中金金融认证中心章节.02 摸排工作背景.03 助力金融应用风险摸排工作01章节P A R T通知概述近年来，我国深入推进创新驱动发展战略，将科技创新作为提高社会生产力和综合国力的重要支撑。

在金融业转型升级过程中，创新引领、科技驱动发挥着巨大作用，形成了金融科技“千帆竞发、创新者胜”的发展态势。

与此同时，防范化解金融风险是金融工作的永恒主题，如何在鼓励创新的同时维护金融安全，给监管部门带来极大挑战。

2020年4月2日，中国人民银行办公厅发布了《关于开展金融科技应用风险专项摸排工作的通知》（银办发﹝2020﹞45号）（以下简称“45号文”）。

为贯彻2020年人民银行工作会议精神，落实《金融科技（FinTech）发展规划（2019-2021年）》（银发﹝2019﹞209号文印发），加强金融科技应用风险防控，切实保障人民群众信息和资金安全，人民银行组织开展金融科技应用风险专项摸排工作。

什么是金融科技？2019年8月，中国人民银行发布《关于印发<金融科技（Fintech）的发展规划（2019-2021年）>的通知》（银发﹝2019﹞209号），本通知参考了诸多国家规范要求，包括：☐《中共中央办公厅国务院办公厅关于加强金融服务民营企业的若干意见》☐《国务院关于促进云计算创新发展培育信息产业新业态的意见》（国发〔2015〕5号）☐《促进大数据发展行动纲要》（国发〔2015〕50号文印发）☐《新一代人工智能发展规划》（国发〔2017〕35号文印发）☐《国务院办公厅关于全面推进金融业综合统计工作的意见》（国办发〔2018〕18号)☐《“十三五”现代金融体系规划》（银发〔2018〕114号文印发）☐《关于进一步深化小微企业金融服务的意见》（银发〔2018〕162号文）等文件本通知明确2019年至2021年我国金融科技发展的指导思想、基本原则、发展目标、重点任务和保障措施。

金融科技是技术驱动的金融创新，旨在运用现代科技成果改造或创新金融产品、经营模式、业务流程等，推动金融发展提质增效。

在新一轮科技革命和产业变革的背景下，金融科技蓬勃发展，人工智能、大数据、云计算、物联网等信息技术与金融业务深度融合，为金融发展提供源源不断的创新活力。

摸排依据45号文的摸排依据主要来自法律制度和标准规范。

法律制度：☐《中华人民共和国网络安全法》发布于2016年11月7日；☐《金融科技（FinTech）发展规划（2019-2021年）》发布于2019年8月；☐《市场监管总局人民银行关于发布〈金融科技产品认证目录（第一批）><金融科技产品认证规则〉的公告》发布于2019年10月；☐《中国人民银行关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》（银发﹝2019﹞237号）发布于2019年9月等摸排依据标准规范名称来源概述《移动金融客户端应用软件安全管理规范》（JR/T 0092-2019）《关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》（银发〔2019〕237号）为贯彻落实《中华人民共和国网络安全法》，加强移动金融客户端应用软件（以下简称客户端软件）安全管理。

《个人金融信息保护技术规范》（JR/T 0171-2020）《关于发布金融行业标准做好个人金融信息保护技术管理工作的通知》（银发〔2020〕45号）加强个人金融信息全生命周期技术管理，强化风险识别和监控，建立健全风险事件处置机制，保障个人金融信息主体合法权益等。

《商业银行应用程序接口安全管理规范》（JR/T 0185-2020）《关于发布金融行业标准加强商业银行应用程序接口安全管理的通知》（银发〔2020〕44号）加强应用程序接口全生命周期安全管理，事前从接口安全设计、开发、服务等方面做好技术管理，事中从数据保护、接口访问、服务运行等方面增强运行管理，事后从风险防控、消费者权益保护等方面强化风险管理。

《移动金融基于声纹识别的安全应用技术规范》（JR/T 0164-2018）《关于发布金融行业标准规范声纹识别技术金融应用的通知》（文件编号：0001-2018-S-000-005057）全面规定了移动金融服务场景中基于声纹识别的安全应用技术要求，适用于手机银行等移动金融服务中基于声纹识别的开发、检测与应用。

《网上银行系统信息安全通用规范》（JR/T 0068-2020）《关于发布<网上银行系统信息安全通用规范>行业标准的通知》（银发〔2020〕35号）规定了网上银行系统安全技术要求、安全管理要求、业务运营安全要求，为网上银行系统建设、运营及测评提供了依据。

摸排对象、范围及内容（一）摸排对象：人民银行分支机构结合实际选择部分注册地在本辖区的金融机构进行摸排，摸排比例不高于30%。

（二）摸排范围：移动金融客户端应用软件、应用程序编程接口、信息系统等。

（三）摸排内容：涉及人工智能、大数据、区块链、物联网等新技术金融应用风险，包括个人金融信息保护、交易安全、仿冒漏洞、技术使用安全、内控管理等5个方面风险情况（详见附件《金融科技应用风险专项摸排列表》）。

（一）自评阶段（2020年5月至7月）•人民银行分支机构组织相关金融机构根据《金融科技应用风险专项摸排列表》逐项进行自评，及时提交报告。

对发现的问题，建立清单管控和动态跟踪机制，视情况采取必要的风险补救或补偿措施。

（二）核实阶段（2020年8月至9月）•人民银行分支机构应采取有效的非现场手段对相关金融机构自评情况进行核实。

中国支付清算协会、中国互联网金融协会配合做好相关核实工作。

（三）总结阶段（2020年10月）•人民银行分支机构要认真分析总结，形成书面报告，于2020年10月31日前报送人民银行总行。

（一）人民银行分支机构要认真做好专项摸排实施，结合本地实际情况制定切实可行的工作方案，组织按时保质开展金融机构自评，及时做好总结工作。

（二）中国支付清算协会、中国互联网金融协会要充分发挥自律组织作用，引导成员单位按照专项摸排列表做好自律工作，建立健全自律约束、信息共享等机制。

根据45号文中的工作安排相关金融机构在2020年5月至7月要完成自评工作，依据《金融科技应用风险专项摸排列表》逐项进行自评，及时提交报告。

对发现的问题，建立清单管控和动态跟踪机制，视情况采取必要的风险补救或补偿措施。

自评第三方安全评估机构协助自评形式自评手段：人员访谈：通过访谈管理和技术人员，了解在金融科技应用过程中人员是否具备相关安全意识，对相关安全事件是否能够及时响应。

文档稽核：分析金融科技应用现有的或计划采取的安全控制措施，查看策略文档（例如政策法规、指导性文档）、系统文档（例如用户手册、管理员手册、系统设计和需求文档）和安全相关文档（例如以前的审计报告、测试报告、信息安全策略、应急预案）等。

现场勘察：检测人员对金融科技应用所在的环境作现场检查\环境状况、系统命令或工具的输出，寻找是否有违反安全策略的现象。

安全检测：通过技术手段对相关金融科技应用进行全方位的安全评估，及时发现安全问题，并进行必要的风险补救或补偿措施。

依据《金融科技应用风险专项摸排列表》进行自评，摸排列表包括个人金融信息保护、交易安全、仿冒漏洞、技术使用安全以及内控管理五大方面，涵盖40个具体摸排项。

系统自评范围：基于40个摸排项，《金融科技应用风险专项摸排列表》中涵盖了123个摸排要点需要金融机构依据自身情况进行符合度评估，覆盖APP 、系统以及API 等摸排对象，相关结果以通过、不通过以及不适用呈现。

APPAPI文档稽查现场勘察人员访谈安全检测02章节P A R T金融科技监管推进2019年8月2019年10月2020年4月明确2019年至2021年我国金融科技发展的指导思想、基本原则、发展目标、重点任务和保障措施。

《关于印发<金融科技（Fintech ）的发展规划（2019-2021年）>的通知》（银发﹝2019﹞209号）为贯彻2020年人民银行工作会议精神，落实《金融科技（FinTech ）发展规划（2019-2021年）》（银发﹝2019﹞209号文印发），加强金融科技应用风险防控，切实保障人民群众信息和资金安全，组织开展金融科技应用风险专项摸排工作。

《关于开展金融科技应用风险专项摸排工作的通知》（银办发﹝2020﹞45号）为贯彻国务院精神，落实国家认证认可监督管理委员会、中国人民银行的要求，更好满足金融行业发展与监管需要。

《金融科技产品认证目录（第一批）》《金融科技产品认证规则》摸排工作与金融科技产品认证关系312阶段性成果检验从支付产品认证到金融产品认证，金融高科技产品认证工作目前正大规模推广，在2020年下半年，推广进度如何，需要从这样的摸底工作中得知。

后续监管重点摸底对不同银行的金融科技应用情况进行摸底，比如物联网、大数据等，为后续金融产品规范或者认证做调研助力金融科技检测认证工作的推广此次APP 作为摸底工作重点，一是为了检验前期金融APP 检测备案工作的落实情况，二是为了进一步推广APP 的检测备案工作。

金融科技产品认证为了满足金融行业发展与监管要求，市场监管总局、人民银行将原先支付技术产品相关规范进行拓展，确定了《金融科技产品认证目录(第一批)》，明确规定了金融科技产品范围，并于2019年10月16日发布了《金融科技产品认证规则》，将对市场上的金融科技产品展开认证工作。

2017年8月中国人民银行&国家认证认可监督管理委员会《关于开展支付技术产品认证工作的实施意见》（国认证联〔2017〕91号）《关于加强支付技术产品标准实施与安全管理的通知》（银发〔2017〕208号）中国支付清算协会实验室工程师能力考试20185月201910.25中国人民银行&国家市场监督管理总局《金融科技产品认证目录（第一批）》《金融科技产品认证规则》2017年12.29中国支付清算协会《支付技术产品认证自律管理规则》《支付技术产品认证目录》20193月中国支付清算协会完成试点项目检测金融科技产品认证目录序号产品种类产品范围描述1客户端软件支持支付业务（包括处理订单）的移动终端客户端软件，包括：移动终端客户端程序、支付控件、软件开发工具包(SDK)等。

2安全芯片支持移动支付业务开展的安全芯片,是指构成金融行业安全载体的具有中央处理器的集成电路芯片。

3安全载体支持移动支付业务开展的基于安全芯片运行的安全单元以及承载安全单元的介质，例如SIM卡、SD卡、eSE、inSE等。

4嵌入式应用软件支持移动支付业务开展的，运行于安全单元（SE）内嵌入式系统软件之上的嵌入式应用软件。

5银行卡自动柜员机（ATM）终端一种组合了多种不同金融业务功能的自助服务设备，持卡人可利用该设备所提供的功能完成存款、取款等金融服务。