2400余款金融App完成备案！互金协会：存在三方面安全风险

据中国互联网金融协会7月13日消息，在中国人民银行和相关监管部门的指导下，中国互联网金融协会（以下简称协会）持续开展移动金融客户端应用软件（以下简称金融App）行业自律管理工作，履职尽责，不断完善多层次的自律惩戒体系。现就近期自律管理情况通报如下。

一、自律管理的整体情况

根据《中国人民银行关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》(银发〔2019〕237号）规定，协会对备案的金融App进行风险监测与共享，投诉受理与转办，并按照《移动金融客户端应用软件备案管理办法（试行）》（以下简称备案管理办法）有关规定，对版本维护、风险处置、投诉处理、备案标志使用、外部评估等情况开展常规检查。同时，协会开展舆情监测，持续关注相关监管部门对侵害用户信息安全的问题App通报情况，对涉及的备案App开展调查核实，对查证属实的启动自律惩戒。

2023年上半年，协会依托备案管理系统进行备案App版本更新提醒1085次、发送钓鱼仿冒提醒1541条、转办投诉信息400条；为督促备案机构落实日常管理要求，共发送警示函149次，涉及备案机构143家、客户端软件181款；约谈2次，涉及外部评估机构2家、备案机构1家。

二、金融App安全风险态势

通过协会对备案金融App持续的日常风险监测，并结合有关监管部门的问题通报情况，总体来看，备案金融App安全风险态势总体平稳，备案金融App整体安全水平较高。目前已完成备案的2400余款金融App，被监管部门通报的占比不足1%。通过备案工作，大多数备案机构已初步建立了App管理的内控制度和安全检测机制，有效降低了安全风险。存在的问题主要有：

（一）备案后管理有所放松。部分备案机构在备案后的App版本升级过程中，未按照其内控制度和备案管理办法相关要求进行新版本的上线前风险评估和备案信息更新等工作，导致新版本App“带病上线”。

（二）对部分标准要求的理解和落实不够。近期，金融App出现的问题主要集中在“App不当索权”和“违规收集个人信息”方面，主要原因是对国家标准《信息安全技术—个人信息安全规范》（GB/T 35273-2020）和金融行业标准《移动金融客户端应用软件安全管理规范》（JR/T 0092-2019）中的部分要求理解不透彻，在落实上有所偏差。

（三）使用第三方开发框架和工具时引入风险。部分备案机构在使用第三方开发框架和SDK工具进行App开发时，忽略了对第三方工具的安全检查，或未按说明合理使用，给最终App产品引入了安全风险和隐患。

针对以上问题，各备案机构应落实好安全主体责任，严格执行备案管理办法，对照国家标准和行业标准要求持续完善健全合规管理体系。协会将开展专项治理和培训工作，并对未按期整改的备案App采取相关自律管理措施。