1、 ICS 35.240.40 CCS A 11 JR 中华人民共和国 金融 行业标准 JR/T 0198 2020 金融科技创新应用测试规范 Application testing specification for FinTech innovation 2020 10 - 21 发布 2020 10 21 实施 中国人民银行 发布 JR/T 0198 2020 I 目 次 前言 . II 1 范围 . 1 2 规范性引用文件 . 1 3 术语和定义 . 1 4 缩略语 . 2 5 测试声明 . 2 6 测试运行 . 7 7 测试结束 . 9 JR/T 0198 2020 II 前 言本文件按
2、照GB/T1.1 2020标准化工作导则 第1部分:标准化文件的结构和起草规则的规定起草。 本文件由中国人民银行提出。本文件由全国金融标准化技术委员会(SAC/TC 180)归口。本文件起草单位:中国人民银行科技司、中国人民银行广州分行、中国人民银行重庆营业管理部、中国人民银行石家庄中心支行、中国支付清算协会、中国互联网金融协会、中国工商银行股份有限公司、 中国农业银行股份有限公司、中国银行股份有限公司、中国建设银行有限公司、交通银行股份有限公司、 中国人寿财产保险股份有限公司、中信银行股份有限公司、中国民生银行股份有限公司、招商银行股份有限公司、广发银行股份有限公司、上海浦东发展银行股份有限
3、公司、渤海银行股份有限公司、中国金 融电子化公司、中国银联股份有限公司、北京金融科技产业联盟、上海银行股份有限公司、成都银行股份有限公司、重庆银行股份有限公司、苏州银行股份有限公司、杭州银行股份有限公司、重庆农村商业银行股份有限公司、上海华瑞银行股份有限公司、深圳前海微众银行股份有限公司、浙江网商银行股份有限公司、四川新网银行股份有限公司、传化支付有限公司、百行征信有限公司、工银科技有限公司、建信金融科技有限公司、兴业数字金融服务(上海)股份有限公司、华为软件技术有限公司、腾讯云计算(北京)有限责任公司、京东数字科技控股股份有限公司、度小满(重庆)科技有限公司。 本文件主要起草人:李伟、李兴锋
4、、张宏基、但孝磊、丁华明、于沛、李健、肖翔、汤沁 、孙维挺、黄梦达、侯晓晨、赵计博、王立飞、祁永、王硕、庄光耀、李佐鸿、卫航、谭明红、高成、韩亚凯、 魏伟、滕朝阳、郝政、李烨、吴峰、赵永、马杰、杨涛、白云飞、陈庆来、韩毅、李大栩、任雯雯、张德玮、傅杰、张奕华、朱一鸣、孙涵、杜霞、黄本涛、顾爱霞、何韬、佘科、李微羽、徐建芳、卢华玮、 陈勤伟、李斌、黄超、李秀生、张勇钢、郭胜基、丁君之、何方竹、李洋、杜明灯、黄淼、范义鹏、吴同亮。 JR/T 0198 2020 1 金融科技创新应用测试规范 1 范围 本文件规定了金融科技创新应用测试规范,包括测试声明、测试运行、测试通过、测试退出、自律 要求等。
5、本文件适用于从事金融服务创新的持牌金融机构和从事相关业务系统、算力存储、算法模型等科技 产品研发的科技公司,也适用于相关安全评估机构、风险监测机构、自律组织等。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文 件必不可少的条款。其中,注日期的引用文件, 仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本 文件。 JR/T 0199 2020 金融科技创新安全通用规范 JR/T 0200 2020 金融科技创新风险监控规范 3 术语和定义 下列术语和定义适用于本文件。 3.1 申请机构 application institution 从
6、事金融服务创新的持牌金融机构或从事相关业务系统、算力存储、算法模型等科技产品研发的科 技公司。 3.2 金融科技 fintech 技术驱动的金融创新,旨在运 用新技术改造或创新金融服务、经营模式、业务流程等,推动金融发 展提质增效。 3.3 金融科技创新应用 fintech innovation 在符合现行法律法规、部门规章、规范性文件等要求前提下,在尚不具备管理细则 的领域,利用新 技术设计、面向金融用户的 产品或 服务 。 3.4 金融科技创新管理服务平台 management service platform for fintech innovation 为金融科技创新应用测试提供各环节
7、全生命周期管理和风险动态探测、综合评估、联防联控的平台, 支撑创新测试机制高效运行,确保 创新风险总体可控。 JR/T 0198 2020 2 4 缩略语 下列缩略语适用于本文件。 APP:客户端应用软件( Application Software) 5 测试声明 5.1 声明要求 5.1.1 真实准确 声明应遵循“真实、准确、完整、及时”要求,不得虚假记载、误导性陈述、遗漏或拖延公开创新 应用信息。 5.1.2 简洁易懂 声明应使用简明易懂的语言,对专业术语、专业背景、行业知识等进行必要介绍和解释说明,便于 用户了解创新应用信息。 5.1.3 信息一致 声明应采用中文文本,如同时采用外文文本
8、的,应保证各文本的内容一致。文本之间产生歧义的, 以中文文本为准。 5.1.4 合法合规 声明应符合法律法规 关于国家秘密、商业秘密、个人信息保护、知识产权保护的有关规定。 5.1.5 长期保存 应对声明材料进行妥善留存,留存时间为自通过公示之日起至少 20年。 5.1.6 全面声明 本文件没有规定,但不声明相关信息可能导致用户出现重大误解、产生错误判断的,申请机构应将 此类信息予以及时声明。 5.2 声明方式 5.2.1 公示 5.2.1.1 公示时间和渠道 申请机构应在创新应用向用户正式提供服务前至少 25个工作日,通过金融科技创新管理服务平台申 请公示,公示期为 5个工作日。金融科技创新
9、应用在公示期间发生重大变更的,申请机构应及时更新信 息并重新申请公示。 5.2.1.2 公示形式 应以金融科技 创新应用声明书形式进行公示。声明书应包含 创新应用基本信息 、 创新应用服务信息 、 合法合规性评估 、技术安全性评估、风险防控、投诉响应机制、承诺声明等要素(见 5.3)。 JR/T 0198 2020 3 5.2.2 登记 5.2.2.1 登记时间和渠道 申请机构应在创新应用完成公示后的 5个工作日内,通过金融科技创新管理服务平台申请登记。 5.2.2.2 登记形式 应以金融科技创新应用声明书形式进行登记。 5.2.3 自声明 5.2.3.1 自声明时间和渠道 申请机构应在完成登
10、记后、向用户正式提供服务前,在官方网站、微博、 APP、实体网点等 线上线 下渠道显著位置进行自声明,就自声明内容的真实性、准确性、完整性向公众做出承诺 。 5.2.3.2 自声明形式 应以金融科技创新应用声明书形式进行自声明。 5.2.4 用户明示 5.2.4.1 用户明示时间和渠道 申请机构应在用户签约时,明确告知用户声明书中要求明示的要素。 5.2.4.2 用户明示形式 应以服务协议书等形式进行用户明示,并提供用户查询、下载的渠道。 5.3 声明要素 5.3.1 创新应用基本信息 5.3.1.1 创新应用编号 创新应用编号由 26位字母和数字组成,分 3部分(见表 1):申请机构营业执照
11、上的统一社会信用代 码( 18位)、提交创新应用声明书的年份( 4位)和项目编号( 4位),中间用“ -”分隔。适用于公示、 登记、自声明和用户明示。 示例: 某机构的统一社会信用代 码为 91210200TK0QE7GT5L,则该机构 2019年第 5个创新应用声明的编号应为 91210200TK0QE7GT5L-2019-0005。 表 1 创新应用编号组成示意表 第一部分 第二部分 第三部分 统一社会信用代码 ( 18 位) 提交创新应用声明书年份 (阿拉伯数字, 4 位) 项目编号 (阿拉伯数字, 4 位,由 0001 开始累加) 5.3.1.2 创新应用名称 创新应用名称应简洁明了、
12、易于理解,原则上不超过 20字。适用于公示、登记、自声明和用户明示。 5.3.1.3 创新应用类型 JR/T 0198 2020 4 创新应用包括金融服务、科技产品 2种类型。适用于公示 、登记、自声明和用户明示。 5.3.1.4 机构信息 5.3.1.4.1 统一社会信用代码 应填写申请机构营业执照上的统一社会信用代码。适用于公示、登记、自声明和用户明示。 5.3.1.4.2 全球法人识别编码 如有,应填写申请机构的全球法人识别编码( LEI)。适用于公示、登记、自声明和用户明示。如 无,可不填。 5.3.1.4.3 机构名称 应填写申请机构营业执照上的名称。适用于公示、登记、自声明和用户明
13、示。 5.3.1.4.4 持有金融牌照信息 如有,应填写参与创新应用项目中持牌金融机构的金融牌照信息,包括牌照名称、发证机关、牌照 编号。适用于公示、登记、自声明和用户明示。如无,可不填。 5.3.1.5 拟正式运营时 间 应填写创新应用拟向用户正式提供服务的时间。描述方式为 yyyy年 mm月 dd日 , 如 2019年 02月 27日。 适用于公示、登记和自声明。 5.3.1.6 技术应用 应简要描述所使用的现代化信息技术,以及该技术为金融服务提供的功能。原则上不超过 150字。 适用于公示、登记和自声明。 5.3.1.7 功能服务 应描述创新应用为用户所提供的主要服务、功能信息,并说明研
14、发与运维过程是否有第三方机构参 与,明确其参与环节和工作内容。原则上不超过 200字。适用于公示、登记、自声明和用户明示。 5.3.1.8 创新性说明 应描述项目在技术应用或金融服务上的创新点,明确创新应用 的创新性。适用于公示、登记、自声 明和用户明示。 5.3.1.9 预期效果 应 简要 描述创新应用上线后预计产生的社会效益、市场价值等,原则上不超过 50字。适用于公示、 登记、自声明和用户明示。 5.3.1.10 预期 规模 应简要描述创新应用 上线后 的 预期 规模,包括但不限于 用户数、交易量、 交易额等量化 指标,原则 上不超过 50字 。适用于 公示 、 登记 、自声明 和 用户
15、明示。 5.3.2 创新应用服务信息 JR/T 0198 2020 5 5.3.2.1 服务渠道 应描述申请机构向用户提供创新应用的通道或途径。适用于公示、登记、自声明和用户明示。 5.3.2.2 服务时间 应描述创新应用 可正常完成 服务 的时间范围。 不同的服务渠道可有不同的服 务时间。适用于公示、 登记、自声明和用户明示。 5.3.2.3 服务用户 应描述创新应用的适用人群。适用于公示、登记、自声明和用户明示。 5.3.2.4 服务协议书 应填写用户使用本创新应用时需要了解并同意的相关内容。适用于公示、登记、自声明。 5.3.3 合法合规性评估 5.3.3.1 评估机构 应填写评估机构的
16、中文全称。适用于公示、登记、自声明和用户明示。 5.3.3.2 评估时间 应填写评估机构出具合法合规性评估材料的时间。描述方式为 yyyy年 mm月 dd日,如 2019年 02月 27 日。适用于公示、登记、自声明和用户明示。 5.3.3.3 有效期限 应填写合法合规性评估材料的有效期。描述方式为 X年 ,如 3年。适用于公示、登记、自声明和用户 明示。 5.3.3.4 评估结论 应简要描述合法合规性评估结论,原则上不超过 100字。适用于公示、登记、自声明和用户明示。 5.3.3.5 评估材料 应提供创新应用的合法合规性评估材料。评估材料包括但不限于评估依据、评估方法、评估分析、 评估结论
17、。适用于公示、登记和自声明。 5.3.4 技术安全性评估 5.3.4.1 评估机构 应填写评估机构的中文全称。适用于公示、登记、自声明和用户明示。 5.3.4.2 评估时间 应填写评估机构出具技术安全性评估报告的时间。描述方式为 yyyy年 mm月 dd日,如 2019年 02月 27 日。适用于公示、登记、自声明和 用户明示。 5.3.4.3 有效期限 JR/T 0198 2020 6 应填写技术安全性评估报告的有效期。描述方式为 X年,如 3年 。 适用于公示、登记、自声明和用户 明示。 5.3.4.4 评估结论 应简要描述技术安全性评估结论,原则上不超过 100字。适用于公示、登记、自声
18、明和用户明示。 5.3.4.5 评估材料 应提供该创新应用的技术安全性评估材料。评估材料包括但不限于以下内容:评估依据、评估方法、 评估分析、评估结论。适用于公示、登记和自声明。 5.3.5 风险防控 5.3.5.1 风控措施 应描述创新应用可能存在的威胁用户资金或敏感信息安全的潜在风险,并说明针对风险采取的防范 措施。适用于公示、登记、自声明和用户明示。 5.3.5.2 风险补偿机制 应描述创新应用可能存在的潜在风险,并说明针对风险采取的防范措施。适用于公示、登记、自声 明和用户明示。 5.3.5.3 退出机制 应描述创新应用退出创新测试的机制。退出机制应能够在创新应用正常退出或因特殊情况导
19、致非正 常退出时,确保数据安全,防范资金失窃风险,实现平稳退出。退出机制包括但不限于退出条件、退出 方案、执行部门、资金流转等内容。适用于公示、登记和自声明。 5.3.5.4 应急预案 应提交创新应用的应急预案。应急预案应能提高应对突发事件的综合管理水平和应急处置能力。应 急预案包括但不限于突发事件的定义与分级、处置原则、预 防与预警机制、应急保障、应急培训与演练 等内容。适用于公示、登记和自声明。 5.3.6 投诉响应机制 5.3.6.1 机构投诉 5.3.6.1.1 投诉渠道 应填写接受用户投诉的渠道信息,包括但不限于营业网点地址、通讯地址、电话、传真、电子邮箱、 官方网站、微博、 APP
20、等。适用于公示、登记、自声明和用户明示。 5.3.6.1.2 投诉受理与 处理 机制 应填写投诉受理与 处理 机制相关内容,包括但不限于受理部门、受理时间、处理流程、处理时限等 信息。适用于公示、登记、自声明和用户明示。 5.3.6.2 自律投诉 5.3.6.2.1 投诉渠道 JR/T 0198 2020 7 如有,应填写接受自律投诉的渠道信息,包括但不限于营业网点地址、通讯地址、电话、传真 、电 子邮箱、官方网站、微博、 APP等。适用于公示、登记、自声明和用户明示。 5.3.6.2.2 投诉受理与 处理 机制 应按照行业自律要求,填写自律投诉受理与 处理 机制相关内容,包括但不限于受理部门
21、、受理时间、 处理流程、处理时限等信息。适用于公示、登记、自声明和用户明示。 5.3.7 承诺声明 申请机构应对所申报创新应用,就金融科技创新应用声明书内容真实性、准确性、完整性进行承诺 声明,并加盖机构公章。 5.4 声明流程 声明主要包含以下流程: a) 准备 :申请机构应严格遵循现行法律法规、部门规章、规范性文件等要求,遵循 JR/T 0199 2020 要求, 建立健 全内部管控、安全防控、应急处置、服务退出等机制,采取风险拨备资 金、保险计划等措施最大限度地补偿风险事件给用户造成的损失,切实保障金融消费者合法权 益。科技公司作为申请机构时,须由持牌金融机构为其提供科技产品的金融场景支
22、撑。 b) 申请:申请机构应按要求填写金融科技创新应用声明书,通过金融科技创新管理服务平台提交 申请。 c) 受理: 组织测试的金融管理部门(以下简称测试管理部门) 、自律组织 1) 对申请机构报送声明 书的规范性、完整性、公平性、 合理性进行核实。如通过,应对创新应用上线后可能产生的影 响进行评估,形成评估材料提交 测 试管理部门 ;如未通过,回到 a)。 d) 公示:测试管理部门、自律组织应将声明书在金融科技创新管理服务平台进行公示。 e) 监督:在公示期内,申请机构应就声明书的合法合规性、合理性等接受公众监督。如公众对公 示内容有意见,可向自律组织反映,到 f);如无意见,则公示通过,到
23、 g)。 f) 意见处理:自律组织应及时将公众意见汇总并反馈给申请机构。申请机构收到反馈意见后,应 与意见反馈方妥善沟通并达成一致,并于 5 个工作日内将公众意见处理情况报送自律组织。 g) 评估:自律组织应对意见处理情况进行分析研判,将有关情况报测试管理部门核实确认,如评 估 未通过,则回到 a)。 h) 登记:评估通过后,申请机构应按本文件进行登记 。 相关科技产品应在登记之前提交外部权威 专业机构出具的 JR/T 0199 2020 标准符合性证明材料。 i) 自声明:完成登记后,申请机构应按本文件进行自声明。 j) 用户明示:申请机构在用户签约时,应按本文件进行用户明示。 k) 变更:
24、在声明要素发生变更时,申请机构应重新填报声明书,并按流程重新进行声明。 6 测试运行 6.1 风险内控 申请机构应建立 健全 风险内控制度,落实风险管理的主体责任,定期开展创新应用 安全 审计 与 评估, 明确 规定各岗位、人员的 管理 责任 ,完善风险事件应急 处置与 责任追究 机制 。 对于第三方 机构参与 创新 1) 自律组织受测试管理部门委托开展金融科技创新测试的声明书审核、公示等的相关自律工作。 JR/T 0198 2020 8 应用设计开发、 安全评估 等环节的 , 应 严格 落实国家和金融行业相关管理要求 , 确保不让渡风险管理责 任。 6.2 风险监测 自律组织应按照 JR/T
25、 0200 2020的要求,利用金融科技创新管理服务平台持续动态监测创新应用 运行状况,加强风险外部感知,及时定位、跟踪、预防和化解创新应用运营过程中的风险隐患,并定期 向 测试管理部门 报告 ,切实增强金融风险技防能力。申请机构应将创新测试期间的重要事件、操作记录、 系统日志等及时报送自律组织。 6.3 风险处置 申请机构应建立健全综合性风险处置与补偿机制, 推进差异化风险预警和高效应急处置,切实做到 问题早发现、风险早暴露、漏洞早补救;对于短期内难以补救的风险漏洞,及时采取综合性风险补偿措 施;对于存在严重安全隐患或发生重大风险事件的创新应用,应及时报告测试管理部门和自律组织,视 情况退出
26、测试。造成损失的,应通过风险拨备资金、保险计划等进行赔偿,切实保障金融消费者合法权 益。 6.4 投诉建议 6.4.1 机构投诉 6.4.1.1 投诉渠道 申请机构应建立投诉机制,通过官方网站、微博、 APP、营业网点等线上线下渠道显著位置,向公 众公开长期有效的投诉电话、传真、电子邮箱、通讯地址等。 6.4.1.2 投诉受理 与 处理流程 投诉受理与处理主要包含以下流程: a) 投诉受理:申请机构应及时受理用户投诉。 b) 投诉处理:申请机构应充分了解投诉情况,及时处理用户投诉,在收到投诉之日起 7 个工作日 内与用户进行沟通,及时反馈投诉处理结果或最新进展。 c) 投诉办结:在与用户沟通一
27、致后,申请机构应对投诉进行办结,并将投诉内容及处理情况存档 备查; 如用户不满意申请机构给出的投诉处理结果,可进行自律投诉。 6.4.2 自律投诉 6.4.2.1 投诉渠道 自律组织应建立健全创新应用的自律投诉机制,通过官方网站、微博、 APP及申请机构营业网点等 线上线下渠道,向公众公开长期有效的投诉电话、传真、 电子邮箱、通讯地址等。 6.4.2.2 投诉受理 与 处理流程 投诉处理与处理流程主要包含以下流程: a) 投诉受理:自律组织应及时受理公众投诉。 b) 投诉处理:自律组织应委派被投诉机构及时妥善处理投诉,并密切跟进投诉进展、处理投诉纠 纷。被投诉机构应在收到投诉之日起 7 个工作
28、日内与用户进行沟通,及时向自律组织反馈投诉 处理结果和最新进展。 JR/T 0198 2020 9 c) 组织调解:自律组织根据投诉情况进行调查分析,做出调解;如调解不成功,投诉人和被投诉 机构可向相关测试管理部门反映和申诉。 d) 投诉办结:自律组织应在投诉处理完成后对投诉内容及处理情况存档备查。 7 测试结束 7.1 测试评 价 7.1.1 评估内容 从创新价值、服务质量、用户满意度、业务连续性保障、合法合规、交易安全、数据安全、风险防 控(风控措施、补偿措施、应急处置、退出机制)等方面 ,全面评估创新应用 是否严格履行声明书相关 承诺、 是否 惠民 利企、是否满足监管要求、是否商业可持续
29、。 7.1.2 评估方式 7.1.2.1 自测自评 测试机构应通过系统测试、内部审计等方式,组织开展内部评估工作,形成自评报告。 7.1.2.2 外部安全评估 对于创新应用涉及的科技产品,测试机构可申请国家统一推行的金融科技技术产品通用安全认证, 并获得证明材料。 7.1.2.3 第三方审计 对于创新应用涉及的金融服务,测试机构可 通过申请注册会计师审计等方式,对创新应用声明书相 关承诺的落实情况进行评估,并获得证明材料。 7.1.2.4 专家论证 测试机构应组织相关领域外部权威专家组成专家组(至少包括业务、技术、安全、自律等专家), 在自测自评基础上,结合外部评估情况进行综合评审论证。 7.
30、2 测试成功 7.2.1 创新应用涉及的金融服务 相关管理细则出台 且通过 专家论证、第三方审计 的,报测试管理部门后,由出台管理细则的金融管 理部门负责日常管理。金融管理部门结合测试运行情况按照现有职责分工,在条件具备前提下适时出台 管理细则。 7.2.2 创新应用涉及的科技产品 专家论证、外部评估均通过 的,报测试管理部门后,可视情况在金融领域推广应用。通过专家论证 但未通过外部评估的,报测试管理部门后,仅供联合申报测试的金融机构使用。 7.3 测试退出 7.3.1 退出流程 JR/T 0198 2020 10 退出流程主要包含: a) 申请:申请机构应在停止服务前,至少提前 15 个工作
31、日提出创新应用退出申请。 b) 受理:自律组织从保护金融消费者合法权益、维护金融稳定等方面进行综合评估,并将评估结 果报测试管理部门后反馈申请机构。 c) 执行:申请机构应按照声明的退出方案执行退出程序。 7.3.2 退出方式 退出方式主要包含 : a) 主动退出:申请机构出于战略定位、业务发展等方面考虑,拟终止创新应用运 营服务的,可按 退出流程主动申请退出。 b) 强制退出:对于未能严格落实本 文件 要求、未能履行声明书承诺且情节较为严重的创新应用, 申请机构应按照要求执行退出流程,在保障金融消费者合法权益的前提下实现创新应用平稳退 出。 c) 逾期退出:对于测试运行 2 年以上仍未能通过测试评价的,申请机构应按流程退出测试。 _
