近日，中國互聯(lián)網(wǎng)金融協(xié)會(huì)（以下簡(jiǎn)稱“協(xié)會(huì)”）公布了2022年移動(dòng)金融App創(chuàng)新實(shí)踐典型案例遴選結(jié)果，共有25個(gè)案例入選。為此，南方都市報(bào)聯(lián)合中國互聯(lián)網(wǎng)金融協(xié)會(huì)推出移動(dòng)金融App創(chuàng)新實(shí)踐案例系列報(bào)道，圍繞入選創(chuàng)新案例的實(shí)踐經(jīng)驗(yàn)，看看他們?nèi)绾螐闹贫润w系建設(shè)、安全防護(hù)手段、個(gè)人信息保護(hù)、服務(wù)實(shí)體經(jīng)濟(jì)和技術(shù)創(chuàng)新探索幾個(gè)方面發(fā)揮示范引領(lǐng)作用。

安全管理，制度先行。中國人民銀行發(fā)布的《中國人民銀行關(guān)于發(fā)布金融行業(yè)標(biāo)準(zhǔn)加強(qiáng)移動(dòng)金融客戶端應(yīng)用軟件安全管理的通知》要求，金融機(jī)構(gòu)要加強(qiáng)客戶端軟件設(shè)計(jì)、開發(fā)、發(fā)布、維護(hù)等環(huán)節(jié)的安全管理，構(gòu)建覆蓋全生命周期的管理機(jī)制，切實(shí)保障客戶端軟件安全。今日推出第一期專題報(bào)道，通過5個(gè)案例來看安全管理制度體系如何創(chuàng)新。

民生銀行App：“合規(guī)雙循環(huán)”與“三張清單”形成安全合規(guī)閉環(huán)

“民生銀行手機(jī)銀行”App在首批試點(diǎn)工作中率先獲得金融科技產(chǎn)品認(rèn)證證書，并完成移動(dòng)金融客戶端備案工作。在此基礎(chǔ)上，民生銀行通過建立移動(dòng)應(yīng)用的內(nèi)部管理體系，健全移動(dòng)客戶端安全生命周期管理，建立安全合規(guī)和隱私合規(guī)的“合規(guī)雙循環(huán)”及合規(guī)差距清單、 應(yīng)用變更清單、問題跟蹤清單的“三張清單”制度，明確了行內(nèi)移動(dòng)金融客戶端安全合規(guī)管理工作計(jì)劃、里程碑及交付物、跨部門工作職能和機(jī)制等。

具體來看，一方面，民生銀行制定了《中國民生銀行移動(dòng)應(yīng)用安全管理辦法》。通過客戶端版本上線前的安全評(píng)審、合規(guī)檢測(cè)，客戶端上線后的安全合規(guī)后評(píng)估，以及應(yīng)用市場(chǎng)渠道7×24小時(shí)實(shí)時(shí)運(yùn)營監(jiān)測(cè)，形成常態(tài)化的移動(dòng)客戶端合規(guī)管理機(jī)制。

另一方面，民生銀行完善了移動(dòng)客戶端安全合規(guī)管理體系。成立跨部門的移動(dòng)客戶端安全合規(guī)工作組，配置專人專崗負(fù)責(zé)移動(dòng)客戶端的合規(guī)日常、外部評(píng)估備案工作。除積極開展移動(dòng)金融客戶端的金融科技產(chǎn)品認(rèn)證和備案外，還積極開展移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（App）安全認(rèn)證等相關(guān)工作。同時(shí)，持續(xù)外規(guī)內(nèi)化，通過梳理解讀人民銀行、各部委針對(duì)移動(dòng)客戶端的法律法規(guī)、標(biāo)準(zhǔn)制度以及相關(guān)要求，完成外部標(biāo)準(zhǔn)規(guī)范的轉(zhuǎn)化落地。此外，定期組織協(xié)調(diào)外部監(jiān)管機(jī)構(gòu)專家，面向全行組織移動(dòng)客戶端外部認(rèn)證及客戶端個(gè)人信息保護(hù)相關(guān)專題培訓(xùn)，提升全員安全合規(guī)意識(shí)。

民生銀行“合規(guī)雙循環(huán)”與“三張清單”

中國銀聯(lián)云閃付App：專設(shè)“個(gè)人信息與隱私保護(hù)專業(yè)組”，嘗試個(gè)性化個(gè)人信息保護(hù)措施

中國銀聯(lián)以《網(wǎng)絡(luò)安全法》《個(gè)人信息安全規(guī)范》《中國人民銀行金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》《個(gè)保法》等為依據(jù)，不斷建立健全組織架構(gòu)、制度體系建設(shè)。

在組織架構(gòu)層面，銀聯(lián)信息安全委員會(huì)下設(shè)“個(gè)人信息與隱私保護(hù)專業(yè)組”統(tǒng)籌數(shù)據(jù)安全和個(gè)人信息保護(hù)工作。在制度建設(shè)層面，在《中國銀聯(lián)數(shù)據(jù)管理辦法》等現(xiàn)有制度的基礎(chǔ)上，補(bǔ)充制定了《中國銀聯(lián)數(shù)據(jù)安全與個(gè)人信息保護(hù)細(xì)則》《中國銀聯(lián)云閃付個(gè)人信息安全影響評(píng)估指南》等多項(xiàng)內(nèi)部管理辦法，以業(yè)務(wù)數(shù)據(jù)的分類分級(jí)保護(hù)和全生命周期管理為基礎(chǔ)，進(jìn)一步細(xì)化個(gè)人信息保護(hù)管理要求。

除此外，中國銀聯(lián)主動(dòng)探索個(gè)人信息保護(hù)新形式，嘗試個(gè)性化個(gè)人信息保護(hù)措施。其中值得一提的是，云閃付App對(duì)隱私政策進(jìn)行了兩次大改版，2019年8月進(jìn)行的第一次改版中，采用“正文 附件”的隱私政策架構(gòu)將用戶的隱私權(quán)益等核心內(nèi)容在正文中進(jìn)行總結(jié)性、歸納性的描述，詳細(xì)業(yè)務(wù)情況則通過附件按類別逐項(xiàng)列舉；2021年11月，第二次改版中，使用更通俗易懂、便于理解的語言編寫，以更易于用戶瀏覽的形式呈現(xiàn)；增加速覽版隱私政策，篇幅控制在完整版的30%，閱讀時(shí)長可控制在1分鐘內(nèi)；還補(bǔ)全了《兒童隱私保護(hù)指引》。

京東金融App：打造“標(biāo)準(zhǔn)化”“工具化”“平臺(tái)化”隱私合規(guī)保障體系

面對(duì)當(dāng)前隱私合規(guī)監(jiān)管部門較多，法律法規(guī)更新較快，且呈常態(tài)化趨勢(shì)，京東科技專門成立了隱私合規(guī)治理虛擬小組，專門負(fù)責(zé)“京東金融”App隱私合規(guī)問題的處理，小組成員包括了研發(fā)、產(chǎn)品、測(cè)試、安全、法務(wù)合規(guī)、安全合規(guī)等部門人員。

為保障用戶隱私安全，“京東金融”App通過“標(biāo)準(zhǔn)化”“工具化”“平臺(tái)化”打造了一套完善的隱私合規(guī)保障體系。

一是制定了App隱私合規(guī)問題處置SOP(標(biāo)準(zhǔn)作業(yè)程序)，在政策解讀、需求階段、研發(fā)階段、測(cè)試階段、發(fā)布階段和運(yùn)營階段都制定了相關(guān)的標(biāo)準(zhǔn)流程，用于指導(dǎo)團(tuán)隊(duì)成員日常工作。

同時(shí)，為解決 App 隱私合規(guī)問題排查與治理過程中手段單一且低效的問題，在App隱私合規(guī)問題排查與治理過程中, 公司自研多種工具，用于排查、分析、治理隱私合規(guī)問題。

此外，在App產(chǎn)研階段, 由于不了解相關(guān)隱私合規(guī)風(fēng)險(xiǎn)點(diǎn), 設(shè)計(jì)或開發(fā)了存在合規(guī)問題的功能或流程, 在應(yīng)用發(fā)布前沒有有效的手段進(jìn)行檢測(cè)排查。為解決上述問題，公司通過自主研發(fā)的Utrust隱私合規(guī)檢測(cè)平臺(tái)，對(duì)移動(dòng)應(yīng)用個(gè)人信息安全問題進(jìn)行多方位的全面檢測(cè)。

（Utrust隱私合規(guī)檢測(cè)平臺(tái)能力圖譜）

浦發(fā)銀行App：建立全生命周期安全管理體系

為加強(qiáng)App及其他信息系統(tǒng)建設(shè)項(xiàng)目的精細(xì)化安全管理，浦發(fā)銀行App建設(shè)了信息系統(tǒng)全生命周期安全管理體系。

安全管理體系主要由安全開發(fā)管控流程、安全支撐體系、安全保障體系組成，其中安全管控流程主要涉及四個(gè)方面。

即在需求階段，利用資產(chǎn)庫和工具進(jìn)行安全評(píng)估，明確安全要求與目標(biāo)；在方案設(shè)計(jì)階段進(jìn)行安全設(shè)計(jì)和審核；在測(cè)試階段開展安全需求驗(yàn)證；在系統(tǒng)運(yùn)行階段定期開展上線后的回歸測(cè)試及滲透測(cè)試。

目前，浦發(fā)銀行App已形成了安全需求模板化、安全設(shè)計(jì)標(biāo)準(zhǔn)化、安全開發(fā)組件化、安全測(cè)試專業(yè)化、安全流程線上化的閉環(huán)管理體系。

（浦發(fā)銀行信息系統(tǒng)全生命周期安全管理體系）

交通銀行App：健全信息安全防護(hù)體系頂層設(shè)計(jì)

交通銀行從組織結(jié)構(gòu)、管理制度、產(chǎn)品設(shè)計(jì)以及文化建設(shè)等多方面入手，完成了信息安全防護(hù)的頂層設(shè)計(jì)，形成了包括部門職責(zé)劃分，信息保密制度、數(shù)據(jù)備份制度、風(fēng)險(xiǎn)預(yù)警制度、系統(tǒng)維護(hù)制度、人員管理制度等規(guī)范編制以及產(chǎn)品迭代計(jì)劃制定的體系架構(gòu)。

以交行企業(yè)手機(jī)銀行為例，團(tuán)隊(duì)組織架構(gòu)采取流程管理和業(yè)務(wù)管理的矩陣化管理模式進(jìn)行，其中在流程管理上包括業(yè)務(wù)、產(chǎn)品、體驗(yàn)、研發(fā)、測(cè)試、運(yùn)營、數(shù)據(jù)、風(fēng)控、運(yùn)維等崗位，分別承擔(dān)App的業(yè)務(wù)訴求、需求設(shè)計(jì)、UI設(shè)計(jì)、開發(fā)、測(cè)試、營銷推廣、數(shù)據(jù)分析、反洗錢和風(fēng)險(xiǎn)控制、日常經(jīng)營維護(hù)等職責(zé)。從業(yè)務(wù)管理上，按業(yè)務(wù)和功能模塊進(jìn)行管理，各業(yè)務(wù)模塊主要負(fù)責(zé)各業(yè)務(wù)功能的完整性、流程合理性及操作體驗(yàn)連續(xù)性等方面內(nèi)容。

采寫：南都記者 熊潤淼

通訊員：王立飛