導(dǎo)語(yǔ)：移動(dòng)金融App安全分析及監(jiān)管措施一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢(xún)客服老師，歡迎參考。

摘要：隨著移動(dòng)互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，越來(lái)越多的金融機(jī)構(gòu)將借貸、支付、交易場(chǎng)景轉(zhuǎn)移到線上，大量的移動(dòng)金融app應(yīng)運(yùn)而生。本文研究了移動(dòng)金融App的安全現(xiàn)狀，針對(duì)目前金融App面臨的安全漏洞、惡意程序、SDK隱患以及違規(guī)索權(quán)等風(fēng)險(xiǎn)問(wèn)題，分析了其主要成因，并從安全監(jiān)管、權(quán)益保護(hù)、違規(guī)懲戒、協(xié)同監(jiān)管等方面提出了金融App安全規(guī)范的措施建議。

關(guān)鍵詞：移動(dòng)金融；安全風(fēng)險(xiǎn)；監(jiān)管措施

一、移動(dòng)金融App的發(fā)展現(xiàn)狀

現(xiàn)今，智能手機(jī)已經(jīng)成為人們生活中不可或缺的重要組成部分，很多傳統(tǒng)的生活、工作、業(yè)務(wù)模式已實(shí)現(xiàn)了向移動(dòng)智能端遷移，并催生了大量的移動(dòng)客戶端應(yīng)用軟件（App），其中就包括金融類(lèi)App。對(duì)于互聯(lián)網(wǎng)金融來(lái)說(shuō)，金融類(lèi)App就像傳統(tǒng)銀行網(wǎng)點(diǎn)的業(yè)務(wù)柜臺(tái)，可以實(shí)現(xiàn)所有信息在金融機(jī)構(gòu)與客戶之間的交換，極大地提升了金融業(yè)務(wù)辦理的便捷性和可得性。據(jù)《2019年金融行業(yè)移動(dòng)App安全觀測(cè)報(bào)告》（以下簡(jiǎn)稱(chēng)《報(bào)告》）統(tǒng)計(jì)，截至2019年10月，我國(guó)移動(dòng)金融App已達(dá)到13.3萬(wàn)款，約占整個(gè)移動(dòng)App市場(chǎng)份額的5%，并仍處于高速增長(zhǎng)階段?？梢?jiàn)，移動(dòng)金融App已經(jīng)深入應(yīng)用到大眾生活的方方面面。然而這些App或多或少也存在安全問(wèn)題。2019年12月，公安部門(mén)集中查處整改的100款違法違規(guī)App及其運(yùn)營(yíng)企業(yè)中，銀行和貸款等金融App成為“重災(zāi)區(qū)”，其中不乏執(zhí)照經(jīng)營(yíng)的銀行業(yè)金融機(jī)構(gòu)。可見(jiàn)，移動(dòng)金融App的安全問(wèn)題不容樂(lè)觀。

二、移動(dòng)金融App的安全風(fēng)險(xiǎn)

（一）高危安全漏洞普遍存在。《報(bào)告》顯示，通過(guò)對(duì)232個(gè)安卓應(yīng)用市場(chǎng)中超13萬(wàn)款金融類(lèi)App的監(jiān)測(cè)發(fā)現(xiàn)，73.23%存在不同程度的安全漏洞，70.22%存在高危漏洞，平均每款移動(dòng)金融類(lèi)App存在20.3個(gè)安全漏洞，且6.7個(gè)是高危漏洞；攻擊者可利用這些漏洞竊取客戶數(shù)據(jù)、植入惡意代碼、進(jìn)行App仿冒、攻擊正常服務(wù)等，具有嚴(yán)重的安全威脅。從金融App類(lèi)型來(lái)看，互聯(lián)網(wǎng)第三方支付和信托類(lèi)App的高危漏洞最為突出，投資理財(cái)、保險(xiǎn)等金融App高危漏洞也相對(duì)嚴(yán)重。（二）惡意程序帶來(lái)巨大威脅?！秷?bào)告》監(jiān)測(cè)顯示，8217款金融類(lèi)App被檢測(cè)出惡意程序，感染率為6.16%，主要涉及客戶的隱私數(shù)據(jù)收集、窗口廣告推送、流量資源占用、惡意扣費(fèi)等行為，在用戶不知情或未授權(quán)的情況下，對(duì)個(gè)人信息及財(cái)產(chǎn)安全帶來(lái)巨大威脅。（三）廣泛應(yīng)用SDK引入風(fēng)險(xiǎn)。SDK是輔助開(kāi)發(fā)同類(lèi)應(yīng)用軟件的相關(guān)文檔、范例和工具的集合。通常，開(kāi)發(fā)者為了提升效率、降低成本，開(kāi)發(fā)過(guò)程中會(huì)選擇引用第三方SDK，但其常常存在較多安全隱患，是造成用戶個(gè)人信息在網(wǎng)絡(luò)上“裸奔”的罪魁禍?zhǔn)住?jù)《報(bào)告》監(jiān)測(cè)顯示，20.48%的金融類(lèi)App共嵌入10萬(wàn)多個(gè)第三方SDK，平均每款A(yù)pp嵌入3.8個(gè)；其中，推送類(lèi)、統(tǒng)計(jì)類(lèi)、社交類(lèi)是嵌入SDK的前三。（四）違規(guī)索權(quán)侵犯用戶隱私。移動(dòng)金融App超范圍獲權(quán)現(xiàn)象普遍存在，常獲取設(shè)備的高敏感權(quán)限，如超范圍讀取手機(jī)狀態(tài)和身份權(quán)限，獲取讀取通訊錄、攝像頭、通話錄音等與服務(wù)無(wú)關(guān)的權(quán)限，且未對(duì)收集到的相關(guān)信息所對(duì)應(yīng)的功能進(jìn)行有效說(shuō)明，嚴(yán)重危害個(gè)人信息安全。

三、移動(dòng)金融App的風(fēng)險(xiǎn)成因

（一）互聯(lián)網(wǎng)金融井噴增長(zhǎng)，缺乏準(zhǔn)入標(biāo)準(zhǔn)。由于互聯(lián)網(wǎng)金融“野蠻生長(zhǎng)”時(shí)期留下的隱患，前期移動(dòng)金融App更注重其互聯(lián)網(wǎng)特性，準(zhǔn)入門(mén)檻不高，這導(dǎo)致當(dāng)前市場(chǎng)上的移動(dòng)金融App存在安全防護(hù)能力參差不齊的問(wèn)題，成為威脅金融信息安全與用戶財(cái)產(chǎn)安全的重大隱患。（二）開(kāi)發(fā)者安全意識(shí)弱，缺乏有效加固措施?！凹庸獭笔翘嵘袮pp安全防護(hù)能力的重要手段，不僅能使其系統(tǒng)穩(wěn)定性得到提升，還能在一定程度上規(guī)避風(fēng)險(xiǎn)。在如此高風(fēng)險(xiǎn)的背景下，僅有不到1/5的金融類(lèi)App進(jìn)行過(guò)一次安全加固，應(yīng)用開(kāi)發(fā)主體自我防護(hù)意識(shí)不強(qiáng)。（三）SDK安全性不高，缺乏有效的市場(chǎng)監(jiān)管。目前，有超過(guò)60%的SDK含有多種漏洞，并存在隱瞞收集用戶個(gè)人信息等行為。由于SDK市場(chǎng)缺乏有效的監(jiān)管，其自身的安全性很難得到保證，當(dāng)SDK被廣泛使用到App開(kāi)發(fā)中時(shí)，影響范圍極廣。（四）權(quán)責(zé)監(jiān)管不完善，缺乏可追溯機(jī)制。移動(dòng)金融App安全事件頻發(fā)，相應(yīng)的權(quán)責(zé)監(jiān)管機(jī)制還不夠完善。在法制層面，違法成本及處罰力度過(guò)低，不能引起相關(guān)主體的重視，多數(shù)金融App首次曝出問(wèn)題時(shí)僅被責(zé)令限期整改、警告處罰，并未被強(qiáng)行要求罰款或下架處理；在技術(shù)層面，缺乏持續(xù)性、主動(dòng)性的監(jiān)管方式，多依靠輿論影響與開(kāi)發(fā)主體自覺(jué)，來(lái)促使用戶信息得到正規(guī)合理保護(hù)；在市場(chǎng)環(huán)境方面，移動(dòng)金融App涉及開(kāi)發(fā)者、金融服務(wù)主體、運(yùn)營(yíng)主體、安全廠商等眾多環(huán)節(jié)，多方常常各自為營(yíng)，涉及的主管機(jī)構(gòu)權(quán)責(zé)劃分不盡相同，難免出現(xiàn)監(jiān)管盲點(diǎn)，讓不法行為有機(jī)可乘。

四、政策引導(dǎo)與措施建議

（一）推進(jìn)實(shí)名制備案，加強(qiáng)App安全監(jiān)管力度。2019年9月，人總行下發(fā)的《關(guān)于金融行業(yè)標(biāo)準(zhǔn)加強(qiáng)移動(dòng)金融客戶端應(yīng)用軟件安全管理通知》（銀發(fā)〔2019〕237號(hào)），提出了要從提升安全防護(hù)能力、加強(qiáng)個(gè)人信息安全保護(hù)、提高風(fēng)險(xiǎn)監(jiān)測(cè)能力以及健全投訴處理機(jī)制等方面提高金融App的監(jiān)督管理力度。12月，中國(guó)互聯(lián)網(wǎng)金融協(xié)會(huì)啟動(dòng)了金融客戶端軟件備案管理，將推動(dòng)App“實(shí)名制備案”成為監(jiān)管常態(tài)手段，此舉也將提高金融App的準(zhǔn)入門(mén)檻，讓合規(guī)的金融App可以提供更加安全的服務(wù)。（二）規(guī)范技術(shù)標(biāo)準(zhǔn)，加強(qiáng)個(gè)人信息保護(hù)。2020年2月，人總行印發(fā)的《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》從個(gè)人金融信息全生命周期管理的角度，對(duì)強(qiáng)化個(gè)人金融信息風(fēng)險(xiǎn)識(shí)別和監(jiān)控、保障個(gè)人金融信息主體合法權(quán)益、建立健全風(fēng)險(xiǎn)事件處置機(jī)制方面提出了要求。各金融App主體應(yīng)結(jié)合這份操作指南，提升金融服務(wù)產(chǎn)品、用戶信息傳輸與存儲(chǔ)等環(huán)節(jié)的信息安全管理。（三）加大違規(guī)打擊力度，保障金融消費(fèi)者權(quán)益。對(duì)于移動(dòng)金融App存在的安全風(fēng)險(xiǎn)問(wèn)題，在加強(qiáng)技術(shù)標(biāo)準(zhǔn)規(guī)范、加大審核監(jiān)督的基礎(chǔ)上，仍需加大打擊處罰力度。對(duì)于互聯(lián)網(wǎng)大數(shù)據(jù)之下的金融消費(fèi)者個(gè)人隱私、風(fēng)險(xiǎn)數(shù)據(jù)泄露等安全問(wèn)題事件要嚴(yán)厲懲治，才能切實(shí)保障金融消費(fèi)者的權(quán)益，倒逼開(kāi)發(fā)主體加快升級(jí)安全防護(hù)技術(shù)。（四）建立協(xié)同監(jiān)管體系，多途徑提升治理成效。移動(dòng)金融App是集傳統(tǒng)金融業(yè)、軟件開(kāi)發(fā)、移動(dòng)支付以及信息通信等多種業(yè)態(tài)于一身的集合體，要加強(qiáng)對(duì)金融App的監(jiān)管，需構(gòu)建行業(yè)監(jiān)管、行業(yè)自律、機(jī)構(gòu)自治、社會(huì)監(jiān)督多層次協(xié)同配合的金融監(jiān)管治理體系。同時(shí)，可通過(guò)共建安全風(fēng)險(xiǎn)預(yù)警機(jī)制，將不符合安全標(biāo)準(zhǔn)的App拉入黑名單，引導(dǎo)消費(fèi)者提升防范意識(shí)和辨別能力，降低因使用問(wèn)題App而發(fā)生安全風(fēng)險(xiǎn)的幾率，提高安全問(wèn)題整治成效。隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，移動(dòng)金融App的應(yīng)用場(chǎng)景將更加廣泛，隨之而來(lái)的安全問(wèn)題不容忽視，監(jiān)管措施還需不斷強(qiáng)化升級(jí)。相信在各管理部門(mén)的協(xié)同監(jiān)管與相關(guān)法規(guī)的嚴(yán)格制約下，移動(dòng)金融App的準(zhǔn)入標(biāo)準(zhǔn)將不斷提高，數(shù)據(jù)信息保護(hù)措施將不斷完善，從而進(jìn)一步降低安全風(fēng)險(xiǎn)，促使移動(dòng)金融App的應(yīng)用向規(guī)范化發(fā)展。

參考文獻(xiàn)：

[1]薛巖. 移動(dòng)支付的風(fēng)險(xiǎn)及防范措施探析[J]. 金融科技時(shí)代，2019(4):52-54.

[2]愛(ài)加密. 萬(wàn)特互聯(lián)時(shí)代，如何做好金融行業(yè)App安全防護(hù)[J]. 金融電子化，2019(7):98.

作者:李軍 王金紅 許倩單位:1.中國(guó)人民銀行安康市中心支行 2.中國(guó)人民銀行旬陽(yáng)縣支行