从传统银行的存款理财业务，到保险公司的产品推介，再到消费金融、小额贷款公司的信贷服务，小程序已经渗透至金融服务的各个环节，极大地提升了金融服务的便利性与可及性。

然而，在享受技术创新带来红利的同时，这一新兴渠道也暴露出不容忽视的安全风险与合规漏洞。12月2日，中国互联网金融协会（以下简称“协会”）发布的一份关于涉金融应用小程序安全情况的通告，将行业存在的安全隐患置于聚光灯下，引发关注。

安全形势严峻，风险点多面广

协会近期对各类金融机构在微信平台上的55款涉金融应用小程序组织了专项抽样检查。结果表明，当前小程序整体安全形势较为严峻，具体表现在以下三个层面：

• 首先，风险覆盖范围广，安全隐患普遍存在。 此次被抽检的55款小程序无一幸免，均存在不同程度的安全风险问题。统计分析显示，平均每款小程序被发现的风险问题高达18.13个。

• 其次，高危风险不容小觑，威胁金融安全核心。更值得警惕的是，检出高危风险的小程序占比达到18.19%。这些高危风险主要集中在“密钥泄露”“应用程序报错漏洞”等严重安全隐患上。

• 再次，中危风险高度集中，暴露管理薄弱环节。 协会检查还发现，中危风险呈现高度集中特征。其中，高达38款小程序存在“代码未混淆”风险。同时，有30款小程序存在“内部域名泄露”风险。

针对上述发现，协会已向相关金融机构进行风险提示，并将督促机构限期整改。

个别机构借小程序“打擦边球”

“密钥是保护用户数据、交易信息乃至资金安全的核心‘钥匙’，一旦泄露，可能导致用户敏感信息大规模外泄，甚至引发直接的资金盗用风险。”有金融科技从业人士指出，应用程序报错漏洞则可能被攻击者利用，实施注入攻击或获取系统内部信息，同样严重威胁着整个金融系统的稳定与客户资产安全。

此外，证券时报·券商中国记者了解到，代码混淆是防止核心业务逻辑、接口参数等被轻易反编译、分析的重要手段，未混淆的代码如同“裸奔”，极大降低了攻击者的分析门槛。

除了普遍性的技术安全风险，此次协会检查还发现，个别地方金融组织存在利用小程序渠道违规开展金融活动的现象。

通报中特别点明，某小贷公司通过其在微信平台注册的50个小程序，违反国家关于利率管理及金融营销宣传相关规定，涉嫌开展高利贷等非法金融活动。协会已商请微信平台对相关小程序予以下架，并将依法向相关部门移送案件线索。

有分析人士就此指出，这种行为不仅严重扰乱金融市场秩序，侵害金融消费者合法权益，更可能衍生暴力催收、个人信息滥用等一系列社会问题。

压实三方责任，共筑金融安全防线

面对小程序金融领域暴露出的多重风险，中国互联网金融协会在通告中明确提出，为进一步压实各方责任，筑牢金融安全合规底线，协会建议：

（一）金融机构应切实履行对App、小程序等数字渠道管理的主体责任，不断加强安全治理体系建设，持续提升小程序安全水平，严禁借助小程序等新型数字渠道违规展业。

（二）小程序平台方应切实履行生态治理责任，建立健全涉金融应用小程序的准入审核、日常监测与违规处置机制，共同维护清朗的数字金融生态。

（三）金融消费者应增强自我保护意识和风险识别能力，理性评估自身还款能力，审慎借贷，警惕各类过度营销和虚假宣传，避免自身陷入债务风险。

协会也表示，将持续加强对涉金融App、小程序等数字渠道的自律管理工作，常态化开展自律检查，适时启动小程序备案工作，不断提升行业安全合规水平。

值得关注的是，“适时启动小程序备案工作”意味着对金融类小程序的管理将向前端延伸，从事后处置转向事前事中更全面的监管。通过备案，可以更清晰地掌握市场主体情况，为精准施策、分类监管奠定基础，从而更有效地从源头防范风险。

来源：券商中国