来源:中国银行保险报时间:2024-09-24 08:01
□车宁
随着移动互联网技术及其商业模式的风靡,我国居民消费、办公等行为习惯呈现出明显的线上化迁移趋势。有鉴于此,银行、保险等金融机构纷纷推出自身移动应用,极大便利了广大金融消费者的业务办理,金融业由此成为移动应用创新最为活跃的领域之一。
然而,伴随着银行、保险等金融业务线上化、智能化范围的持续扩展,作为其载体的金融移动应用也呈现出诸多问题。一方面,机构内业务部门往往一哄而上,移动应用缺乏统筹管理,造成资源浪费和风险隐患;另一方面,不少金融移动应用也存在数据安全、网络安全等隐患,甚至直接侵害金融消费者的个人信息权利。
近日,国家金融监督管理总局办公厅印发《关于加强银行业保险业移动互联网应用程序管理的通知》(以下简称《通知》),要求银行、保险等金融机构重视移动应用管理工作,将移动应用建设纳入数字化转型整体规划,有序规范金融移动应用建设。
金融移动应用管理亟待统筹
银行、保险等金融机构在内外部技术、市场等情势变化的推动下,不断加强以移动应用为代表的线上平台建设,使其成为替代线下柜台的主要展业渠道,全行业由此掀起轰轰烈烈的移动应用开发浪潮。据中国互联网金融协会《2023年金融APP市场治理与发展报告》披露的数据,截至2023年底,仅在其完成备案工作的移动应用即达2429款,涉及机构3112家。
然而,银行、保险等金融机构对移动应用的管理尚不精细。最为突出的是机构内部对移动应用管理缺乏统筹。
从横向上看,银行、保险等金融机构往往囿于“部门本位”思维,以业务而非全行为单位开发上线移动应用,内部资源消耗较大,且给不法分子仿冒金融移动应用留下空间。
从纵向上看,金融移动应用的全生命周期管理涵盖从需求提出到上架发布乃至下架退出的多个环节,工作涉及机构内部前中后台的多个部门,但部门间缺乏牵头统筹,尤其是在准入、退出等关键环节往往存在“缺位”“越位”情形。
金融机构对应用管理统筹不力的内部问题,外化到金融消费者及相关监管机构的感知则是体验不佳、个人信息权利受损以及网络安全、数据安全、内容合规等问题。此前,网信办、工业和信息化部及中国人民银行等单位已陆续出台相关措施,逐渐形成覆盖移动应用上线事前、事中、事后的全流程管控体系。
事前的管控手段主要为备案。2019年9月,中国人民银行发布《移动金融客户端应用软件安全管理规范》,要求金融移动应用向中国互联网金融协会进行备案。事中的管控手段主要为监测。其中,网信办的关注重点是内容生态治理和应用隐私合规;工业和信息化部的关注重点则是应用行为管理,包括过度索取权限、违规收取信息、诱骗强迫消费等。事后的管控手段目前为通报、下架等,通报为最常用的监管手段。
细化金融移动应用管理
作为金融行业第一份专门针对移动应用进行管理的规范性文件,《通知》直面问题发生的根源,扩展监管规范的对象,强调全流程、系统性管控,对此前归属不清、权责不明的领域也进行了澄清,其亮点如下:
突出统筹整合,从根源解决问题。《通知》开宗明义,要求银行、保险等金融机构要将移动应用建设纳入数字化转型整体规划,明确牵头管理部门,建立移动应用台账,完善准入退出机制,合理控制数量,强化统筹管理。
扩展监管范围,不遗留安全隐患。一方面,《通知》的规范对象不拘泥于APP,还包括小程序、公众号;不局限于向外部客户提供服务的移动应用,还覆盖机构内进行业务管理的移动应用。另一方面,纳入《通知》规范范围的,不仅是总部各部门,还包括各分支机构。事实上,分支机构移动应用管理的失序要比总部严重,但在此前并未得到应有的关注。
明确职责范围,全方位做好管理。《通知》重点细化了各类别、各环节移动应用管理工作的内容,特别是将移动应用纳入全面风险管理范畴,建立移动应用业务合规审核机制,并对其运行状态进行实时监控。此外,《通知》还针对此前因权责不明而游离监管的与政府部门、企业等第三方合作建设移动应用进行了专条规定,填补了监管空白。
完善与移动应用发展相适应的管理机制
近年来,针对移动应用,相关金融机构也开展了大量工作,金融系统网络、信息技术安全与金融消费者权益保护都有了长足进步。然而对照《通知》要求,金融机构的移动应用管理还处在“头痛医头、脚痛医脚”的初级阶段,未来应切实提高认识,抓紧建章立制,加强工作主动性,完善与移动应用发展相适应的管理机制。
首先,明确牵头部门,健全协调机制。银行、保险等金融机构首先需要从顶层设计层面确定移动应用管理不仅是某一业务部门、科技部门的单项工作,而是需要纳入全行系统筹划、合规管理的复杂工程。特别需要总牵头部门及各环节牵头部门的确定,需要移动应用合规管理内容的理清,需要风险条线相关部门的加入,在此基础上形成制度规范和配套系统,业技融合、压茬推进。
其次,开展内部检查,扫除管理盲区。银行、保险等金融机构可从资源投入评估和应用合规管理两个角度,针对机构内部各部门、各分支机构自建和共建的移动应用开展系统评估,有序排查问题,必要时启动退出程序。特别是对此前有应用而无认领的事项,要重点加以解决,避免因“僵尸”应用和低效应用缺乏管理带来的风险隐患。
最后,加强常态管理,加强全员教育。对于银行、保险等金融机构而言,贯彻落实《通知》要求的关键还在于将移动应用管理内化、常态化。从自身提质增效、服务客户、提升管理的内在要求出发,将《通知》的要求落实到制度、落实到系统,形成人防、制防、技防“三位一体”,互相支撑的常态管理制度。在此基础上加强从业人员教育,使其不但具备业务合规观念、技术合规观念,还具备应用合规观念,从源头上守好安全闸口,真正使移动应用管理工作在每个相关岗位上抓精做实。
(作者系北京前沿金融监管科技研究院高级研究员)