近日，中國互聯網金融協會（以下簡稱“協會”）公布了2022年移動金融App創新實踐典型案例遴選結果，共有25個案例入選。為此，南方都市報聯合中國互聯網金融協會推出移動金融App創新實踐案例系列報道，圍繞入選創新案例的實踐經驗，看看他們如何從制度體系建設、安全防護手段、個人信息保護、服務實體經濟和技術創新探索幾個方面發揮示范引領作用。

安全管理，制度先行。中國人民銀行發布的《中國人民銀行關于發布金融行業標準加強移動金融客戶端應用軟件安全管理的通知》要求，金融機構要加強客戶端軟件設計、開發、發布、維護等環節的安全管理，構建覆蓋全生命周期的管理機制，切實保障客戶端軟件安全。今日推出第一期專題報道，通過5個案例來看安全管理制度體系如何創新。

民生銀行App：“合規雙循環”與“三張清單”形成安全合規閉環

“民生銀行手機銀行”App在首批試點工作中率先獲得金融科技產品認證證書，并完成移動金融客戶端備案工作。在此基礎上，民生銀行通過建立移動應用的內部管理體系，健全移動客戶端安全生命周期管理，建立安全合規和隱私合規的“合規雙循環”及合規差距清單、 應用變更清單、問題跟蹤清單的“三張清單”制度，明確了行內移動金融客戶端安全合規管理工作計劃、里程碑及交付物、跨部門工作職能和機制等。

具體來看，一方面，民生銀行制定了《中國民生銀行移動應用安全管理辦法》。通過客戶端版本上線前的安全評審、合規檢測，客戶端上線后的安全合規后評估，以及應用市場渠道7×24小時實時運營監測，形成常態化的移動客戶端合規管理機制。

另一方面，民生銀行完善了移動客戶端安全合規管理體系。成立跨部門的移動客戶端安全合規工作組，配置專人專崗負責移動客戶端的合規日常、外部評估備案工作。除積極開展移動金融客戶端的金融科技產品認證和備案外，還積極開展移動互聯網應用程序（App）安全認證等相關工作。同時，持續外規內化，通過梳理解讀人民銀行、各部委針對移動客戶端的法律法規、標準制度以及相關要求，完成外部標準規范的轉化落地。此外，定期組織協調外部監管機構專家，面向全行組織移動客戶端外部認證及客戶端個人信息保護相關專題培訓，提升全員安全合規意識。

民生銀行“合規雙循環”與“三張清單”

中國銀聯云閃付App：專設“個人信息與隱私保護專業組”，嘗試個性化個人信息保護措施

中國銀聯以《網絡安全法》《個人信息安全規范》《中國人民銀行金融消費者權益保護實施辦法》《個保法》等為依據，不斷建立健全組織架構、制度體系建設。

在組織架構層面，銀聯信息安全委員會下設“個人信息與隱私保護專業組”統籌數據安全和個人信息保護工作。在制度建設層面，在《中國銀聯數據管理辦法》等現有制度的基礎上，補充制定了《中國銀聯數據安全與個人信息保護細則》《中國銀聯云閃付個人信息安全影響評估指南》等多項內部管理辦法，以業務數據的分類分級保護和全生命周期管理為基礎，進一步細化個人信息保護管理要求。

除此外，中國銀聯主動探索個人信息保護新形式，嘗試個性化個人信息保護措施。其中值得一提的是，云閃付App對隱私政策進行了兩次大改版，2019年8月進行的第一次改版中，采用“正文 附件”的隱私政策架構將用戶的隱私權益等核心內容在正文中進行總結性、歸納性的描述，詳細業務情況則通過附件按類別逐項列舉；2021年11月，第二次改版中，使用更通俗易懂、便于理解的語言編寫，以更易于用戶瀏覽的形式呈現；增加速覽版隱私政策，篇幅控制在完整版的30%，閱讀時長可控制在1分鐘內；還補全了《兒童隱私保護指引》。

京東金融App：打造“標準化”“工具化”“平臺化”隱私合規保障體系

面對當前隱私合規監管部門較多，法律法規更新較快，且呈常態化趨勢，京東科技專門成立了隱私合規治理虛擬小組，專門負責“京東金融”App隱私合規問題的處理，小組成員包括了研發、產品、測試、安全、法務合規、安全合規等部門人員。

為保障用戶隱私安全，“京東金融”App通過“標準化”“工具化”“平臺化”打造了一套完善的隱私合規保障體系。

一是制定了App隱私合規問題處置SOP(標準作業程序)，在政策解讀、需求階段、研發階段、測試階段、發布階段和運營階段都制定了相關的標準流程，用于指導團隊成員日常工作。

同時，為解決 App 隱私合規問題排查與治理過程中手段單一且低效的問題，在App隱私合規問題排查與治理過程中, 公司自研多種工具，用于排查、分析、治理隱私合規問題。

此外，在App產研階段, 由于不了解相關隱私合規風險點, 設計或開發了存在合規問題的功能或流程, 在應用發布前沒有有效的手段進行檢測排查。為解決上述問題，公司通過自主研發的Utrust隱私合規檢測平臺，對移動應用個人信息安全問題進行多方位的全面檢測。

（Utrust隱私合規檢測平臺能力圖譜）

浦發銀行App：建立全生命周期安全管理體系

為加強App及其他信息系統建設項目的精細化安全管理，浦發銀行App建設了信息系統全生命周期安全管理體系。

安全管理體系主要由安全開發管控流程、安全支撐體系、安全保障體系組成，其中安全管控流程主要涉及四個方面。

即在需求階段，利用資產庫和工具進行安全評估，明確安全要求與目標；在方案設計階段進行安全設計和審核；在測試階段開展安全需求驗證；在系統運行階段定期開展上線后的回歸測試及滲透測試。

目前，浦發銀行App已形成了安全需求模板化、安全設計標準化、安全開發組件化、安全測試專業化、安全流程線上化的閉環管理體系。

（浦發銀行信息系統全生命周期安全管理體系）

交通銀行App：健全信息安全防護體系頂層設計

交通銀行從組織結構、管理制度、產品設計以及文化建設等多方面入手，完成了信息安全防護的頂層設計，形成了包括部門職責劃分，信息保密制度、數據備份制度、風險預警制度、系統維護制度、人員管理制度等規范編制以及產品迭代計劃制定的體系架構。

以交行企業手機銀行為例，團隊組織架構采取流程管理和業務管理的矩陣化管理模式進行，其中在流程管理上包括業務、產品、體驗、研發、測試、運營、數據、風控、運維等崗位，分別承擔App的業務訴求、需求設計、UI設計、開發、測試、營銷推廣、數據分析、反洗錢和風險控制、日常經營維護等職責。從業務管理上，按業務和功能模塊進行管理，各業務模塊主要負責各業務功能的完整性、流程合理性及操作體驗連續性等方面內容。

采寫：南都記者 熊潤淼

通訊員：王立飛