導語：移動金融App安全分析及監管措施一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：隨著移動互聯網技術的快速發展，越來越多的金融機構將借貸、支付、交易場景轉移到線上，大量的移動金融app應運而生。本文研究了移動金融App的安全現狀，針對目前金融App面臨的安全漏洞、惡意程序、SDK隱患以及違規索權等風險問題，分析了其主要成因，并從安全監管、權益保護、違規懲戒、協同監管等方面提出了金融App安全規范的措施建議。

關鍵詞：移動金融；安全風險；監管措施

一、移動金融App的發展現狀

現今，智能手機已經成為人們生活中不可或缺的重要組成部分，很多傳統的生活、工作、業務模式已實現了向移動智能端遷移，并催生了大量的移動客戶端應用軟件（App），其中就包括金融類App。對于互聯網金融來說，金融類App就像傳統銀行網點的業務柜臺，可以實現所有信息在金融機構與客戶之間的交換，極大地提升了金融業務辦理的便捷性和可得性。據《2019年金融行業移動App安全觀測報告》（以下簡稱《報告》）統計，截至2019年10月，我國移動金融App已達到13.3萬款，約占整個移動App市場份額的5%，并仍處于高速增長階段。可見，移動金融App已經深入應用到大眾生活的方方面面。然而這些App或多或少也存在安全問題。2019年12月，公安部門集中查處整改的100款違法違規App及其運營企業中，銀行和貸款等金融App成為“重災區”，其中不乏執照經營的銀行業金融機構。可見，移動金融App的安全問題不容樂觀。

二、移動金融App的安全風險

（一）高危安全漏洞普遍存在。《報告》顯示，通過對232個安卓應用市場中超13萬款金融類App的監測發現，73.23%存在不同程度的安全漏洞，70.22%存在高危漏洞，平均每款移動金融類App存在20.3個安全漏洞，且6.7個是高危漏洞；攻擊者可利用這些漏洞竊取客戶數據、植入惡意代碼、進行App仿冒、攻擊正常服務等，具有嚴重的安全威脅。從金融App類型來看，互聯網第三方支付和信托類App的高危漏洞最為突出，投資理財、保險等金融App高危漏洞也相對嚴重。（二）惡意程序帶來巨大威脅。《報告》監測顯示，8217款金融類App被檢測出惡意程序，感染率為6.16%，主要涉及客戶的隱私數據收集、窗口廣告推送、流量資源占用、惡意扣費等行為，在用戶不知情或未授權的情況下，對個人信息及財產安全帶來巨大威脅。（三）廣泛應用SDK引入風險。SDK是輔助開發同類應用軟件的相關文檔、范例和工具的集合。通常，開發者為了提升效率、降低成本，開發過程中會選擇引用第三方SDK，但其常常存在較多安全隱患，是造成用戶個人信息在網絡上“裸奔”的罪魁禍首。據《報告》監測顯示，20.48%的金融類App共嵌入10萬多個第三方SDK，平均每款App嵌入3.8個；其中，推送類、統計類、社交類是嵌入SDK的前三。（四）違規索權侵犯用戶隱私。移動金融App超范圍獲權現象普遍存在，常獲取設備的高敏感權限，如超范圍讀取手機狀態和身份權限，獲取讀取通訊錄、攝像頭、通話錄音等與服務無關的權限，且未對收集到的相關信息所對應的功能進行有效說明，嚴重危害個人信息安全。

三、移動金融App的風險成因

（一）互聯網金融井噴增長，缺乏準入標準。由于互聯網金融“野蠻生長”時期留下的隱患，前期移動金融App更注重其互聯網特性，準入門檻不高，這導致當前市場上的移動金融App存在安全防護能力參差不齊的問題，成為威脅金融信息安全與用戶財產安全的重大隱患。（二）開發者安全意識弱，缺乏有效加固措施。“加固”是提升已App安全防護能力的重要手段，不僅能使其系統穩定性得到提升，還能在一定程度上規避風險。在如此高風險的背景下，僅有不到1/5的金融類App進行過一次安全加固，應用開發主體自我防護意識不強。（三）SDK安全性不高，缺乏有效的市場監管。目前，有超過60%的SDK含有多種漏洞，并存在隱瞞收集用戶個人信息等行為。由于SDK市場缺乏有效的監管，其自身的安全性很難得到保證，當SDK被廣泛使用到App開發中時，影響范圍極廣。（四）權責監管不完善，缺乏可追溯機制。移動金融App安全事件頻發，相應的權責監管機制還不夠完善。在法制層面，違法成本及處罰力度過低，不能引起相關主體的重視，多數金融App首次曝出問題時僅被責令限期整改、警告處罰，并未被強行要求罰款或下架處理；在技術層面，缺乏持續性、主動性的監管方式，多依靠輿論影響與開發主體自覺，來促使用戶信息得到正規合理保護；在市場環境方面，移動金融App涉及開發者、金融服務主體、運營主體、安全廠商等眾多環節，多方常常各自為營，涉及的主管機構權責劃分不盡相同，難免出現監管盲點，讓不法行為有機可乘。

四、政策引導與措施建議

（一）推進實名制備案，加強App安全監管力度。2019年9月，人總行下發的《關于金融行業標準加強移動金融客戶端應用軟件安全管理通知》（銀發〔2019〕237號），提出了要從提升安全防護能力、加強個人信息安全保護、提高風險監測能力以及健全投訴處理機制等方面提高金融App的監督管理力度。12月，中國互聯網金融協會啟動了金融客戶端軟件備案管理，將推動App“實名制備案”成為監管常態手段，此舉也將提高金融App的準入門檻，讓合規的金融App可以提供更加安全的服務。（二）規范技術標準，加強個人信息保護。2020年2月，人總行印發的《個人金融信息保護技術規范》從個人金融信息全生命周期管理的角度，對強化個人金融信息風險識別和監控、保障個人金融信息主體合法權益、建立健全風險事件處置機制方面提出了要求。各金融App主體應結合這份操作指南，提升金融服務產品、用戶信息傳輸與存儲等環節的信息安全管理。（三）加大違規打擊力度，保障金融消費者權益。對于移動金融App存在的安全風險問題，在加強技術標準規范、加大審核監督的基礎上，仍需加大打擊處罰力度。對于互聯網大數據之下的金融消費者個人隱私、風險數據泄露等安全問題事件要嚴厲懲治，才能切實保障金融消費者的權益，倒逼開發主體加快升級安全防護技術。（四）建立協同監管體系，多途徑提升治理成效。移動金融App是集傳統金融業、軟件開發、移動支付以及信息通信等多種業態于一身的集合體，要加強對金融App的監管，需構建行業監管、行業自律、機構自治、社會監督多層次協同配合的金融監管治理體系。同時，可通過共建安全風險預警機制，將不符合安全標準的App拉入黑名單，引導消費者提升防范意識和辨別能力，降低因使用問題App而發生安全風險的幾率，提高安全問題整治成效。隨著互聯網技術的快速發展，移動金融App的應用場景將更加廣泛，隨之而來的安全問題不容忽視，監管措施還需不斷強化升級。相信在各管理部門的協同監管與相關法規的嚴格制約下，移動金融App的準入標準將不斷提高，數據信息保護措施將不斷完善，從而進一步降低安全風險，促使移動金融App的應用向規范化發展。

參考文獻：

[1]薛巖. 移動支付的風險及防范措施探析[J]. 金融科技時代，2019(4):52-54.

[2]愛加密. 萬特互聯時代，如何做好金融行業App安全防護[J]. 金融電子化，2019(7):98.

作者:李軍 王金紅 許倩單位:1.中國人民銀行安康市中心支行 2.中國人民銀行旬陽縣支行