□本报记者 刘文静

　　随着互联网应用程序（以下简称移动应用）的普及，很多金融消费者已经习惯了使用银行、保险公司的APP、小程序、公众号等移动应用进行财务管理，移动应用也已成为各家金融机构线上服务的重要渠道。金融机构的移动应用在提升金融服务便捷性的同时，也存在数量庞杂、功能重复、用户满意度和活跃度低等问题，近日，国家金融监督管理总局发布《关于加强银行业保险业移动互联网应用程序管理的通知》（以下简称《通知》），共提出18条要求，督促金融机构进一步加强服务，改善用户体验，同时，筑牢信息科技风险防线。

　　加强优化整合 完善准入退出机制

　　《通知》要求，金融机构应当加强移动应用统筹管理，建立移动应用台账，完善准入退出机制，统筹各部门及各分支机构的移动应用建设规划，合理控制移动应用数量。对用户活跃度低、体验差、功能冗余、安全合规风险隐患大的移动应用及时进行优化整合或终止运营。金融机构终止移动应用运营的，应当协同移动应用分发平台做好风险评估、数据迁移、隐私保护、用户告知等下架管理工作。

　　金融机构开展移动应用需求管理，应当进行同类同质业务需求整合，使移动应用具备相对独立且完整的业务场景及功能，具有较高的使用便捷度，满足适老化、未成年人保护等要求，不得有歧视性限制。

　　此外，金融机构应当对移动应用（含第三方软件开发工具包）的运行状态进行实时监控，加强账号权限管理，做好老旧版本的更新、维护和下线。

　　加强风险管理 禁止嵌入存在风险的代码

　　在风险管理方面，《通知》提出了多项具体要求。《通知》要求，金融机构应当将移动应用风险纳入全面风险管理，识别违规展业、侵害消费者权益等业务风险及网络安全漏洞等科技风险，健全风险防控措施，每年至少开展一次移动应用风险评估，每三年至少开展一次审计，发生重大移动应用风险事件时，应立即开展专项审计。

　　金融机构与政府部门、企业等第三方合作建设移动应用的，应当通过合同或者协议明确移动应用管理责任主体，约定双方责任义务，切实履行网络安全、数据安全责任。严禁第三方通过移动应用违规开展金融业务。同时，金融机构应当做好移动应用方案设计、方案评审、软件开发、代码管理和变更控制等工作，对移动应用集成的源代码或组件（含第三方组件）开展安全风险管理，加强对客户认证和系统应用逻辑控制的安全性测试，禁止在移动应用中嵌入无关链接、失效链接、恶意程序等存在风险的代码，并及时做好排查清理工作。

　　遵循“合法、正当、必要”原则收集个人信息

　　《通知》要求，金融机构应当按照“谁管业务、谁管业务数据、谁管数据安全”的原则，明确移动应用数据安全管理责任。结合移动应用特点强化数据安全措施，有效防范数据泄露、篡改和勒索攻击等风险。

　　金融机构委托外包服务提供商建设维护移动应用的，应当严格落实信息科技外包风险监管要求，开展移动应用外包准入、监控评价和风险管理，按照“必需知道”和“最小授权”原则,严格控制外包服务提供商数据访问权限，督促其加强数据安全管理，防范数据泄露。

　　金融机构应当严格落实国家法律法规和监管要求，建立移动应用个人信息保护制度，规范个人信息管理，遵循“合法、正当、必要”原则收集个人信息，向用户告知收集个人信息的目的、使用和保护个人信息的方式，公布投诉渠道信息，及时处理信息泄露和隐私合规相关问题，保障消费者权益。