财公司，各保险集团(控股)公司、保险公司、保险资产管理公司、养老金管理公司，各金融控股公司：

　　为指导银行业金融机构、保险业金融机构和金融控股公司(以下统称金融机构)进一步提升服务质量，规范移动互联网应用程序(运行在移动智能终端上向内、外部用户提供服务的应用软件，包括但不限于移动应用APP、小程序、公众号等，以下简称移动应用)管理，经金融监管总局同意，现就有关工作通知如下：

　　【笔记】本通知规定的移动互联网应用程序，是指运行在移动智能终端上向内、外部用户提供服务的应用软件，包括但不限于移动应用APP、小程序、公众号等。本通知规范对象是金融机构的移动应用，包括对客户提供金融服务的应用，以及内部管理类应用，也涵盖金融机构在各互联网平台运营的小程序、公众号等。

　　一、金融机构应当重视移动应用管理工作，将移动应用建设纳入数字化转型整体规划，明确牵头管理部门，强化统筹管理，加强业务与科技协同，压实各方管理职责，规划建设功能全面、安全合规的移动应用。

　　【笔记】本条提出强化移动应用的统筹管理，要求金融机构明确移动应用管理工作的牵头管理部门，牵头管理部门需强化统筹管理，加强业务与科技协同。统筹不等于包揽，移动应用管理往往牵涉较多内设部门和各级分支机构，需建立健全公司制度和管理流程，压实各方管理职责。2022年1月，原银保监会发布《中国银保监会办公厅关于银行业保险业数字化转型的指导意见》(银保监办发〔2022〕2号)，明确银行业保险业数字化转型的战略规划与组织流程建设。本条进一步明确将移动应用建设纳入数字化转型整体规划。

　　二、金融机构应当加强移动应用统筹管理，建立移动应用台账，完善准入退出机制，统筹各部门及各分支机构的移动应用建设规划，合理控制移动应用数量。对用户活跃度低、体验差、功能冗余、安全合规风险隐患大的移动应用及时进行优化整合或终止运营。

　　【笔记】本条对金融机构的移动应用整合提出具体要求。当前金融机构移动应用缺乏有效的统筹管理，存在多头重复开发的问题。因此，本条要求金融机构牵头管理部门应加强统筹管理，建立移动应用台账，完善准入退出机制。准入方面，牵头管理部门应统筹各部门及各分支机构的移动应用建设规划，合理控制移动应用数量;退出方面，应对用户活跃度低、体验差、功能冗余、安全合规风险隐患大的移动应用及时进行优化整合或终止运营。

　　三、金融机构应当明确各移动应用的管理部门及责任人，完善内部管理机制，将合规要求落实到业务需求、产品研发、推广和运营的各个环节。

　　【笔记】本条规定移动应用的归口管理要求。一是落实到人，明确各移动应用的管理部门和责任人;二是全流程管控，完善内部机制，将合规要求落实到业务需求、产品研发、推广和运营的各个环节。

　　四、与政府部门、企业等第三方合作建设移动应用的，金融机构应当通过合同或者协议明确移动应用管理责任主体、约定双方责任义务，切实履行网络安全、数据安全责任。严禁第三方通过移动应用违规开展金融业务。

　　【笔记】本条规定合作开发建设的移动应用管理要求。协议层面，金融机构应当通过合同或者协议明确移动应用管理责任主体、约定双方责任义务，切实履行网络安全、数据安全责任。涉及信息科技外包的，金融机构还应在信息科技外包合同或协议中明确《银行保险机构信息科技外包风险监管办法》第二十三条的要求。严禁第三方通过移动应用违规开展金融业务。非保险机构提供保险产品引流、商业宣传推广等互联网保险营销宣传服务，应当严格遵守《互联网保险业务监管办法》第二十三条规定，不得从事互联网保险产品销售、咨询、保费试算、报价比价等商业行为。为保险消费者购买保险产品提供网络转接渠道的，跳转的投保页面应属于保险机构的自营网络平台。收取相关费用，应当合理定价，确保质价相符。非保险机构不得以技术服务费、营销宣传费等名义，违规获取互联网保险产品销售手续费或佣金。

　　五、金融机构应当建立移动应用业务合规审核机制(含第三方合作业务)，严格按照许可证载明的业务范围和地域范围开展业务，按监管要求开展销售过程可回溯、信息披露等工作，定期进行业务合规检查和审计。

　　【笔记】本条规定移动应用业务的合规审核、合规检查和审计要求。金融机构应当结合自身实际情况，定期进行移动应用业务合规检查和审计。互联网保险业务需依托自营网络平台(包括但不限于移动应用APP、小程序、公众号等移动应用平台)开展，保险机构开展互联网保险业务，经营区域应符合《互联网保险业务监管办法》第五条、《中国银保监会办公厅关于进一步规范保险机构互联网人身保险业务有关事项的通知》第一条和《国家金融监督管理总局关于加强和改进互联网财产保险业务监管有关事项的通知》第四条等相关监管制度规定，需要依据《中国银保监会关于规范互联网保险销售行为可回溯管理的通知》的要求规范开展可回溯管理。

　　六、金融机构开展移动应用需求管理，应当进行同类同质业务需求整合，使移动应用具备相对独立且完整的业务场景及功能，具有较高的使用便捷度，满足适老化、未成年人保护等要求，不得有歧视性限制，加强移动应用及第三方软件开发工具包安全需求分析。

　　【笔记】本条规定移动应用需求管理。移动应用业务需求是产品研发、推广和运营的前提。一是避免“功能冗余”，需求管理中应当进行同类同质业务需求整合，使移动应用具备相对独立且完整的业务场景及功能具有较高的使用便捷度;二是加强特殊人群的保护，满足适老化、未成年人保护等要求，不得有歧视性限制;三是加强移动应用及第三方软件开发工具包(Software Development Kit，SDK)安全需求分析。

　　七、金融机构应当做好移动应用方案设计、方案评审、软件开发、代码管理和变更控制等工作，对移动应用集成的源代码或组件(含第三方组件)开展安全风险管理，加强对客户认证和系统应用逻辑控制的安全性测试，禁止在移动应用中嵌入无关链接、失效链接、恶意程序等存在风险的代码，并及时做好排查清理工作。

　　【笔记】本条规定移动应用产品研发管理，包括移动应用方案设计、方案评审、软件开发、代码管理和变更控制等工作，加强移动应用产品研发环节的安全风险管理。

　　八、金融机构应当为移动应用(含第三方软件开发工具包)建立测试验证和上架发布制度，交付前完成缺陷和漏洞修复，与移动应用分发平台(通过互联网提供应用程序发布、下载、动态加载等服务活动的平台，包括应用商店、快应用中心、互联网小程序平台、浏览器插件平台等类型)协同配合，完成资质核验、上架审核、问题整改等工作，满足网络安全、数据安全、隐私保护、合规展业等要求后方可上架发布。金融机构应当自行管控移动应用的上架发布账号。

　　【笔记】本条规定移动应用测试验证和上架发布管理。金融机构应当为移动应用(含第三方软件开发工具包)建立测试验证和上架发布制度。应用商店对本商店内上架的应用软件负有安全管理的责任。在应用软件上架前，应用商店应自行或委托第三方对其进行安全检测，对含有恶意扣费、信息窃取、远程控制、恶意传播、资费消耗、系统破坏、诱骗欺诈等行为，以及含有法律法规禁止内容的应用软件，不得上架发布，并将其纳入应用软件黑名单。应用商店应定期对已上架的应用软件进行安全复查。(《工业和信息化部关于在打击治理移动互联网恶意程序专项行动中做好应用商店安全检查工作的通知》)金融机构不得委托任何第三方管控移动应用的上架发布账号。

　　九、金融机构应当对移动应用(含第三方软件开发工具包)的运行状态进行实时监控，加强账号权限管理，做好老旧版本的更新、维护和下线。金融机构终止移动应用运营的，应当协同移动应用分发平台做好风险评估、数据迁移、隐私保护、用户告知等下架管理工作。金融机构应当加强对仿冒移动应用的监测排查，发现仿冒移动应用，应当尽快采取公开澄清等处置措施，并及时向金融监管总局或其派出机构报告。

　　【笔记】本条规定移动应用运营管理。在符合本通知要求的前提下，各金融机构可根据自身情况，制定整合标准，在整合过程中做好风险评估、数据迁移、隐私保护、用户告知等管理工作。

　　十、金融机构应当加强移动应用与运行环境的兼容性、适配性管理，密切跟踪智能终端主要操作系统版本升级信息，关注移动应用分发平台的软件版本升级公告，提前开展移动应用(含第三方软件开发工具包)兼容性测试。开展移动应用适配性改造，应当制定改造方案和应急预案，强化安全管理。

　　【笔记】本条规定移动应用与运行环境的兼容性、适配性管理。

　　十一、金融机构应当按照网信、工信部门要求，开展互联网信息服务和移动互联网应用程序备案工作。确定为重要信息系统(支撑重要业务，其信息安全和服务质量关系公民、法人和其他组织的权益，或关系社会秩序、公共利益乃至国家安全的信息系统，包括面向客户、涉及账务处理且实时性要求较高的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统)的移动应用，应当按照重要信息系统投产变更相关要求，向金融监管总局或其派出机构报告。

　　【笔记】本条规定移动应用的信息服务管理。网信、工信部门有关开展互联网信息服务和移动互联网应用程序备案工作的监管文件包括但不限于《互联网信息服务管理办法(2011修订)》《移动互联网应用程序信息服务管理规定(2022)》《工业和信息化部关于开展移动互联网应用程序备案工作的通知》等。银行业重要信息系统投产变更相关要求，详见《银行业金融机构重要信息系统投产及变更管理办法》(银监办发〔2009〕437号)。《银行保险机构操作风险管理办法》第四十二条 银行保险机构应当在知悉或者应当知悉以下重大操作风险事件5个工作日内，按照监管职责归属向国家金融监督管理总局或其派出机构报告：......(四)重要信息系统出现故障、受到网络攻击，导致在同一省份的营业网点、电子渠道业务中断3小时以上;或者在两个及以上省份的营业网点、电子渠道业务中断30分钟以上。......

　　十二、金融机构应当加强移动应用网络安全管理，严格落实国家网络安全等级保护制度，定期对移动应用进行安全加固，采取加密方式进行数据传输，监测识别异常流量、恶意程序、攻击入侵、安全漏洞、非法逆向分析破解、代码篡改及重打包等风险，发现问题及时处置。金融机构应当对移动应用注册用户进行有效身份核验。

　　【笔记】本条规定移动应用网络安全管理。《银行保险机构操作风险管理办法》同时规定：银行保险机构应当制定网络安全管理制度，履行网络安全保护义务，执行网络安全等级保护制度要求，采取必要的管理和技术措施，监测、防御、处置网络安全风险和威胁，有效应对网络安全事件，保障网络安全、稳定运行，防范网络违法犯罪活动。

　　十三、金融机构应当按照“谁管业务、谁管业务数据、谁管数据安全”的原则，明确移动应用数据安全管理责任。结合移动应用特点强化数据安全措施，有效防范数据泄露、篡改和勒索攻击等风险。

　　【笔记】本条规定移动应用数据安全管理。本条明确移动应用数据安全管理责任主体的确定原则，即“谁管业务、谁管业务数据、谁管数据安全”，旨在压实金融机构业务管理部门数据管理职责，会同信息科技部门做好业务数据安全管理工作。所谓数据安全，是指通过采取必要措施，对数据处理活动和数据应用场景进行管理与控制，确保数据始终处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。2024年3月，《银行保险机构数据安全管理办法》面向社会公开征求意见。《银行保险机构操作风险管理办法》同时规定：银行保险机构应当制定数据安全管理制度，对数据进行分类分级管理，采取保护措施，保护数据免遭篡改、破坏、泄露、丢失或者被非法获取、非法利用，重点加强个人信息保护，规范数据处理活动，依法合理利用数据。

　　十四、金融机构委托外包服务提供商建设维护移动应用的，应当严格落实信息科技外包风险监管要求，开展移动应用外包准入、监控评价和风险管理，按照“必需知道”和“最小授权”原则严格控制外包服务提供商数据访问权限，督促其加强数据安全管理，防范数据泄露。

　　【笔记】本条规定移动应用信息科技外包风险管理。本通知对外包服务中的数据安全也提出了要求，机构应按照“必需知道”和“最小授权”原则严格控制外包服务提供商数据访问权限，督促其加强数据安全管理，防范数据泄露。2021年12月，原中国银保监会发布《银行保险机构信息科技外包风险监管办法》，对银行保险机构信息科技外包风险管理提出全面要求。所谓信息科技外包，是指银行保险机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为。除了上述外包行为以外，随着近年来银行保险机构在各个领域与第三方的合作越来越多，其中不少合作涉及机构重要数据和客户个人信息处理，为充分保护金融消费者权益，加强第三方合作当中的信息科技风险管理，防止敏感信息泄露和不当使用，对银行保险机构与其他第三方合作当中涉及银行保险机构的重要数据和客户个人信息处理的信息科技活动，需按照《银行保险机构信息科技外包风险监管办法》相关要求进行管理。

　　十五、金融机构应当加强移动应用业务连续性管理和突发事件应急管理，结合移动应用特点开展业务影响分析，建立应急处置机制，制定应急预案，定期开展演练，及时向金融监管总局或其派出机构报告重大突发事件。

　　【笔记】本条规定移动应用业务连续性管理和突发事件应急管理。所谓业务连续性管理，是指银行保险机构为有效应对重要业务运营中断事件，建设应急响应、恢复机制和管理能力框架，保障重要业务持续运营的一整套管理过程，包括策略、组织架构、方法、标准和程序。所谓突发事件，是指符合《中华人民共和国突发事件应对法》规定的，突然发生，造成或者可能造成严重社会危害，需要采取应急处置措施予以应对的自然灾害、事故灾难、公共卫生事件和社会安全事件。延伸规定：《银行保险机构应对突发事件金融服务管理办法》(中国银行保险监督管理委员会令2020年第10号)《银行业保险业突发事件信息报告办法》(银保监发〔2019〕29号)

　　十六、金融机构应当严格落实国家法律法规和监管要求，建立移动应用个人信息保护制度，规范个人信息管理，遵循“合法、正当、必要”原则收集个人信息，向用户告知收集个人信息的目的、使用和保护个人信息的方式，公布投诉渠道信息，及时处理信息泄露和隐私合规相关问题，保障消费者权益。

　　【笔记】本条规定移动应用个人信息保护管理。《银行保险机构消费者权益保护管理办法》同时要求：银行保险机构应当建立消费者个人信息保护机制，完善内部管理制度、分级授权审批和内部控制措施，对消费者个人信息实施全流程分级分类管控，有效保障消费者个人信息安全。银行保险机构处理和使用个人信息的业务和信息系统，遵循权责对应、最小必要原则设置访问、操作权限，落实授权审批流程，实现异常操作行为的有效监控和干预。

　　十七、金融机构应当将移动应用风险纳入全面风险管理，识别违规展业、侵害消费者权益等业务风险及网络安全漏洞等科技风险，健全风险防控措施，每年至少开展一次移动应用风险评估，每三年至少开展一次审计，发生重大移动应用风险事件时，应立即开展专项审计。

　　【笔记】本条规定应当将移动应用风险纳入全面风险管理，识别业务和科技风险，健全风险防控机制，定期开展移动应用风险评估。本条明确风险评估的实施周期，即每年至少开展一次移动应用风险评估，每三年至少开展一次审计，发生重大移动应用风险事件时，应立即开展专项审计。而“重大移动应用风险事件”的具体认定标准，可能有待进一步明确。

　　十八、各级派出机构应当压实辖内金融机构移动应用管理主体责任，督促辖内金融机构落实信息科技监管制度要求，加强移动应用监测预警，定期开展渗透测试。在非现场监管和现场检查中对移动应用相关风险加强关注，加大风险漏洞通报力度，及时督促整改。加强对金融机构移动应用违法违规问题处罚问责力度，对于因管理不当导致重大风险事件、存在严重风险隐患、风险排查流于形式、问题整改不力等情形严肃问责。

　　【笔记】加强监督管理，要求金融监管总局各级派出机构加强移动应用监管工作。

　　国家金融监督管理总局办公厅2024年9月12日