隨著金融科技的飛速發(fā)展和移動互聯(lián)網的廣泛普及，小程序憑借“無需下載、即開即用”的輕量化特點以及強大的社交傳播能力，迅速成為各類金融機構開展線上服務的重要途徑。

無論是傳統(tǒng)銀行的存款理財業(yè)務，保險公司的產品推廣，還是消費金融、小額貸款公司的信貸服務，小程序都已滲透到金融服務的各個環(huán)節(jié)，顯著提高了金融服務的便利性和可獲得性。

不過，在享受技術創(chuàng)新帶來的便利時，這一新興渠道也暴露出了不容忽視的安全風險和合規(guī)漏洞。12月2日，中國互聯(lián)網金融協(xié)會發(fā)布的涉金融應用小程序安全情況通告，讓行業(yè)存在的安全隱患受到廣泛關注。

安全形勢嚴峻，風險點多面廣

中國互聯(lián)網金融協(xié)會近期對微信平臺上55款涉金融應用小程序進行了專項抽樣檢查。結果顯示，當前小程序整體安全形勢較為嚴峻，主要體現(xiàn)在以下三個方面：

一是風險覆蓋范圍廣，安全隱患普遍存在。此次抽檢的55款小程序全部存在不同程度的安全風險問題，平均每款小程序的風險問題多達18.13個。

二是高危風險不容忽視，威脅金融安全核心。令人警惕的是，存在高危風險的小程序占比達18.19%，這些高危風險主要集中在密鑰泄露、應用程序報錯漏洞等嚴重安全隱患上。

三是中危風險高度集中，暴露管理薄弱環(huán)節(jié)。檢查發(fā)現(xiàn)，中危風險呈現(xiàn)高度集中的特點，其中38款小程序存在代碼未混淆風險，30款小程序存在內部域名泄露風險。

針對這些問題，協(xié)會已向相關金融機構發(fā)出風險提示，并將督促其限期整改。

個別機構借小程序違規(guī)操作

有金融科技行業(yè)人士表示，密鑰是保護用戶數(shù)據(jù)、交易信息和資金安全的核心，一旦泄露可能導致用戶敏感信息大量外泄，甚至引發(fā)資金被盜用的風險。應用程序報錯漏洞則可能被攻擊者利用，進行注入攻擊或獲取系統(tǒng)內部信息，嚴重威脅金融系統(tǒng)穩(wěn)定和客戶資產安全。

此外，券商中國記者了解到，代碼混淆是防止核心業(yè)務邏輯、接口參數(shù)等被輕易反編譯和分析的重要手段，未混淆的代碼就像“裸奔”，會大大降低攻擊者的分析難度。

除了普遍存在的技術安全風險，此次檢查還發(fā)現(xiàn)個別地方金融組織利用小程序渠道違規(guī)開展金融活動。

通報特別指出，某小貸公司通過在微信平臺注冊的50個小程序，違反國家利率管理和金融營銷宣傳相關規(guī)定，涉嫌開展高利貸等非法金融活動。協(xié)會已協(xié)調微信平臺下架相關小程序，并將依法向有關部門移送案件線索。

分析人士認為，這種行為不僅嚴重擾亂金融市場秩序，損害金融消費者合法權益，還可能引發(fā)暴力催收、個人信息濫用等一系列社會問題。

明確三方責任，筑牢金融安全防線

針對小程序金融領域暴露的多重風險，中國互聯(lián)網金融協(xié)會在通告中明確提出，為進一步落實各方責任，筑牢金融安全合規(guī)底線，建議如下：

（一）金融機構要切實承擔起對App、小程序等數(shù)字渠道管理的主體責任，不斷加強安全治理體系建設，持續(xù)提升小程序安全水平，嚴禁借助小程序等新型數(shù)字渠道違規(guī)開展業(yè)務。

（二）小程序平臺方要切實履行生態(tài)治理責任，建立健全涉金融應用小程序的準入審核、日常監(jiān)測和違規(guī)處置機制，共同維護健康的數(shù)字金融生態(tài)環(huán)境。

（三）金融消費者要增強自我保護意識和風險識別能力，理性評估自身還款能力，謹慎借貸，警惕各類過度營銷和虛假宣傳，避免陷入債務風險。

協(xié)會還表示，將持續(xù)加強對涉金融App、小程序等數(shù)字渠道的自律管理，常態(tài)化開展自律檢查，適時啟動小程序備案工作，不斷提高行業(yè)安全合規(guī)水平。

值得注意的是，“適時啟動小程序備案工作”意味著對金融類小程序的管理將向事前延伸，從事后處置轉向事前事中更全面的監(jiān)管。通過備案，可以更清楚地掌握市場主體情況，為精準施策、分類監(jiān)管打下基礎，從而更有效地從源頭防范風險。