隨著金融科技的飛速發(fā)展和移動互聯(lián)網(wǎng)的廣泛普及，小程序憑借“無需下載、即開即用”的輕量化特點以及強(qiáng)大的社交傳播能力，迅速成為各類金融機(jī)構(gòu)開展線上服務(wù)的重要途徑。

無論是傳統(tǒng)銀行的存款理財業(yè)務(wù)，保險公司的產(chǎn)品推廣，還是消費金融、小額貸款公司的信貸服務(wù)，小程序都已滲透到金融服務(wù)的各個環(huán)節(jié)，顯著提高了金融服務(wù)的便利性和可獲得性。

不過，在享受技術(shù)創(chuàng)新帶來的便利時，這一新興渠道也暴露出了不容忽視的安全風(fēng)險和合規(guī)漏洞。12月2日，中國互聯(lián)網(wǎng)金融協(xié)會發(fā)布的涉金融應(yīng)用小程序安全情況通告，讓行業(yè)存在的安全隱患受到廣泛關(guān)注。

安全形勢嚴(yán)峻，風(fēng)險點多面廣

中國互聯(lián)網(wǎng)金融協(xié)會近期對微信平臺上55款涉金融應(yīng)用小程序進(jìn)行了專項抽樣檢查。結(jié)果顯示，當(dāng)前小程序整體安全形勢較為嚴(yán)峻，主要體現(xiàn)在以下三個方面：

一是風(fēng)險覆蓋范圍廣，安全隱患普遍存在。此次抽檢的55款小程序全部存在不同程度的安全風(fēng)險問題，平均每款小程序的風(fēng)險問題多達(dá)18.13個。

二是高危風(fēng)險不容忽視，威脅金融安全核心。令人警惕的是，存在高危風(fēng)險的小程序占比達(dá)18.19%，這些高危風(fēng)險主要集中在密鑰泄露、應(yīng)用程序報錯漏洞等嚴(yán)重安全隱患上。

三是中危風(fēng)險高度集中，暴露管理薄弱環(huán)節(jié)。檢查發(fā)現(xiàn)，中危風(fēng)險呈現(xiàn)高度集中的特點，其中38款小程序存在代碼未混淆風(fēng)險，30款小程序存在內(nèi)部域名泄露風(fēng)險。

針對這些問題，協(xié)會已向相關(guān)金融機(jī)構(gòu)發(fā)出風(fēng)險提示，并將督促其限期整改。

個別機(jī)構(gòu)借小程序違規(guī)操作

有金融科技行業(yè)人士表示，密鑰是保護(hù)用戶數(shù)據(jù)、交易信息和資金安全的核心，一旦泄露可能導(dǎo)致用戶敏感信息大量外泄，甚至引發(fā)資金被盜用的風(fēng)險。應(yīng)用程序報錯漏洞則可能被攻擊者利用，進(jìn)行注入攻擊或獲取系統(tǒng)內(nèi)部信息，嚴(yán)重威脅金融系統(tǒng)穩(wěn)定和客戶資產(chǎn)安全。

此外，券商中國記者了解到，代碼混淆是防止核心業(yè)務(wù)邏輯、接口參數(shù)等被輕易反編譯和分析的重要手段，未混淆的代碼就像“裸奔”，會大大降低攻擊者的分析難度。

除了普遍存在的技術(shù)安全風(fēng)險，此次檢查還發(fā)現(xiàn)個別地方金融組織利用小程序渠道違規(guī)開展金融活動。

通報特別指出，某小貸公司通過在微信平臺注冊的50個小程序，違反國家利率管理和金融營銷宣傳相關(guān)規(guī)定，涉嫌開展高利貸等非法金融活動。協(xié)會已協(xié)調(diào)微信平臺下架相關(guān)小程序，并將依法向有關(guān)部門移送案件線索。

分析人士認(rèn)為，這種行為不僅嚴(yán)重擾亂金融市場秩序，損害金融消費者合法權(quán)益，還可能引發(fā)暴力催收、個人信息濫用等一系列社會問題。

明確三方責(zé)任，筑牢金融安全防線

針對小程序金融領(lǐng)域暴露的多重風(fēng)險，中國互聯(lián)網(wǎng)金融協(xié)會在通告中明確提出，為進(jìn)一步落實各方責(zé)任，筑牢金融安全合規(guī)底線，建議如下：

（一）金融機(jī)構(gòu)要切實承擔(dān)起對App、小程序等數(shù)字渠道管理的主體責(zé)任，不斷加強(qiáng)安全治理體系建設(shè)，持續(xù)提升小程序安全水平，嚴(yán)禁借助小程序等新型數(shù)字渠道違規(guī)開展業(yè)務(wù)。

（二）小程序平臺方要切實履行生態(tài)治理責(zé)任，建立健全涉金融應(yīng)用小程序的準(zhǔn)入審核、日常監(jiān)測和違規(guī)處置機(jī)制，共同維護(hù)健康的數(shù)字金融生態(tài)環(huán)境。

（三）金融消費者要增強(qiáng)自我保護(hù)意識和風(fēng)險識別能力，理性評估自身還款能力，謹(jǐn)慎借貸，警惕各類過度營銷和虛假宣傳，避免陷入債務(wù)風(fēng)險。

協(xié)會還表示，將持續(xù)加強(qiáng)對涉金融App、小程序等數(shù)字渠道的自律管理，常態(tài)化開展自律檢查，適時啟動小程序備案工作，不斷提高行業(yè)安全合規(guī)水平。

值得注意的是，“適時啟動小程序備案工作”意味著對金融類小程序的管理將向事前延伸，從事后處置轉(zhuǎn)向事前事中更全面的監(jiān)管。通過備案，可以更清楚地掌握市場主體情況，為精準(zhǔn)施策、分類監(jiān)管打下基礎(chǔ)，從而更有效地從源頭防范風(fēng)險。