導語：移動金融App安全分析及監(jiān)管措施一文來源于網友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：隨著移動互聯(lián)網技術的快速發(fā)展，越來越多的金融機構將借貸、支付、交易場景轉移到線上，大量的移動金融app應運而生。本文研究了移動金融App的安全現狀，針對目前金融App面臨的安全漏洞、惡意程序、SDK隱患以及違規(guī)索權等風險問題，分析了其主要成因，并從安全監(jiān)管、權益保護、違規(guī)懲戒、協(xié)同監(jiān)管等方面提出了金融App安全規(guī)范的措施建議。

關鍵詞：移動金融；安全風險；監(jiān)管措施

一、移動金融App的發(fā)展現狀

現今，智能手機已經成為人們生活中不可或缺的重要組成部分，很多傳統(tǒng)的生活、工作、業(yè)務模式已實現了向移動智能端遷移，并催生了大量的移動客戶端應用軟件（App），其中就包括金融類App。對于互聯(lián)網金融來說，金融類App就像傳統(tǒng)銀行網點的業(yè)務柜臺，可以實現所有信息在金融機構與客戶之間的交換，極大地提升了金融業(yè)務辦理的便捷性和可得性。據《2019年金融行業(yè)移動App安全觀測報告》（以下簡稱《報告》）統(tǒng)計，截至2019年10月，我國移動金融App已達到13.3萬款，約占整個移動App市場份額的5%，并仍處于高速增長階段?？梢?，移動金融App已經深入應用到大眾生活的方方面面。然而這些App或多或少也存在安全問題。2019年12月，公安部門集中查處整改的100款違法違規(guī)App及其運營企業(yè)中，銀行和貸款等金融App成為“重災區(qū)”，其中不乏執(zhí)照經營的銀行業(yè)金融機構?？梢姡苿咏鹑贏pp的安全問題不容樂觀。

二、移動金融App的安全風險

（一）高危安全漏洞普遍存在?！秷蟾妗凤@示，通過對232個安卓應用市場中超13萬款金融類App的監(jiān)測發(fā)現，73.23%存在不同程度的安全漏洞，70.22%存在高危漏洞，平均每款移動金融類App存在20.3個安全漏洞，且6.7個是高危漏洞；攻擊者可利用這些漏洞竊取客戶數據、植入惡意代碼、進行App仿冒、攻擊正常服務等，具有嚴重的安全威脅。從金融App類型來看，互聯(lián)網第三方支付和信托類App的高危漏洞最為突出，投資理財、保險等金融App高危漏洞也相對嚴重。（二）惡意程序帶來巨大威脅。《報告》監(jiān)測顯示，8217款金融類App被檢測出惡意程序，感染率為6.16%，主要涉及客戶的隱私數據收集、窗口廣告推送、流量資源占用、惡意扣費等行為，在用戶不知情或未授權的情況下，對個人信息及財產安全帶來巨大威脅。（三）廣泛應用SDK引入風險。SDK是輔助開發(fā)同類應用軟件的相關文檔、范例和工具的集合。通常，開發(fā)者為了提升效率、降低成本，開發(fā)過程中會選擇引用第三方SDK，但其常常存在較多安全隱患，是造成用戶個人信息在網絡上“裸奔”的罪魁禍首。據《報告》監(jiān)測顯示，20.48%的金融類App共嵌入10萬多個第三方SDK，平均每款App嵌入3.8個；其中，推送類、統(tǒng)計類、社交類是嵌入SDK的前三。（四）違規(guī)索權侵犯用戶隱私。移動金融App超范圍獲權現象普遍存在，常獲取設備的高敏感權限，如超范圍讀取手機狀態(tài)和身份權限，獲取讀取通訊錄、攝像頭、通話錄音等與服務無關的權限，且未對收集到的相關信息所對應的功能進行有效說明，嚴重危害個人信息安全。

三、移動金融App的風險成因

（一）互聯(lián)網金融井噴增長，缺乏準入標準。由于互聯(lián)網金融“野蠻生長”時期留下的隱患，前期移動金融App更注重其互聯(lián)網特性，準入門檻不高，這導致當前市場上的移動金融App存在安全防護能力參差不齊的問題，成為威脅金融信息安全與用戶財產安全的重大隱患。（二）開發(fā)者安全意識弱，缺乏有效加固措施?！凹庸獭笔翘嵘袮pp安全防護能力的重要手段，不僅能使其系統(tǒng)穩(wěn)定性得到提升，還能在一定程度上規(guī)避風險。在如此高風險的背景下，僅有不到1/5的金融類App進行過一次安全加固，應用開發(fā)主體自我防護意識不強。（三）SDK安全性不高，缺乏有效的市場監(jiān)管。目前，有超過60%的SDK含有多種漏洞，并存在隱瞞收集用戶個人信息等行為。由于SDK市場缺乏有效的監(jiān)管，其自身的安全性很難得到保證，當SDK被廣泛使用到App開發(fā)中時，影響范圍極廣。（四）權責監(jiān)管不完善，缺乏可追溯機制。移動金融App安全事件頻發(fā)，相應的權責監(jiān)管機制還不夠完善。在法制層面，違法成本及處罰力度過低，不能引起相關主體的重視，多數金融App首次曝出問題時僅被責令限期整改、警告處罰，并未被強行要求罰款或下架處理；在技術層面，缺乏持續(xù)性、主動性的監(jiān)管方式，多依靠輿論影響與開發(fā)主體自覺，來促使用戶信息得到正規(guī)合理保護；在市場環(huán)境方面，移動金融App涉及開發(fā)者、金融服務主體、運營主體、安全廠商等眾多環(huán)節(jié)，多方常常各自為營，涉及的主管機構權責劃分不盡相同，難免出現監(jiān)管盲點，讓不法行為有機可乘。

四、政策引導與措施建議

（一）推進實名制備案，加強App安全監(jiān)管力度。2019年9月，人總行下發(fā)的《關于金融行業(yè)標準加強移動金融客戶端應用軟件安全管理通知》（銀發(fā)〔2019〕237號），提出了要從提升安全防護能力、加強個人信息安全保護、提高風險監(jiān)測能力以及健全投訴處理機制等方面提高金融App的監(jiān)督管理力度。12月，中國互聯(lián)網金融協(xié)會啟動了金融客戶端軟件備案管理，將推動App“實名制備案”成為監(jiān)管常態(tài)手段，此舉也將提高金融App的準入門檻，讓合規(guī)的金融App可以提供更加安全的服務。（二）規(guī)范技術標準，加強個人信息保護。2020年2月，人總行印發(fā)的《個人金融信息保護技術規(guī)范》從個人金融信息全生命周期管理的角度，對強化個人金融信息風險識別和監(jiān)控、保障個人金融信息主體合法權益、建立健全風險事件處置機制方面提出了要求。各金融App主體應結合這份操作指南，提升金融服務產品、用戶信息傳輸與存儲等環(huán)節(jié)的信息安全管理。（三）加大違規(guī)打擊力度，保障金融消費者權益。對于移動金融App存在的安全風險問題，在加強技術標準規(guī)范、加大審核監(jiān)督的基礎上，仍需加大打擊處罰力度。對于互聯(lián)網大數據之下的金融消費者個人隱私、風險數據泄露等安全問題事件要嚴厲懲治，才能切實保障金融消費者的權益，倒逼開發(fā)主體加快升級安全防護技術。（四）建立協(xié)同監(jiān)管體系，多途徑提升治理成效。移動金融App是集傳統(tǒng)金融業(yè)、軟件開發(fā)、移動支付以及信息通信等多種業(yè)態(tài)于一身的集合體，要加強對金融App的監(jiān)管，需構建行業(yè)監(jiān)管、行業(yè)自律、機構自治、社會監(jiān)督多層次協(xié)同配合的金融監(jiān)管治理體系。同時，可通過共建安全風險預警機制，將不符合安全標準的App拉入黑名單，引導消費者提升防范意識和辨別能力，降低因使用問題App而發(fā)生安全風險的幾率，提高安全問題整治成效。隨著互聯(lián)網技術的快速發(fā)展，移動金融App的應用場景將更加廣泛，隨之而來的安全問題不容忽視，監(jiān)管措施還需不斷強化升級。相信在各管理部門的協(xié)同監(jiān)管與相關法規(guī)的嚴格制約下，移動金融App的準入標準將不斷提高，數據信息保護措施將不斷完善，從而進一步降低安全風險，促使移動金融App的應用向規(guī)范化發(fā)展。

參考文獻：

[1]薛巖. 移動支付的風險及防范措施探析[J]. 金融科技時代，2019(4):52-54.

[2]愛加密. 萬特互聯(lián)時代，如何做好金融行業(yè)App安全防護[J]. 金融電子化，2019(7):98.

作者:李軍 王金紅 許倩單位:1.中國人民銀行安康市中心支行 2.中國人民銀行旬陽縣支行