监管密集发声背后：报告称七成金融App存高危漏洞风险

监管对金融类App的规范在加码。12月11日，央行科技司司长李伟在2019年“中国金融科技全球峰会”上表示，前不久对金融类App开展标准测评和认证后，近期注意到几部委开展的对App风险的整治，其中银行类App是风险重灾区，所以将加快推进有关工作，切实防范化解风险。

峰会上还宣布成立国家金融科技测评中心，致力于开展金融科技应用测评、风险监测以及监管科技与合规科技建设。

今年9月以来，监管方面已先后推出金融类App安全管理规范、整改多家金融App、敲定首批备案试点名单。其中，整改名单里因出现光大银行、天津银行等机构一度令市场哗然，将个人信息保护再度推向一个高潮。

央行官员称注意到多银行App被整治 将加快推进相关测评工作

李伟在上述峰会上表示，标准决定质量，央行正积极推动现金、机具等方面强制性国家标准出台，抓紧研究涉及人工智能、区块链、大数据、云计算等领域17项行业标准。他特别提到，今年9月央行发布的《移动金融客户端应用软件安全管理规范》，就是一个推荐性的标准，从风险防控、信息保护、实名备案、监督处置等方面，提出了针对性的要求。

“前不久央行发文指导互联网金融协会启动了金融App的备案管理试点工作，简单来说，就是对金融类App（包括银行类、证券类等）开展标准测评和认证，实施动态监测，及时处置相关风险。”李伟称。

相比这些监管动作，更令市场瞩目的，是日前国家网络安全通报中心的一则通报，公安部门集中发现、侦办、查处整改了100款违法违规App及其运营的互联网企业，其中的银行和贷款等金融类APP受到关注，包括光大银行、天津银行、天津农商行等机构。

三家银行都对此回应称，高度重视客户隐私信息保护工作，App可正常提供服务。三家银行的多位员工也对新京报记者表示，自己一直在使用本行App，没有发现异常。

但一时间消息仍令市场哗然，李伟也称，“近期我注意到几部委开展的对App风险的整治，前几天100多个App下架，其中银行类App是风险重灾区，所以我们将加快推进有关工作，切实防范化解风险。”

李伟表示，加快标准供给的同时，也在积极推进标准的落地实施，把金融科技标准实施与加强金融科技创新监管相结合，通过标准、测评和认证三个环节的工作规范金融科技创新应用，提升金融科技的监管效能。

密集发声背后：报告称七成金融App存高危漏洞风险

今年9月以来，监管方面已先后推出金融类App安全管理规范、整改多家金融App、敲定首批23家备案试点名单。密集发声背后，金融App存在着怎样的风险？

中国信息通信研究院日前发布的《2019金融行业移动App安全观测报告》显示，截止2019年9月11日，该报告团队从232个安卓应用市场中收录了133327款金融行业App，其中，面向个人用户的消费金融类App数量最多，占观测总数的36.74%；彩票类App排名第二，占观测总数的27.19%；面向企业的P2P金融类App排名第三，占观测总数的11.38%。

根据报告，在本次观测中，发现有70.22%的金融行业App存在高危漏洞，攻击者可利用这些漏洞窃取用户数据、进行App仿冒、植入恶意程序、攻击服务等，对App安全具有严重威胁。其中Top3的高危漏洞均存在导致App数据泄露的风险。

本次观测还发现，共有8217款金融行业App被检测出恶意程序，感染率为6.16%，主要涉及的恶意行为包括流氓行为、信息窃取、恶意传播、资费消耗、远程控制等多种恶意行为。

和前述被整改银行App问题较为近似的，“在具有典型代表性的12款下载量过亿的金融行业App中，多款App存在不同程度的超范围索取用户权限的情况，在隐私政策方面也存在多种违法违规行为，给用户个人隐私信息安全带来隐患。App用户的个人隐私信息一旦泄露，将带来严重的后果，如骚扰电话、信息诈骗、恶意推销、网络情感诈骗等，会严重损害App用户的利益。”报告称。

个人信息采集和使用的合规边界在哪儿？

事实上，近年随着金融科技的发展，个人信息采集和使用的合规边界问题一直备受关注。

金融科技专栏作家、资深观察人士毕研广对新京报记者表示，金融App正常收集个人信息，以便于风险控制、门槛设立、投资者测评等是有必要的。比如个人办理贷款时，银行需要掌握个人基本的身份信息、财力状况等，至于读取相应通讯录信息、短信信息等则没有必要。