ICS 35.240.40 CCS A 11 JR 中华人民共和国 金融行业标准 JR/T 0200—2020 金融科技创新风险监控规范 Risk monitoring specification for FinTech innovation 2020 – 10 – 21发布 2020 – 10 – 21实施 中国人民银行 发布 JR/T 0200—2020 I 目 次 前言 ................................ ................................ ................ II 1 范围 ................................ ................................ .............. 1 2 规范性引用文件 ................................ ................................ .... 1 3 术语和定义 ................................ ................................ ........ 1 4 缩略语 ................................ ................................ ............ 1 5 风险监控框架 ................................ ................................ ...... 2 6 风险监控流程 ................................ ................................ ...... 3 7 风险监控实施 ................................ ................................ ...... 4 参考文献 ................................ ................................ ............ 23 JR/T0200—2020 II前  言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起 草。 本文件由中国人民银行提出。 本文件由全国金融标准化技术委员会（SAC/TC180）归口。 本文件起草单位：中国人民银行科技司、中国人民银行上海总部、中国人民银行成都分行、中国人 民银行杭州中心支行、中国支付清算协会、中国互联网金融协会、中国工商银行股份有限公司、中国农 业银行股份有限公司、中国银行股份有限公司、中国建设银行有限公司、中国金融电子化公司、北京银 联金卡科技有限公司、北京中金国盛认证有限公司、北京金融科技产业联盟、交通银行股份有限公司、 中国人寿财产保险股份有限公司、中信银行股份有限公司、中国民生银行股份有限公司、招商银行股份 有限公司、广发银行股份有限公司、上海浦东发展银行股份有限公司、渤海银行股份有限公司、中国银 联股份有限公司、上海银行股份有限公司、成都银行股份有限公司、重庆银行股份有限公司、苏州银行 股份有限公司、杭州银行股份有限公司、重庆农村商业银行股份有限公司、上海华瑞银行股份有限公司、 深圳前海微众银行股份有限公司、浙江网商银行股份有限公司、四川新网银行股份有限公司、传化支付 有限公司、百行征信有限公司、工银科技有限公司、建信金融科技有限公司、兴业数字金融服务（上海） 股份有限公司、华为软件技术有限公司、腾讯云计算（北京）有限责任公司、京东数字科技控股股份有 限公司、度小满（重庆)科技有限公司、中金金融认证中心有限公司。 本文件主要起草人：李伟、潘润红、李兴锋、张宏基、但孝磊、于沛、肖翔、渠韶光、聂丽琴、于 园、汤沁、孙维挺、黄梦达、侯晓晨、贾铮、刘力慷、李博文、孙茂增、黄本涛、赵计博、周钰博、 王立飞、张行、李岚、王岚、顾小燕、董丽瑶、何文才、刘贵辉、吕扬建、陈晨辉、孙坚、李烨、吴峰、 赵永、马杰、杨涛、白云飞、陈庆来、韩毅、任雯雯、张德玮、傅杰、张奕华、朱一鸣、孙涵、顾爱霞、 杜霞、何韬、佘科、李微羽、徐建芳、卢华玮、陈勤伟、李斌、黄超、李秀生、张勇钢、李大栩、郭胜 基、丁君之、何方竹、李洋、杜明灯、黄淼、范义鹏、吴同亮、孙越。JR/T 0200—2020 1 金融科技创新风险监控规范 1 范围 本文件规定了金融科技创新应用风险监控的要求，包括监控框架、流程、实施等方面。 本文件适用于从事金融服务创新的持牌金融机构和从事相关业务系统、算力存储、算法模型等科 技产品研发的科技公司，也适用于相关安全评估机构、风险监测机构、自律组织等。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适 用于本文件。 JR/T 0193—2020 区块链技术金融应用 评估规则 3 术语和定义 下列术语和定义适用于本文件。 3.1 金融科技创新机构 fintech innovation institution 从事金融服务创新的持牌金融机构及从事相关业务系统、算力存储、算法模型等科技产品研发的 科技公司。 3.2 金融科技创新应用 fintech innovation 在符合现行法律法规、部门规章、规范性文件等要求前提下，在尚不具备管理细则 的领域，利用 新技术设计、面向金融用户的 产品或服务。 3.3 个人金融信息 personal financial information 金融科技创新机构通过提供金融 服务或科技产品等方式 获取、加工和保存的个人信息。 注1：本文件中的个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及 其他反映特定个人某些情况的信息。 注2：改写JR/T 0171 —2020，定义3.2。 4 缩略语 下列缩略语适用于本文件。 JR/T 0200—2020 2 API：应用程序接口（ Application Programming Interface ） APP：客户端应用软件（ Application Software ） DNS：域名系统（ Domain Name System ） IDS：入侵监测系统（ intrusion detection system) QoS：服务质量（ Quality of Service） RPO：恢复点目标（ Recovery Point Objective ） RTO：恢复时间目标（ Recovery Time Objective ） TPS：每秒交易笔数（ Transactions Per Second ） WAF：网站应用防火墙（ Web Application Firewall ） 5 风险监控框架 5.1 概述 金融科技创新风险监控主要通过对金融科技创新应用等进行数据采集、关联分析，识别发现可能 存在的安全事件和风险并进行展示和预警，掌握金融科技应用风险态势，保证金融科技应用安全稳定 运行，保护消费者合法权益。金融科技创新风险监控框架见图 1。 图 1 金融科技应用风险监控框架 5.2 监控对象和内容 5.2.1 监控对象 JR/T 0200—2020 3 主要涵盖金融科技创新机构（以下简称创新机构）的业务系统、 API、SDK、APP等。 5.2.2 监控内容 监控内容主要包括个人金融信息保护、金融交易安全、业务连续性、服务质量、技术使用安全、 内控管理、网络安全、意见投诉、公开舆情等。 5.3 基本原则 5.3.1 安全可控原则 应按照安全可控原则 ，开展风险监测和防控，保障系统和服务的风险可控，提前做好应对威胁风 险的处置预案。 5.3.2 开放共享原则 应按照开放共享原则，开展风险信息报送与风险数据共享。 5.3.3 隐私保护原则 应按照隐私保护原则，开展风险监控过程中对于可能涉及的个人或金融交易隐私信息应采取有效 安全保护措施，确保隐私信息安全不被泄露。 5.3.4 披露与监督原则 应按照披露与监督原则，积极披露系统及应用风险，定期发布报告，主动接受监督，确保系统与 应用安全运行。 6 风险监控流程 6.1 基本要求 创新机构应按照本文件接受监测机构的风险监测， 并按照监管机构、 自律组织要求进行风险处 置。 监控流程包含数据采集、数据分析、风险预警、风险处置、信息共享。 在风险监控过程中各参与方应 采取数据安全存储、访问权限控制、敏感信息脱敏等技术措施 保证 数据全生命周期安全。 6.2 数据采集 监测机构应根据监控对象分类，明确定义数据采集的类型、接口和通讯方式，采集监测数据，为 数据分析提供源数据，具体包括： a) 统一数据采集接口。 b) 对数据进行标准化处理。 6.3 数据分析 监测机构应根据监控对象的技术和业务风险防范要求，明确分析目的，选择合适的数据分析工具 和方法，进