1、 ICS 35.240.40 CCS A 11 JR 中华人民共和国 金融 行业标准 JR/T 0200 2020 金融科技创新风险监控规范 Risk monitoring specification for FinTech innovation 2020 10 21 发布 2020 10 21 实施 中国人民银行 发布 JR/T 02002020 I 目 次 前言 . II 1 范围 . 1 2 规范性引用文件 . 1 3 术语和定义 . 1 4 缩略语 . 1 5 风险监控框架 . 2 6 风险监控流程 . 3 7 风险监控实施 . 4 参考文献 . 23 JR/T 02002020 II
2、 前 言本 文 件 按 照 GB/T1.12020 标 准 化 工 作 导 则 第 1部 分 : 标 准 化 文 件 的 结 构 和 起 草 规 则 的 规 定 起草 。 本 文 件 由 中 国 人 民 银 行 提 出 。本 文 件 由 全 国 金 融 标 准 化 技 术 委 员 会 ( SAC/TC 180) 归 口 。本 文 件 起 草 单 位 : 中 国 人 民 银 行 科 技 司 、 中 国 人 民 银 行 上 海 总 部 、 中 国 人 民 银 行 成 都 分 行 、 中 国 人民 银 行 杭 州 中 心 支 行 、 中 国 支 付 清 算 协 会 、 中 国 互 联 网 金 融 协
3、 会 、 中 国 工 商 银 行 股 份 有 限 公 司 、 中 国 农业 银 行 股 份 有 限 公 司 、 中 国 银 行 股 份 有 限 公 司 、 中 国 建 设 银 行 有 限 公 司 、 中 国 金 融 电 子 化 公 司 、 北 京 银联 金 卡 科 技 有 限 公 司 、 北 京 中 金 国 盛 认 证 有 限 公 司 、 北 京 金 融 科 技 产 业 联 盟 、 交 通 银 行 股 份 有 限 公 司 、中 国 人 寿 财 产 保 险 股 份 有 限 公 司 、 中 信 银 行 股 份 有 限 公 司 、 中 国 民 生 银 行 股 份 有 限 公 司 、 招 商 银 行
4、股 份 有 限 公 司 、 广 发 银 行 股 份 有 限 公 司 、 上 海 浦 东 发 展 银 行 股 份 有 限 公 司 、 渤 海 银 行 股 份 有 限 公 司 、 中 国 银联 股 份 有 限 公 司 、 上 海 银 行 股 份 有 限 公 司 、 成 都 银 行 股 份 有 限 公 司 、 重 庆 银 行 股 份 有 限 公 司 、 苏 州 银 行股 份 有 限 公 司 、 杭 州 银 行 股 份 有 限 公 司 、 重 庆 农 村 商 业 银 行 股 份 有 限 公 司 、 上 海 华 瑞 银 行 股 份 有 限 公 司 、深 圳 前 海 微 众 银 行 股 份 有 限 公 司
5、 、 浙 江 网 商 银 行 股 份 有 限 公 司 、 四 川 新 网 银 行 股 份 有 限 公 司 、 传 化 支 付有 限 公 司 、 百 行 征 信 有 限 公 司 、 工 银 科 技 有 限 公 司 、 建 信 金 融 科 技 有 限 公 司 、 兴 业 数 字 金 融 服 务 ( 上 海 )股 份 有 限 公 司 、 华 为 软 件 技 术 有 限 公 司 、 腾 讯 云 计 算 ( 北 京 ) 有 限 责 任 公 司 、 京 东 数 字 科 技 控 股 股 份 有限 公 司 、 度 小 满 ( 重 庆 )科 技 有 限 公 司 、 中 金 金 融 认 证 中 心 有 限 公 司
6、 。本 文 件 主 要 起 草 人 : 李 伟 、 潘 润 红 、 李 兴 锋 、 张 宏 基 、 但 孝 磊 、 于 沛 、 肖 翔 、 渠 韶 光 、 聂 丽 琴 、 于园 、 汤 沁 、 孙 维 挺 、 黄 梦 达 、 侯 晓 晨 、 贾 铮 、 刘 力 慷 、 李 博 文 、 孙 茂 增 、 黄 本 涛 、 赵 计 博 、 周 钰 博 、王 立 飞 、 张 行 、 李 岚 、 王 岚 、 顾 小 燕 、 董 丽 瑶 、 何 文 才 、 刘 贵 辉 、 吕 扬 建 、 陈 晨 辉 、 孙 坚 、 李 烨 、 吴 峰 、赵 永 、 马 杰 、 杨 涛 、 白 云 飞 、 陈 庆 来 、 韩
7、 毅 、 任 雯 雯 、 张 德 玮 、 傅 杰 、 张 奕 华 、 朱 一 鸣 、 孙 涵 、 顾 爱 霞 、杜 霞 、 何 韬 、 佘 科 、 李 微 羽 、 徐 建 芳 、 卢 华 玮 、 陈 勤 伟 、 李 斌 、 黄 超 、 李 秀 生 、 张 勇 钢 、 李 大 栩 、 郭 胜基 、 丁 君 之 、 何 方 竹 、 李 洋 、 杜 明 灯 、 黄 淼 、 范 义 鹏 、 吴 同 亮 、 孙 越 。 JR/T 02002020 1 金融科技创新风险监控规范 1 范围 本文件规定了金融科技创新应用风险监控的要求,包括监控框架、流程、实施等方面。 本文件适用于从事金融服务创新的持牌金融机
8、构和从事相关业务系统、算力存储、算法模型等科 技产品研发的科技公司,也适用于相关安全评估机构、风险监测机构、自律组织等。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适 用于本文件。 JR/T 0193 2020 区块链技术金融应用 评估规则 3 术语和定义 下列术语和定义适用于本文件。 3.1 金融科技创新机构 fintech innovation institution 从事金融服务创新的持牌金融机构及从事相关业务系统、算力存储、算法模型等科技
9、产品研发的 科技公司。 3.2 金融科技创新应用 fintech innovation 在符合现行法律法规、部门规章、规范性文件等要求前提下,在尚不具备管理细则 的领域,利用 新技术设计、面向金融用户的 产品或 服务 。 3.3 个人金融信息 personal financial information 金融科技创新机构通过提供金融 服务 或科技产品等方式 获取、加工和保存的个人信息。 注 1: 本 文件 中的个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及 其他反映特定个人某些情况的信息。 注 2: 改写 JR/T 0171 2020,定义 3.2。 4
10、缩略语 下列缩略语适用于本文件。 JR/T 02002020 2 API:应用程序接口( Application Programming Interface) APP:客户端应用软件( Application Software) DNS:域名系统( Domain Name System) IDS:入侵监测系统( intrusion detection system) QoS:服务质量( Quality of Service) RPO:恢复点目标( Recovery Point Objective) RTO:恢复时间目标( Recovery Time Objective) TPS:每秒交易笔数(
11、 Transactions Per Second) WAF:网站应用防火墙( Web Application Firewall) 5 风险监控框架 5.1 概述 金融科技创新风险监控主要通过对金融科技创新应用等进行数据采集、关联分析,识别发现可能 存在 的安全事件和风险并进行展示和预警,掌握金融科技应用风险态势,保证金融科技应用安全稳定 运行,保护消费者合法权益。金融科技创新风险监控框架见图 1。 图 1 金融科技应用风险监控框架 5.2 监控对象和内容 5.2.1 监控对象 JR/T 02002020 3 主要涵盖金融科技创新机构(以下简称创新机构)的业务系统、 API、 SDK、 APP等
12、。 5.2.2 监控内容 监控内容主要包括个人金融信息保护、金融交易安全、业务连续性、服务质量、技术使用安全、 内控管理、网络安全、意见投诉、公开舆情等。 5.3 基本原则 5.3.1 安全可控原则 应按照安全可控原则 ,开展风险监测和防控,保障系统和服务的风险可控,提前做好应对威胁风 险的处置预案。 5.3.2 开放共享原则 应按照开放共享原则,开展风险信息报送与风险数据共享。 5.3.3 隐私保护原则 应按照隐私保护原则,开展风险监控过程中对于可能涉及的个人或金融交易隐私信息应采取有效 安全保护措施,确保隐私信息安全不被泄露。 5.3.4 披露与监督原则 应按照披露与监督原则,积极披露系统
13、及应用风险,定期发布报告,主动接受监督,确保系统与 应用安全运行。 6 风险监控流程 6.1 基本要求 创新机构应按照本文件接受监测机构的风险监测,并按照监管机构、自律组织要求进行风险处 置。 监控流程包含数据采集、数据分析、风险预警、风险处置、信息共享。 在风险监控过程中各参与方应 采取数据安全存储、访问权限控制、敏感信息脱敏等技术措施 保证 数据全生命周期安全。 6.2 数据采集 监测机构应根据监控对象分类,明确定义数据采集的类型、接口和通讯方式,采集监测数据,为 数据分析提供源数据,具体包括: a) 统一数据采集接口。 b) 对数据进行标准化处理。 6.3 数据分析 监测机构应根据监控对
14、象的技术和业务风险防范要求,明确分析目的,选择合适的数据分析工具 和方法,进行数据分析处理,具体包括: a) 选择数据,进行特征抽取,建立、训练、 优化分析模型,计算分析结果。 b) 对分析处理的过程和结果进行校验,格式化输出,产生分析报表。 JR/T 02002020 4 6.4 风险预警 监测机构应根据数据分析结果识别风险的类别、影响严重程度等,判断预警级别并触发预警,具 体包括: a) 按照 预警 的监控对象类型进行分类。 b) 按照 预警的触发原因进行分类,包括但不限于系统漏洞、病毒木马、钓鱼网站、可疑活动、 扫描探测、拒绝服务类、认证 /授权 /访问类告警,如撞库、僵尸网络等。 c)
15、 对预警形成可视报表进行展示,包括但不限于监控对象的状态、事件、预警信息以及事件间 的关联关系等。 d) 预警 方式包括但不限于 短信、邮件、即时通信 、站内信、系统间互联接口推送等。 6.5 风险处置 创新机构应及时对风险进行处置,具体包括: a) 针对系统级别风险,及时采取措施对风险进行处置。 b) 针对 流程 管理类风险,及时 进行分析并完善相关机制。 c) 针 对仿冒钓鱼类风险,及时与相关管理机构沟通并进行关停。 d) 针对舆情类风险,及时根据相关机制采取应对措施。 e) 针 对意见投诉类风险,及时分析原因,进行处理。 f) 针对 不能有效证明因客户原因导致的资金损失的情况,建立风险拨
16、备资金、保险计划、风险 赔付等制度面向客户进行赔付,保障客户合法权益。 g) 针对 新技术与业务融合造成的潜在风险,制定应急处置方 案。 h) 针对 涉及 多机构的风险,相关 机构需主动开展联防联控。 7 风险监控实施 7.1 实施方法 7.1.1 机构报送 按照风险监控要求通过信息填报、文件上传等方式报送金融科技创新应用相关设施状态、变更信 息、运行数据和日志等,为风险识别提供信息。针对未按要求如期报送的创新机构,应予以提醒。 7.1.2 接口采集 在不干扰金融科技创新应用正常运行的前提下,以旁路或镜像等方式采集数据,通过预定义的接 口进行信息采集,识别系统风险。 7.1.3 自动探测 在不
17、干扰金融科技创新应用正常运行的前提下,使用自动化方式通过机构外部网络采集应用系统 的状态数据,应用于风险识别。 7.1.4 人工核验 对运行中的系统,在不事先告知创新机构的情况下,模拟用户进行核验,验证系统的业务功能、 处理流程和控制措施等与事先报备的内容是否一致。 7.1.5 信息共享 JR/T 02002020 5 对国家网络安全管理部门、公安机关等通报的信息,认证机构、安全评估机构、科研机构或其他 组织报告或共享的信息进行分析,识别应用的风险。 7.1.6 舆情监测 对媒体发布的公开信息、热点事件、风险事件等信息进行跟踪、采集,并分析、核实,及时发现 舆情风险。 7.1.7 意见投诉 对
18、通过创新机构、行业自律组织、监管部门或其他投诉渠道收集到的意见投诉信息进行分析跟踪, 为识别创新应用风险提供信 息。 7.2 个人金融信息保护 7.2.1 隐私政策合规 a) 应 对 隐私政策合规情况进行 监测 , 采取以下措施 : 机构报送:创新机构每季度定期报送隐私政策条款,报送内容包含但不限于隐私政策的 链接、隐私政策的文本、变更公告、白皮书、修订记录等。 自动探测:通过自动化的技术手段对隐私政策文本进行检查,识别隐私政策变更情况。 人工核验:对隐私政策的文本描述、收集和处理过程、收集权限、收集范围等内容进行 核验,确认隐私政策内容符合 JR/T 0171 2020 及相关法律法规要求,
19、确认创新机构所 报送信息、行为与业务需求匹配。 意见投诉 :分析意见投诉信息,确认隐私政策文本的合理性。 信息共享:确认隐私政策内容是否符合相关管理部门要求。 b) 应对隐私政策合规风险进行处置,采取以下处置措施: 监测机构: 及时告知创新机构,对发现的风险提出处置建议,并协助创新机构开展风险处置; 视情况严重程度报送自律组织; 对创新机构处置的结果进行核验。 创新机构:及时整改隐私政策合规风险,完善隐私政策文本,调整对个人金融信息的收 集和使用方式,保证隐私政策的合规性及系统行为和隐私政策的一致性。 自律组织: 及时将公众对隐私政策的投诉意见反馈至创新机 构; 督促创新机构处置隐私政策合规风
20、险; 视情况严重程度报告监管机构。 监管机构:监督创新机构处置隐私政策合规风险。 7.2.2 信息收集权限和范围 a) 应对信息收集权限和范围进行监测,采取以下措施: 机构报送: 创新机构每季度定期报送信息收集的权限和范围; 在报送内容中包含但不限于应用名称、应用版本、权限名称、权限描述、开启时机、 是否强制或默认开启、权限使用场景、用途、是否已告知用户权限和用途等; JR/T 02002020 6 针对应用中嵌入 SDK 的情况,报送内容包含但不限于应用名称、应用版本、 SDK 名 称、 SDK 类别、 SDK 开发厂商、 SDK 版 本、 SDK 功能、使用场景、 SDK 安全测试情况、
21、SDK 收集个人信息情况、 SDK 收集个人信息范围、 SDK 收集个人信息目的、 SDK 收集 个人信息方式等。 自动探测:通过自动化的技术手段对信息收集权限和范围进行检查,识别信息收集超范 围收集和采集范围越界风险。 人工 核验: 对生产环境应用( 或 从应用市场获取生产环境的 APP)收集 信息 的 权限和范围进行 核验 , 确认 无高危行为或与隐私政策不一致的行为 ,确认符合 JR/T 0171 2020 要 求; 确认数据收集的 权限和范围 是否 与 隐私政策 不符。 意见投诉:对个人金融信息超范 围收集的用户投诉、报告进行分析和跟踪。 信息共享:分析其他机构提供的信息,核验个人金融
22、信息收集权限和范围的合理性。 b) 应对信息收集权限和范围不当风险进行处置,采取以下处置措施: 监测机构: 发现后及时通报创新机构,协助创新机构开展风险处置; 视情况严重程度报送自律组织; 对创新机构的处置结果进行核验。 创新机构: 针对风险问题进行整改,移除非必要信息采集权限; 对收集信息的功能进行整改,删除超范围收集的信息,保证信息收集权限和范围与 隐私政策文本一致。 自律组织: 将公众对信息收集权限和范围的意 见投诉反馈至创新机构,并对意见投诉处理情况 进行核实; 督促创新机构及时调整信息收集的权限和范围,组织对处置结果进行核验; 视情况严重程度报送监管机构。 监管机构:监督创新机构处置
23、信息收集权限和范围不当风险。 7.2.3 异常访问管理 a) 应对个人金融信息异常访问进行监测,采取以下措施: 机构报送: 创新机构每季度定期报送针对敏感信息访问的统计数据; 报送信息包含但不限于查询量波动阈值、月均查询量波动阈值、最高查询量波动阈 值、睡眠用户查询、非工作时段查询、未授权查询、跨地域查询等; 针对个人金融信息异常访问事件,及时 报送包含但不限于事件描述、发生时间、事 件原因、处置措施及处置时间、影响用户数等信息。 信息共享:通过比对信息共享渠道获取的信息,核实异常访问事件。 b) 应对异常访问风险进行处置,采取以下处置措施: 监测机构: 发现后及时通报创新机构,提出处置建议,
24、协助创新机构开展风险处置; 视情况严重程度报送自律组织; 对机构处置后的结果进行核验。 JR/T 02002020 7 创新机构: 核实事件发生的原因,因系统技术漏洞、外部入侵导致异常查询的,及时定位漏洞 点、修补系统漏洞,并对其他相关系统进行排查; 因内部管理等原因导致异常访问的,及时排 查及修复管理漏洞; 对于导致重大损失的责任人员,遵循法律程序处理。 自律组织: 将个人金融信息异常访问的意见投诉反馈至创新机构,对意见投诉处理情况进行跟 踪核实; 督促创新机构对异常访问的情况进行及时处置,组织对处置结果进行核验; 视情况严重程度报送监管机构。 监管机构:监督创新机构处置异常访问风险。 7.
25、2.4 信息泄露监测 a) 应对信息泄露进行监测,采取以下措施: 机构报送: 创新机构及时报送疑似信息泄露事件; 报送信息泄露事件时,报送内容包含但不限于事件描述、发生时间、泄露规模、影 响用户数以及可能涉及的资金 情况等。 信息共享:比对通过信息共享渠道获取的信息,识别信息泄露风险。 舆情监测:针对公开、媒体发布的信息、舆情进行分析,识别信息泄露风险。 意见投诉:针对集中式的用户投诉举报事件进行分析,识别信息泄露聚合点,对目标机 构进行进一步调查。 b) 应对信息泄露风险进行处置,采取以下处置措施: 监测机构: 提出防止信息泄露的处置建议,协助创新机构开展风险处置; 视情况严重程度报送自律组
26、织; 对机构处置后的风险泄露隐患进行核验。 创新机构: 核实信息泄露的原因,因系统技术漏洞、外部入侵导致信息泄露的, 及时定位漏洞 点、修补系统漏洞,并对其他相关系统进行排查,梳理网络边界、强化违规外联监 测和防护,开展流量监测,及时阻断外部攻击和探测; 因内部管理等原因导致信息泄露的,及时排查修复管理漏洞; 对已经泄露的账户信息,应采取更换密码 ,注销、停用或更换账户等方式进行处理; 对已经导致资金损失的事件,应按照赔偿机制对人员进行补偿; 对于导致重大损失的责任人员,遵循法律程序处理。 自律组织: 将意见投诉反馈至创新机构,对意见投诉处理情况进行跟踪核实; 督促创新机构对风险进行及时处置,
27、组织对处置结果进行核验; 将信息 泄露有关情况报告监管机构; 视情况严重程度报送监管机构。 监管机构:监督创新机构处置信息泄露风险。 7.3 金融交易安全 JR/T 02002020 8 7.3.1 账户实名制 a) 应 对 账户 实名制 进行 监控 ,采取以下措施: 机构报送: 创新机构按照要求实时或每季度定期报送用户实名制注册时运行日志,包括但不限 于公安机关的身份证核验、银行 对用户银行卡的身份核验等; 在保护个人隐私、数据安全的前提下,所涉及的客户身份信息、银行账号卡号信息 均采取脱敏方式。 b) 应对客户实名制风险进行处置,采取以下处置措施: 监测机构: 对未按要求进行身份认证用户的
28、监测信息及时 通知创新机构; 视情况严重程度报送自律组织。 创新机构:核实监测信息的正确性后,及时根据需求实施实名认证要求提示、限制账户 权限、账户锁定等措施。 自律组织: 督促创新机构及时进行整改和优化; 视情况严重程度报送监管机构。 监管机构:监督创新机构处置客户实名制风险。 7.3.2 账户开立异常 a) 应对短时间内账户开立数量异常增长、同一终端设备或网络地址反复申请开户、同一绑定账 户大量开户、同一绑定账户为不同客户身份开户等账户开立异常进行 监测 ,采取以下措施: 机构报送:创新机构按照要求实时或每季度定期报送,报送信 息包含但不限于基本存款 账户开立信息 , 、 类 银行 结算
29、账户开立信息 , 电子渠道开户信息 , 账户验证措施 , 账户开立风险事件等。 接口采集: 通过接口对接创新机构内部的账户管理系统,当发现账户开立异常时,主动采集相 关信息; 采集信息包含但不限于监控账户开立流程各个环节的验证要素,包括要素名称、要 素内容,开户时间、开户数量、异常行为、渠道特征、群体特征及统计规律等。 b) 应对账户开立异常风险进行处置,采取以下处置措施: 监测机构: 对未按要求进行身份认证用户的监测信息及时通知创新机构; 视情况严重程度报送 自律组织。 创新机构:核实监测信息的正确性后,根据实际情况可采取实名认证要求提示、限制账 户权限、账户锁定等措施。 自律组织: 督促创
30、新机构及时进行整改和优化; 视情况严重程度报送监管机构。 监管机构:监督创新机构处置账户开户异常风险。 7.3.3 账户使用异常 JR/T 02002020 9 a) 应对账户开立后,连续发生大金额交易,连续发生身份验证、绑定或签约等非资金变动类交 易,连续发生交易失败,终端设备 ID、网络地址、地理位置与申请开户时有明显差异,用户 立即或多次修改手机号码、绑定账户,多个不同身份的、类 银行 结算 账户在同一终端设 备或网络 地址进行登录或操作使用等异常行为进行监测,采取以下措施: 机构报送:机构按照要求实时或按要求每季度定期报送账户开立后账户的交易异常情 况。 接口采集:通过接口对接创新机构
31、内部的账户管理系统,当发现账户使用异常时,主动 采集相关信息 。 b) 应对账户使用异常风险进行处置,采取以下处置措施: 监测机构: 将账户使用异常的监测信息及时通知创新机构; 视情况严重程度报送自律组织。 创新机构:核实监测信息的正确性后,根据实际情况对异常使用的账户进行处置,可采 取限制账户权限、账户锁定、删除账户等措施。 自律组 织: 督促创新机构及时进行整改和优化; 视情况严重程度报送监管机构。 监管机构:监督创新机构处置账户使用异常风险。 7.3.4 交易流程安全 a) 应 对 交易开通、 交易 验证、交易确认等交易流程进行 监测 , 采取以下措施 : 机构报送:创新机构向监测机构每
32、季度定期报送交易流程材料,材料应包含交易开通流 程、交易验证流程、交易确认流程等内容,监测机构核验是否存在风险: 交易开通流程包括交易开通提交的资料、用户的协议、用户的操作等内容 。 交易验证流程描述采用的身份验证方式及限额控制机制 。 身份验证方式包含但不限 于仅客户本人知悉的要 素(如静态密码) , 仅客户持有并特有的 、 不可复制或者不 可重复利用的要素(如电子证书) , 客户本人生物特征要素(如指纹) 。 交易确认包括提示用户、用户参与交易确认的方式等。 意见投诉:通过外部投诉举报平台,获取对创新机构不合规交易流程的投诉举报事件。 b) 应对交易流程风险进行处置,采取以下处置措施 :
33、监测机构: 发现不合规交易流程后,告知创新机构; 依据相关法律法规,向创新机构提供处置建议; 视情况严重程度报送自律组织。 创新机构:核实监测信息的正确性和时效性后,依据相关法律法规,修改可能造成交易 风 险的漏洞,减少交易流程风险。 自律组织: 督促创新机构对交易流程风险进行整改; 视情况严重程度报送监管机构。 监管机构:监督创新机构处置交易流程风险。 7.3.5 可疑 /大额交易 a) 应对金融机构大额交易和可疑交易报告管理办法(中国人民银行令 2016第 3 号 发布 , JR/T 02002020 10 中国 人民 银行 令 2018 年 第 2 号 修订 )中规定的大额交易和可疑交易
34、进行 监测 , 采取以下 措施 : 机构报送:创新机构应向监测机构报送可疑交易和大额交易的相关信息,并在交易发生 之日起 5 个工作日内以电子方式提交报告,交易监测标准包括 但 不限于客户的身份、行 为,交易的资金来源、金额、频率、流向、性质等存在异常的情形。 接口采集:通过接口对接创新机构内部的可疑 交易 和 大额交易监控系统,当发现可疑 交 易和 大额交易时,主动采集相关信息。 信息共享:核实并分析其他机构、部门或技术平台分享的风险交易信息。 b) 应对可疑 交易 和 大额交易风险进行处置,采取以下处置措施 : 监测机构: 对监测发现的可疑 交易和 大额交易信息,应及时通知创新机构; 根据
35、交易类型及风险级别等信息,向创新机构提供处置建议; 视情况严重程度报送自律组织。 创新机构:核实监测信息的正确性和时效 性后,对批量、高频、异常时段、异常地点、 大额等可疑交易行为,采取风险提示、增强身份验证、拒绝交易等手段。 自律组织: 督促创新机构适时处置可疑 交易和 大额交易; 视情况严重程度报送监管机构。 监管机构:监督创新机构处置可疑 交易和 大额交易风险。 7.3.6 电信诈骗 a) 应 对电信诈骗 进行 监测 , 采取以下措施 : 机构报送:创新机构向监测机构及时或每季度报送电信诈骗相关信息,信息内容包含但 不限于诈骗金额、诈骗主体、发生区域、原因分析、处置方式、其他特征等,当发
36、现疑 似电信诈骗行为时,主动报送相关信息。 信息共享:针 对国家网络安全管理部门、公安 机关 通报的信息,科研机构等组织发布或 共享的信息进行核实分析,获得电信诈骗案件信息,掌握电信诈骗的电信号码、金融账 号、诈骗发起渠道等信息,识别电信诈骗风险。 舆情监测:对公开、媒体发布的信息、舆情进行分析,识别电信诈骗风险。 意见投诉:监测用户投诉、举报的电信诈骗事件,核验其真实性。 b) 应对电信诈骗风险进行处置,采取以下处置措施 : 监测机构: 将电信诈骗信息及时通知创新机构; 视情况严重程度报送自律组织。 创新机构:核实监测信息的正确性后,及时根据需求进行账户锁定 、交易拦截等操作, 避免造成实际
37、资金损失。 自律组织: 督促创新机构及时进行整改和优化; 视情况严重程度报送监管机构。 监管机构:监督创新机构处置电信诈骗风险。 7.3.7 资金损失事件 a) 应 对 资金损失事件进行 监测 , 采取以下措施 : JR/T 02002020 11 机构报送:创新机构按要求每季度定期向监测机构报送造成用户或机构资金损失的事 件,资金损失信息报送的内容包含但不限于损失发生时间、损失发生金额、损失原因、 后续处理方式等。 信息共享:针对国家网络安全管理部门、公安 机关 通报的信息,科研机构等组织发布或 共享的信息进行核实分析,识别资金损失 风险。 舆情监测:对公开、媒体发布的信息、舆情进行分析,识
38、别资金损失风险。 意见投诉:对用户或机构投诉举报的涉及资金损失的事件进行核实及分析。 b) 应对资金损失风险进行处置,采取以下处置措施 : 监测机构: 将资金损失事件信息及时通知创新机构; 视情况严重程度报送自律组织 。 创新机构: 核实监测信息的正确性和时效性后,及时根据需求进行账户锁定、交易拦截等操作, 避免造成实际资金损失; 如已造成实际损失的,遵照法律程序,配合相关部门进行处理; 同时查找交易系统漏洞,进行漏洞的整改。 自律组织: 及 时处理相关投诉举报平台的资金损失事件,并督促创新机构进行整改; 视情况严重程度报送监管机构。 监管机构:监督创新机构处置资金损失风险。 7.4 业务连续
39、性 a) 应对业务连续性进行监测, 采取以下措施 : 机构报送:创新机构按季度报送业务连续性相关信息,对创新机构报送的业务连续性信 息、收集到的创新机构相关业务服务能力信息进行综合分析、判断及核验,确认创新机 构相关业务服务能力是否存在技术风险,报送信息包含但不限于 RTO 参数、 RPO 参数、 灾备设施情况、业务连续性策略及其变更维护记录、业务连续性培训与演练记录、业务 连续性保 障记录、业务设施变更信息等。 接口采集:通过接口对接创新应用,主动采集应用状态信息、事件相关信息等,识别业 务连续性风险。 自动探测:通过自动化的技术手段对业务运行状态进行检查,识别业务连续性风险。 舆情监测:对
40、公开、媒体发布的信息、舆情进行分析,业务连续性风险。 意见投诉:分析外部渠道获取的用户投诉、报告数据,结合创新机构报送信息,确认创 新机构相关业务服务能力是否存在技术风险。 b) 应对业务连续性风险进行处置,采取以下处置措施: 监测机构: 协助创新机构开展风险处置; 对风险处置情况进行实时 监控; 视情况严重程度报送自律组织。 创新机构: 主动开展业务影响分析,根据业务影响分析结果调整业务连续性计划及应急处置措 施; JR/T 02002020 12 对于因系统技术原因导致信息系统服务异常、重要业务停止运营的进行全面分析、 改造并进行充分验证; 对于因基础设施或运营环境不够完善,导致创新机构信
41、息系统服务异常、重要业务 停止运营的,重新评估并完善其基础设施或运行环境,并加以充分验证; 对于因创新机构管理制度不够完善或管理不够严格,导致信息系统服务异常、重要 业务停止运营的,重新检查并完善管理制度,加强对技术风险的防范能力,切实提 高自 身业务连续性保障水平。 自律组织: 及时将投诉意见反馈至创新机构; 督促创新机构积极处理风险; 视情况严重程度报送监管机构。 监管机构:对创新机构风险应按情况进行监督,根据不同的风险等级进行处置: 对于高风险机构,给予 1 个月的整改期限,如期满未能符合业务连续性要求,则要 求退出创新测试; 对于中风险机构,对风险点做定期跟踪监测,并定期发布风险提示;
42、 对于低风险机构,对风险点做定期跟踪监测。 7.5 服务质量 a) 应对服务质量进行监测,采取以下措施: 机构报送: 创新机构每月报送服务质量相关参数,包括但不限于 QoS 设计指标、实际 QoS 数据、 设计最大用户数、实际最大用户数、设计并发用户数、实际并发用户数、设计交易 成功率、实际交易成功率、设计交易平均响应时间、实际交易平均响应时间、异常 交易运行日志、交易并发能力、吞吐量、可靠性、自恢复能力等; 创新机构每月定期报送服务器运行情况数据,报送内容包括但不限于带宽占用情 况、服务器资源占用情况、交易响应情况、交易中断情况等。 接口采集:监测在一段时间内持续超过系统设定的交易拥塞阈值的
43、交易。 自动探测:通过自动化的技术手段采集系统响应时间等方式,识别服务质量风险。 人工核验: 监测机构通过创新机构报送的测试报告及实际运行情况分析其措施是否能够满足 一般性交易需求,是否能在 网络过载或拥塞时确保 交易业务 不 被延迟 或 丢弃; 监测机构核查根据不同交易类型进行分类的 TPS 记录、交易状态记录、异常交易监 测跟踪记录等运行日志信息,分析是否存在异常数据; 监测机构采用数据建模分析、交易风控建模等方式,识别异常交易和可疑风险交易。 b) 应对服务质量风险进行处置,采取以下处置措施: 监测机构: 在出现网络服务无法满足基本交易需求或造成交易频繁失败的情况时,及时通知创 新机构并
44、提供处置建议; 视 情况严重程度报送自律组织。 创新机构: 核实风险信息后,及时根据需求完善服务质量保障方案,包括但不限于升级相关技 术设备和系统应用等; 采用合理的网络数据传输方案,配置 QoS 策略保证业务不受延迟或丢弃。 JR/T 02002020 13 自律组织: 督促创新机构及时处置服务质量问题; 视情况严重程度报送监管机构。 监管机构:监督创新机构处置服务质量风险。 7.6 技术使用安全 7.6.1 人工智能 a) 应对人工智能风险进行监测,采取以下措施: 机构报送:创新机构每月根据人工智能的创新应用投产、变更情况,报送采用的基础设 施、关键技术、软件框架、算法模型 、数据集合信息
45、,以及针对编程设计或实施错误、 歧视性、黑箱、训练样本偏差和应能够对抗样本攻击等的安全防护措施和人工智能风险 控制措施,以及相关变更记录和风险事件等。 人工核验:对人工智能应用进行验证,识别人工智能算法使用风险。 意见投诉:针对投诉举报等事件进行分析,识别人工智能算法使用风险。 舆情监测:针对公开、媒体发布的信息、舆情进行分析,识别人工智能算法使用风险。 信息共享:监测机构针对国家网络安全管理部门、公安 机关 通报的信息,安全评估机构、 认证机构、科研机构等组织发布或共享的风险信息进 行核实分析,识别人工智能算法使 用风险。 b) 应对人工智能风险进行处置,采取以下处置措施: 监测机构: 发现风险后及时与创新机构进行沟通确认,协助创新机构开展人工智能算法安全漏 洞的修复处理; 对于通用技术风险提醒其他机构进行排查; 视情况严重程度报送自律组织; 对人工智能算法 安全 风险处置情况进行持续监控。 创新机构: 尽快采取算法安全风险处置措施; 对已经发生损失的用户进行赔付。 自律组织: 及时将投诉意见反馈至创新机构; 督促创新机构对算法安全风险进行及时处置,对处置结果进行核验; 视情况严重程度报 送监管机构。 监管机构:监督创新机构处置人工智能算法使用风险。
