官方通报：55款涉金融应用小程序存在安全风险

随着金融科技的飞速发展和移动互联网的广泛普及，小程序凭借“无需下载、即开即用”的轻量化特点以及强大的社交传播能力，迅速成为各类金融机构开展线上服务的重要途径。

无论是传统银行的存款理财业务，保险公司的产品推广，还是消费金融、小额贷款公司的信贷服务，小程序都已渗透到金融服务的各个环节，显著提高了金融服务的便利性和可获得性。

不过，在享受技术创新带来的便利时，这一新兴渠道也暴露出了不容忽视的安全风险和合规漏洞。12月2日，中国互联网金融协会发布的涉金融应用小程序安全情况通告，让行业存在的安全隐患受到广泛关注。

安全形势严峻，风险点多面广

中国互联网金融协会近期对微信平台上55款涉金融应用小程序进行了专项抽样检查。结果显示，当前小程序整体安全形势较为严峻，主要体现在以下三个方面：

一是风险覆盖范围广，安全隐患普遍存在。此次抽检的55款小程序全部存在不同程度的安全风险问题，平均每款小程序的风险问题多达18.13个。

二是高危风险不容忽视，威胁金融安全核心。令人警惕的是，存在高危风险的小程序占比达18.19%，这些高危风险主要集中在密钥泄露、应用程序报错漏洞等严重安全隐患上。

三是中危风险高度集中，暴露管理薄弱环节。检查发现，中危风险呈现高度集中的特点，其中38款小程序存在代码未混淆风险，30款小程序存在内部域名泄露风险。

针对这些问题，协会已向相关金融机构发出风险提示，并将督促其限期整改。

个别机构借小程序违规操作

有金融科技行业人士表示，密钥是保护用户数据、交易信息和资金安全的核心，一旦泄露可能导致用户敏感信息大量外泄，甚至引发资金被盗用的风险。应用程序报错漏洞则可能被攻击者利用，进行注入攻击或获取系统内部信息，严重威胁金融系统稳定和客户资产安全。

此外，券商中国记者了解到，代码混淆是防止核心业务逻辑、接口参数等被轻易反编译和分析的重要手段，未混淆的代码就像“裸奔”，会大大降低攻击者的分析难度。

除了普遍存在的技术安全风险，此次检查还发现个别地方金融组织利用小程序渠道违规开展金融活动。

通报特别指出，某小贷公司通过在微信平台注册的50个小程序，违反国家利率管理和金融营销宣传相关规定，涉嫌开展高利贷等非法金融活动。协会已协调微信平台下架相关小程序，并将依法向有关部门移送案件线索。

分析人士认为，这种行为不仅严重扰乱金融市场秩序，损害金融消费者合法权益，还可能引发暴力催收、个人信息滥用等一系列社会问题。

明确三方责任，筑牢金融安全防线

针对小程序金融领域暴露的多重风险，中国互联网金融协会在通告中明确提出，为进一步落实各方责任，筑牢金融安全合规底线，建议如下：

（一）金融机构要切实承担起对App、小程序等数字渠道管理的主体责任，不断加强安全治理体系建设，持续提升小程序安全水平，严禁借助小程序等新型数字渠道违规开展业务。

（二）小程序平台方要切实履行生态治理责任，建立健全涉金融应用小程序的准入审核、日常监测和违规处置机制，共同维护健康的数字金融生态环境。

（三）金融消费者要增强自我保护意识和风险识别能力，理性评估自身还款能力，谨慎借贷，警惕各类过度营销和虚假宣传，避免陷入债务风险。

协会还表示，将持续加强对涉金融App、小程序等数字渠道的自律管理，常态化开展自律检查，适时启动小程序备案工作，不断提高行业安全合规水平。

值得注意的是，“适时启动小程序备案工作”意味着对金融类小程序的管理将向事前延伸，从事后处置转向事前事中更全面的监管。通过备案，可以更清楚地掌握市场主体情况，为精准施策、分类监管打下基础，从而更有效地从源头防范风险。