近日，中國互聯網金融協會（以下簡稱“協會”）公布了2022年移動金融App創(chuàng)新實踐典型案例遴選結果，共有25個案例入選。為此，南方都市報聯合中國互聯網金融協會推出移動金融App創(chuàng)新實踐案例系列報道，圍繞入選創(chuàng)新案例的實踐經驗，看看他們如何從制度體系建設、安全防護手段、個人信息保護、服務實體經濟和技術創(chuàng)新探索幾個方面發(fā)揮示范引領作用。

安全管理，制度先行。中國人民銀行發(fā)布的《中國人民銀行關于發(fā)布金融行業(yè)標準加強移動金融客戶端應用軟件安全管理的通知》要求，金融機構要加強客戶端軟件設計、開發(fā)、發(fā)布、維護等環(huán)節(jié)的安全管理，構建覆蓋全生命周期的管理機制，切實保障客戶端軟件安全。今日推出第一期專題報道，通過5個案例來看安全管理制度體系如何創(chuàng)新。

民生銀行App：“合規(guī)雙循環(huán)”與“三張清單”形成安全合規(guī)閉環(huán)

“民生銀行手機銀行”App在首批試點工作中率先獲得金融科技產品認證證書，并完成移動金融客戶端備案工作。在此基礎上，民生銀行通過建立移動應用的內部管理體系，健全移動客戶端安全生命周期管理，建立安全合規(guī)和隱私合規(guī)的“合規(guī)雙循環(huán)”及合規(guī)差距清單、 應用變更清單、問題跟蹤清單的“三張清單”制度，明確了行內移動金融客戶端安全合規(guī)管理工作計劃、里程碑及交付物、跨部門工作職能和機制等。

具體來看，一方面，民生銀行制定了《中國民生銀行移動應用安全管理辦法》。通過客戶端版本上線前的安全評審、合規(guī)檢測，客戶端上線后的安全合規(guī)后評估，以及應用市場渠道7×24小時實時運營監(jiān)測，形成常態(tài)化的移動客戶端合規(guī)管理機制。

另一方面，民生銀行完善了移動客戶端安全合規(guī)管理體系。成立跨部門的移動客戶端安全合規(guī)工作組，配置專人專崗負責移動客戶端的合規(guī)日常、外部評估備案工作。除積極開展移動金融客戶端的金融科技產品認證和備案外，還積極開展移動互聯網應用程序（App）安全認證等相關工作。同時，持續(xù)外規(guī)內化，通過梳理解讀人民銀行、各部委針對移動客戶端的法律法規(guī)、標準制度以及相關要求，完成外部標準規(guī)范的轉化落地。此外，定期組織協調外部監(jiān)管機構專家，面向全行組織移動客戶端外部認證及客戶端個人信息保護相關專題培訓，提升全員安全合規(guī)意識。

民生銀行“合規(guī)雙循環(huán)”與“三張清單”

中國銀聯云閃付App：專設“個人信息與隱私保護專業(yè)組”，嘗試個性化個人信息保護措施

中國銀聯以《網絡安全法》《個人信息安全規(guī)范》《中國人民銀行金融消費者權益保護實施辦法》《個保法》等為依據，不斷建立健全組織架構、制度體系建設。

在組織架構層面，銀聯信息安全委員會下設“個人信息與隱私保護專業(yè)組”統(tǒng)籌數據安全和個人信息保護工作。在制度建設層面，在《中國銀聯數據管理辦法》等現有制度的基礎上，補充制定了《中國銀聯數據安全與個人信息保護細則》《中國銀聯云閃付個人信息安全影響評估指南》等多項內部管理辦法，以業(yè)務數據的分類分級保護和全生命周期管理為基礎，進一步細化個人信息保護管理要求。

除此外，中國銀聯主動探索個人信息保護新形式，嘗試個性化個人信息保護措施。其中值得一提的是，云閃付App對隱私政策進行了兩次大改版，2019年8月進行的第一次改版中，采用“正文 附件”的隱私政策架構將用戶的隱私權益等核心內容在正文中進行總結性、歸納性的描述，詳細業(yè)務情況則通過附件按類別逐項列舉；2021年11月，第二次改版中，使用更通俗易懂、便于理解的語言編寫，以更易于用戶瀏覽的形式呈現；增加速覽版隱私政策，篇幅控制在完整版的30%，閱讀時長可控制在1分鐘內；還補全了《兒童隱私保護指引》。

京東金融App：打造“標準化”“工具化”“平臺化”隱私合規(guī)保障體系

面對當前隱私合規(guī)監(jiān)管部門較多，法律法規(guī)更新較快，且呈常態(tài)化趨勢，京東科技專門成立了隱私合規(guī)治理虛擬小組，專門負責“京東金融”App隱私合規(guī)問題的處理，小組成員包括了研發(fā)、產品、測試、安全、法務合規(guī)、安全合規(guī)等部門人員。

為保障用戶隱私安全，“京東金融”App通過“標準化”“工具化”“平臺化”打造了一套完善的隱私合規(guī)保障體系。

一是制定了App隱私合規(guī)問題處置SOP(標準作業(yè)程序)，在政策解讀、需求階段、研發(fā)階段、測試階段、發(fā)布階段和運營階段都制定了相關的標準流程，用于指導團隊成員日常工作。

同時，為解決 App 隱私合規(guī)問題排查與治理過程中手段單一且低效的問題，在App隱私合規(guī)問題排查與治理過程中, 公司自研多種工具，用于排查、分析、治理隱私合規(guī)問題。

此外，在App產研階段, 由于不了解相關隱私合規(guī)風險點, 設計或開發(fā)了存在合規(guī)問題的功能或流程, 在應用發(fā)布前沒有有效的手段進行檢測排查。為解決上述問題，公司通過自主研發(fā)的Utrust隱私合規(guī)檢測平臺，對移動應用個人信息安全問題進行多方位的全面檢測。

（Utrust隱私合規(guī)檢測平臺能力圖譜）

浦發(fā)銀行App：建立全生命周期安全管理體系

為加強App及其他信息系統(tǒng)建設項目的精細化安全管理，浦發(fā)銀行App建設了信息系統(tǒng)全生命周期安全管理體系。

安全管理體系主要由安全開發(fā)管控流程、安全支撐體系、安全保障體系組成，其中安全管控流程主要涉及四個方面。

即在需求階段，利用資產庫和工具進行安全評估，明確安全要求與目標；在方案設計階段進行安全設計和審核；在測試階段開展安全需求驗證；在系統(tǒng)運行階段定期開展上線后的回歸測試及滲透測試。

目前，浦發(fā)銀行App已形成了安全需求模板化、安全設計標準化、安全開發(fā)組件化、安全測試專業(yè)化、安全流程線上化的閉環(huán)管理體系。

（浦發(fā)銀行信息系統(tǒng)全生命周期安全管理體系）

交通銀行App：健全信息安全防護體系頂層設計

交通銀行從組織結構、管理制度、產品設計以及文化建設等多方面入手，完成了信息安全防護的頂層設計，形成了包括部門職責劃分，信息保密制度、數據備份制度、風險預警制度、系統(tǒng)維護制度、人員管理制度等規(guī)范編制以及產品迭代計劃制定的體系架構。

以交行企業(yè)手機銀行為例，團隊組織架構采取流程管理和業(yè)務管理的矩陣化管理模式進行，其中在流程管理上包括業(yè)務、產品、體驗、研發(fā)、測試、運營、數據、風控、運維等崗位，分別承擔App的業(yè)務訴求、需求設計、UI設計、開發(fā)、測試、營銷推廣、數據分析、反洗錢和風險控制、日常經營維護等職責。從業(yè)務管理上，按業(yè)務和功能模塊進行管理，各業(yè)務模塊主要負責各業(yè)務功能的完整性、流程合理性及操作體驗連續(xù)性等方面內容。

采寫：南都記者 熊潤淼

通訊員：王立飛