移动金融APP管理规范出台 即将开展备案试点工作

12月3日，中国互联网金融协会在京召开金融业移动金融客户端应用软件（以下简称“移动金融APP”）备案管理工作试点启动会议，安排部署金融机构客户端软件备案试点工作。

会议指出，推进金融行业全覆盖的客户端软件实名备案工作是金融系统全面贯彻落实《网络安全法》、中央网信办等四部门App专项整治活动以及中国人民银行《金融科技发展规划》、《关于发布金融行业标准 加强移动金融客户端应用软件安全管理的通知》的重要举措，对于提升客户端软件安全防护能力，加强个人金融信息保护，保障金融消费者合法权益具有历史性的重要意义。

会议明确，各试点机构应于2019年底前通过客户端软件备案管理系统完成第一批试点客户端软件的材料提交和备案申请，协会完成备案审核工作后择期发布第一批通过备案的客户端软件清单。下一步，在全国范围内分批次组织开展客户端软件备案推广并逐步落实风险信息共享、投诉处置机制以及行业公约、黑白名单、自律检查、违规约束等自律管理工作。

中国人民银行科技司司长李伟在会议中指出，针对当前一些金融机构客户端软件存在的安全防护能力参差不齐、超范围收集个人信息、仿冒钓鱼现象突出等问题，各金融机构要建立客户端软件安全管理全程覆盖机制，相关部门要建立健全客户端软件监督处置机制。希望中国互联网金融协会认真贯彻落实中国人民银行工作要求，多措并举做好客户端软件实名备案管理，发挥好行业自律管理和服务职能。

随着金融业移动金融客户端应用软件备案试点工作的开启，关于移动金融APP的监管顶层设计也浮出水面。

12月4日，央行已印发《移动金融客户端应用软件安全管理规范》（JR/T0092-2019，以下简称《规范》），并下发给部分金融机构。

对于《规范》的具体实施工作要求，央行表示，各金融机构应严格按照《规范》要求，加强客户端软件设计开发、发布、维护等环节的安全管理，构建覆盖全生命周期的管理机制，切实保障客户端软件安全。落实网络安全主体责任，采取有效措施防范应对网络攻击，保障相关系统平稳安全运行。对于资金交易类客户端软件，应从资金安全、信息保护等方面开展外部评估。对于信息采集类客户端软件，应重点从信息保护方面开展外部评估。外部评估应每年至少开展一次，形成报告存档备查。

在个人金融信息保护方面，各金融机构应严格按照《规范》要求，采取有效措施加强客户端软件个人金融信息保护。央行提出四方面要求：

一是收集、使用个人金融信息时应遵循合法、正当、必要的原则，明示收集使用信息的目的、方式和范围，并经用户同意。不得以默认、捆绑、停止安装使用等手段变相强迫用户授权，不得收集与其提供金融服务无关的个人金融信息。

二是应采取数据加密、访问控制、安全传输、签名认证等措施，防止个人金融信息在传输、存储、使用等过程被非法窃取、泄露或篡改。

三是信息使用结束后应立即删除敏感信息，在客户端软件卸载后不得留存个人金融信息。

四是不得违反法律法规与用户约定，不得泄露、非法出售或非法向他人提供个人金融信息。