移动金融App安全分析及监管措施
数字时代的金融安全与风险管理
数字时代的金融安全与风险管理近年来,随着信息技术的飞速发展和普及,金融行业也迎来了数字时代。
数字化金融既带来了便利,也带来了风险,如何保障数字时代金融的安全性,防范风险,成为了数字时代金融发展的重要议题。
一、数字时代金融安全的挑战1.1 技术层面的风险随着金融行业对数字化技术的广泛应用,互联网和移动支付等技术带来的风险也逐渐增多。
互联网和移动支付等交易方式由于需要使用网络连接和移动设备,因此更容易遭受网络攻击和有意或无意的病毒攻击,会导致个人或金融机构的敏感信息被泄露。
1.2 信用风险数字化金融更加依赖客户留存和使用数据,缺乏实物资产保障,信用风险因此成为一个重要的挑战。
随着客户数据收集和分析技术的不断发展,隐私泄露风险也相应增大。
1.3 法律、合规层面的风险在数字时代,金融行业面临的法律和合规风险也不可忽视。
互联网金融领域的创新性业务和模式较多,与传统金融业务存在较大差异。
受到政策和法律法规的影响,数字时代金融需要更多的法律支持和合规措施来保障金融安全。
二、数字时代金融安全的保障策略2.1 多维度的数据保护多维度的数据保护是保障数字时代金融安全的基础。
金融机构应在加密算法、数据隔离、权限控制等方面进行强化,以确保客户信息安全。
2.2 自身管理能力提升金融机构需要提升自身管理能力,包括数据治理、内部审计等方面,建立健全的风险管理制度。
加强内部审计及风险事故演练,让机构具有预防风险事件和自救能力。
2.3 积极应对新技术发展金融机构需加强科技投入,积极应对新技术发展,包括智能化风控、大数据风控等方面。
不仅仅要保护数字时代金融的安全,还可以从中发现更多的商业机会。
三、数字时代金融风险的监管措施3.1 产业规范与准入门槛政府监管部门应以产业规范和准入门槛为主导,规范数字时代金融的市场形态,对行业从业者的创新行动实施量化监管,适时开展风险评估与压测。
3.2 金融监管技术的推广应用当前,金融监管技术的应用更多关注交易的实时监测和行为的预警,政府可向监管部门提供基础设施支持,同时鼓励行业与科研机构合作,共建智能化监管的大数据平台。
数字金融的功能监管分析
数字金融的功能监管分析摘要:随着科技的日新月异,数字金融的发展速度不断加快。
数字经济逐渐成为世界经济结构改革的重要组成部分之一,数字金融发展愈发得到重视。
基于此,本文就数字金融的功能监管进行简要分析。
关键词:数字金融;功能监管;1 数字金融的发展现状与趋势1.1 网络化程度不断提高未来数字金融的发展将向着全方位、高速度、高智能化的网络化方向发展,互联网金融、移动支付、区块链等技术被广泛运用。
首先,随着智能手机的广泛普及和移动支付技术的不断创新,越来越多的人开始采用移动支付进行消费,移动支付的便利性和安全性将为数字金融的发展注入新的活力;其次,区块链技术具有去中心化、不可篡改和安全可靠的特性,在数字金融领域有着广泛的应用前景,比如用于数字货币的发行和交易以及金融机构之间的结算和清算;最后,数字金融产品、服务逐渐实现线上线下一体化,人工智能可以帮助金融机构进行风险评估、客户分析、投资决策等,提高金融机构的服务效率和准确性,使用户可以享受到流畅、高效、安全的金融服务。
1.2金融监管将更关注数字金融目前,我国数字金融行业机构主要包括腾讯金融、蚂蚁金服、京东金融等大型科技公司。
这些企业不仅有资格提供支付、基金销售、保险、证券等金融服务,还可以依托互联网将销售范围扩展到全国,造成金融风险跨银行跨区域转移,增加地方监管与分业监管的难度,产生传统金融所没有的问题,如影子银行、非法集资、虚拟货币等。
若不能及时发现这些风险并采取有力措施进行控制和处置,很可能会导致巨大的经济财产损失。
因此,监管部门需要紧跟数字金融发展的变化,积极协作推出科学合理的监管模式,依法监管,加强监管协同,以实现对数字金融行业的有效监管。
1.3金融风险防范进一步加强数字金融行业的风险管控仍是未来数字金融行业的一大挑战。
随着技术、业务和服务的不断创新,金融风险防范将进一步加强。
面对利用数字金融进行非法集资等不法行为,数字金融企业需要提升自身的风险意识,积极加强内部控制,完善风险管理制度,不断提升自身的安全性和可靠性。
移动APP应用安全风险分析方法与加固建议
网信安全移动APP应用安全风险分析方法与加固建议李网灿丁晋中国电信股份有限公司江苏分公司摘要:目前移动APP已成为手机端应用流量的人口,但由于移动APP开发者安全风险意识淡薄,或出于恶意目的,移 动APP应用违规收集、存储、使用个人信息的问题普通存在,为数不少的APP存在超权限读写用户手机资料、文件、通讯录,并且违规收集保存个人隐私信息的行为,对公民个人信息安全造成了极大的安全威胁。
为此,江苏电信 通过移动APP应用安全监测平台对接人的手机终端流量进行分析,本文则详细介绍了监测分析方法,并提出了安全加固建议。
关键词:移动APP应用;安全风险;分析方法〇引言移动互联网时代,移动APP应用安全风险越来越值得关注。
近年来,由移动APP弓丨发的公民个人信息泄露事件时有发生,包括短信、微信、通讯录被恶意读取、定位信息泄露、支付信 息被窃取等,造成了公民个人的隐私安全、财产安全、甚至人 身安全受得严重威胁。
江苏电信通过移动APP应用安全监测平 台对接人的手机终端流量进行分析,本文则详细介绍了监测分 析方法,并提出了安全力_建议。
1移动应用主要安全风险国家计算机网络应急技术处理协调中心CNCERT发布的 《2019年上半年我国互联网网络安全态势》报告指明,我国移 动APP违法违规使用公民个人信息的问题非常严重,为数不少 的APP存在违规收集、保存、使用个人隐私信息的行为。
针对 以上乱象,2019年以来中共中央网络安全和信息化委员办公室 等四部委也开展了治理APP专项行动。
移动APP的主要风险分 析如下:1.1 A p p应用安全风险以AnctoW操作系统为例,由于Android开源的特殊性,客 户端的软件非常容易被篡改和反编译,没有进行过加壳保护的 APK,可以通过以下五个小工具破解,植人木马后门,如图1所示。
apktool ②dex2jar ③jd-gui图1破解APK的五个小工具(1 )apktool:google提供的APK编译工具,用于逆向APK文件;(2)dex2jar:安卓反编译工具,可用于将dex文件转换成jar文件;(3 )jd-gui:Java编程语言源代码反编译软件;(4 )eclipse:基于Java的可扩展开发平台;(5 )签名软件:用于给编译后的APK进行签名。
移动金融应用安全风险分析及解决方案 - 梆梆安全
重打包测试
对客户端程序添加或修改代码,修改客户端资源图片,配置信息,图标等,再生成新的客户端程 序,实现应用钓鱼。对金融客户端,可能添加病毒代码、广告SDK,推广自己的产品;添加恶意 代码窃取登录账号密码、支付密码、拦截验证码短信,修改转账目标账号、金额等等。
动态调试测试
指攻击者利用调试器跟踪目标程序运行,查看、修改内存 代码和数据,分析程序逻辑,进行攻击和破解等行为。对 于金融行业客户端,该风险可修改客户端业务操作时的数 据,比如账号、金额等。
•
安全加固
发布前加固应用,保证代码安全
•
上线后的渠道监控
监控第三方应用市场,及时发现各种盗版、钓鱼、山寨等恶意应用
安全加固技术
代码加密 阻止代码被反编译 反调试 阻止APP运行时被动态注入 完整性校验 阻止APP被重新打包
安全加固技术-第一代加固技术 第一代加固技术基于类加载的技术
• classes.dex被完整加密,放到APK的资源中 • 运行时修改程序入口,将classes.dex在内存中解密并让Dalvik 虚拟机加载执行
评估内容 描述
程序安全
代码安全 数据安全
安装与卸载、人机交互、登陆检测、发布规范、第三方SDK安全等方面
是否具有防逆向、防动态注入、防篡改等能力 应用的数据录入、数据访问、数据存储、数据传输、数据显示是否存 在安全风险
组件安全
通信安全 业务安全
移动应用暴露的组件是否可以被恶意攻击
检查客户端软件和服务器间的通信协议是否安全,能否被攻击 移动应用的核心业务是否存在安全缺陷。例如银行客户端,针对转账 的过程应进行安全性检测,检测是否有可能进行转账的篡改 移动应用的运行环境是否安全
So库
金融科技的安全挑战与应对
金融科技的安全挑战与应对近年来,随着互联网技术的快速发展,金融科技也迎来了大爆发。
移动支付、互联网银行、P2P等金融科技产品不断涌现,给人们的生活带来了极大的便利。
然而,与此同时,金融科技的安全问题也日益突出,给人们的财产安全带来了严重的威胁。
本文将从金融科技的安全挑战和应对两个方面分析这一问题。
一、金融科技的安全挑战1.网络攻击威胁不断升级。
随着互联网技术的快速发展,网络攻击手段也在不断升级。
黑客利用漏洞和恶意软件攻击金融科技平台,盗取用户的财产信息,给用户带来极大的财产损失和精神打击。
2.移动设备安全性不足。
移动设备成为用户使用金融科技产品的重要工具,但移动设备本身的安全性存在着不少问题,如无法避免的篡改、病毒、木马等风险,他们都会威胁到用户的安全。
3.信息泄露风险增大。
随着金融科技平台中数据量的增加,数据泄露风险也越来越高。
平台方在建设和维护金融科技平台的过程中可能会出现疏忽,或者不法分子进行攻击,导致平台中大量的个人敏感信息被泄露。
4.担心监管和解决风险问题的成本过高。
金融科技平台的安全问题需要平台方花费大量的费用来解决,像宋跃蕾、招银金科这些巨头平台就每年花费10亿以上用来处理安全问题。
此外,还有监管成本。
一旦安全问题出现,监管机构将直接进行处罚,从而加重了平台方的负担,导致金融科技平台建设过程中的成本变得更高。
二、金融科技的应对方案1.大数据分析技术的应用。
金融科技平台可以利用大数据分析技术对用户行为进行大量的数据分析,自动识别异常交易或非法使用者的行为,从而及时进行预警和封锁。
2.人工智能技术的应用。
金融科技平台可以利用人工智能技术,帮助识别诈骗信息、压制黑客攻击、减少恶意访问等等安全风险,从而提高整个平台的安全性。
3.多措并举,加强数据安全保障。
作为金融科技平台最基本的安全要求,数据保护安全需要从多方面来做好,包括完善数据处理制度、加强技术防控、加大人员培训和管理等。
4.参与规范制定,提高行业规范水准。
互联网金融监管问题分析
互联网金融监管问题分析在当今数字化时代,互联网金融如同一股汹涌的浪潮,迅速改变了人们的金融生活方式。
从便捷的移动支付到创新的网络借贷,从智能理财顾问到数字化保险服务,互联网金融的发展为经济增长和金融服务的普及带来了新的机遇。
然而,与这种快速发展相伴而生的是一系列复杂而严峻的监管问题。
如果不能妥善解决这些问题,不仅会影响互联网金融行业的健康发展,还可能给整个金融体系和社会经济稳定带来潜在风险。
互联网金融监管面临的首要问题是监管法规的滞后性。
互联网金融作为一种新兴金融业态,其发展速度远远超过了法律法规的制定速度。
许多互联网金融业务在现行法律法规中找不到明确的规范和约束,导致监管部门在执法过程中缺乏有效的依据。
例如,对于一些新兴的金融产品,如虚拟货币、股权众筹等,现有的金融法规往往无法完全覆盖其业务模式和风险特征。
这使得一些不法分子有机可乘,利用监管漏洞从事非法金融活动,损害了投资者的合法权益。
其次,互联网金融的跨地域、跨行业特性给监管带来了巨大挑战。
互联网金融业务不受地域限制,可以在全国乃至全球范围内开展。
同时,互联网金融往往融合了金融、互联网、通信等多个行业的元素,业务边界模糊。
这就导致了监管主体不明确,容易出现监管重叠或监管空白的情况。
例如,一家互联网金融公司可能同时涉及银行、证券、保险等多个领域的业务,但不同领域的监管标准和要求存在差异,监管部门之间的协调难度较大,难以形成有效的监管合力。
再者,信息安全和数据保护是互联网金融监管中的关键问题。
互联网金融依赖于大量的用户数据进行风险评估、信用评级和精准营销。
然而,这些数据的收集、存储、使用和传输过程中存在着信息泄露、数据滥用等风险。
一旦用户数据被泄露或被不法分子利用,不仅会给用户带来财产损失,还可能影响到金融市场的稳定和社会的公共安全。
此外,一些互联网金融平台为了追求商业利益,过度采集用户数据,侵犯了用户的隐私权。
另外,互联网金融的风险传播速度快、范围广,增加了监管的难度。
互联网金融的风险与监管机制分析
互联网金融的风险与监管机制分析正文:一、互联网金融的定义互联网金融是指利用互联网、移动通信等信息技术手段,打造具有金融属性的互联网应用平台,为客户提供金融产品和服务的业态。
它是金融业和互联网业的融合,具有低成本、高效率、便捷性等特点。
二、互联网金融的风险1.技术风险互联网金融业务离不开技术,技术的不稳定性和安全风险是互联网金融的主要风险之一。
技术方面的不稳定会导致交易的中断和延迟,增加用户的投诉和维权的工作量。
同时,互联网金融的资金结算过程需要有超高的安全保障,否则交易将会受到损失和破坏。
2.经营风险互联网金融平台的经营风险主要指平台的经营管理和风险管理不到位、公司治理不规范等问题。
由于互联网金融产业的高度以及市场竞争的激烈性,导致一些公司只为了追求利益最大化而忽视风险控制和管理,一旦出现风险,将会给用户造成重大的损失。
3.信用风险互联网金融业务的另一个风险是信用风险。
平台的放贷业务必须对用户的信用情况进行严格的审核和评估,如果无法正确评估贷款的风险,则会导致贷款违约的风险。
这将会对平台的运营和用户的积极性产生影响。
三、互联网金融的监管机制1.监管体系互联网金融监管主要有中国银行业监督管理委员会、证券监督管理局、保险监督管理委员会等。
监管体系的主要作用是规范和监管互联网金融业务的发展,保护用户合法权益,维护金融市场的稳定和安全。
2.监管标准为了规范互联网金融市场,国家出台了一系列监管标准。
例如,规范网络借贷风险专项整治,强化企业信息披露和业务合规性,加强网络借贷信息中介机构业务,加强对互联网金融消费信息保护和网络安全审查等。
3.监管技术随着技术的不断进步,监管技术也将逐步升级。
目前,世界各地的金融监管机构都在研究和尝试使用区块链技术、人工智能技术和大数据技术等监管技术。
这些技术的应用将会让监管更加高效、精确和及时。
四、结论互联网金融具有高效、普惠、便捷等优点,但随之而来的风险也不可忽视。
不断提升监管和控制风险是推动互联网金融健康发展的关键所在。
金融科技的监管与风险管理
金融科技的监管与风险管理随着金融科技的发展,越来越多的创新科技在金融领域得到了应用,如移动支付、在线借贷、区块链等。
这些新型金融科技极大地推动了金融行业的转型升级,同时也面临着监管和风险管理问题。
本文将从监管和风险管理两个角度探讨金融科技的发展和未来趋势。
一、金融科技的监管1.监管现状近年来,随着金融科技的发展,各国政府和监管机构都开始对其进行监管和管理。
例如,中国国家互联网金融安全技术专家委员会和美国金融稳定监管委员会等均发布了相关指导意见和行业规范。
这些指导方针主要包括对大数据、人工智能、区块链和网络安全等方面的监管。
2.监管重点金融科技的监管重点包括了以下几方面:(1)数据安全和隐私保护:金融机构应当确保数据的安全,同时保护用户的信息隐私。
(2)风险控制和管理:金融机构应建立完善的风险控制和管理机制,预防和化解风险。
(3)合规经营:金融机构应当遵守相关法律法规,并保证业务运营的合规性。
3.监管措施针对金融科技的监管措施主要包括以下几方面:(1)制定指导政策和规范标准,明确金融科技的监管要求和标准。
(2)强化监管机构的监管职责,加强对金融机构的监管力度。
(3)建立专门的监管机构,负责监管和管理金融科技业务。
二、金融科技的风险管理1.风险类型金融科技的风险主要包括以下几方面:(1)操作风险:由于技术创新和不可预见的因素可能导致业务中断或错误。
(2)市场风险:由于市场波动、政策变化等因素,可能导致企业的投资损失。
(3)信用风险:由于资金来源方的违约或失信,可能导致企业的债务违约。
(4)系统性风险:由于金融系统的脆弱性和网络攻击等因素,可能对整个金融体系造成影响。
2.风险管理金融科技的风险管理主要是预防和化解风险。
为了有效管理这些风险,金融机构应采取以下措施:(1)加强内部风险管理和控制,设立专门的风控部门,建立完善的风险管理体系。
(2)建立风险预警机制,定期开展风险评估和风险监测,及时发现和解决问题。
金融业移动支付的风险与防范措施
金融业移动支付的风险与防范措施随着移动端设备的普及以及互联网技术的发展,移动支付作为电子商务的重要组成部分,得到了广泛的应用。
与传统支付方式相比,移动支付的便捷性、时效性和安全性受到了人们的普遍欢迎。
然而,随着移动支付市场的蓬勃发展,支付风险也随之而来。
本文将从移动支付在金融业中的应用入手,分析移动支付可能面临的风险,并提出相应的防范措施。
一、移动支付在金融业中的应用近年来,移动支付在金融业中的应用日益广泛。
首先,移动支付在银行业中得到了大量的应用。
例如,各大银行都推出了手机银行客户端和移动支付功能,使用户可以轻松地完成转账、缴费、理财等交易;同时,借助移动支付平台,银行也可以开展传统银行业务的扩展,如消费金融、小额贷款等。
其次,移动支付在支付宝、微信支付等第三方支付机构中得到了广泛的应用。
如今,支付宝已成为全球交易量最大的移动支付平台,微信支付也成为了中国最流行的移动支付方式之一。
此外,移动支付还应用于保险业、证券业等金融领域,如保险理赔、证券交易等。
二、移动支付可能面临的风险随着移动支付市场的不断壮大,其中涉及的支付风险也逐步增加。
总体来说,移动支付面临的风险主要分为以下四个方面。
1.技术风险。
移动支付主要依赖于互联网技术和移动设备,因此面临着技术故障、网络攻击、病毒入侵等技术风险。
一旦系统出现问题,就会导致支付过程中出现错误,甚至可能造成用户财产损失。
2.信息泄露风险。
移动支付过程中需要输入敏感信息,如账户密码、身份证号码等,一旦泄露,可能导致用户隐私、财产等受到威胁。
近年来,信息泄露事件屡屡发生,引起了用户对移动支付的担忧。
3.交易纠纷风险。
由于移动支付的实时性和便捷性,交易纠纷的出现也可能增加。
例如,用户购买商品时,商家可能出现卖家违法、虚假宣传等问题,进而引发交易纠纷。
4.监管风险。
当前,移动支付市场还处于初级阶段,相关法律法规尚不完善,金融监管也面临较大的挑战。
此外,由于移动支付跨行业发展,监管机构之间的沟通也存在问题,可能导致相关监管事宜无法得到妥善解决。
移动理财App信息安全风险及防范措施
栏目编辑:叶纯青 E-mail:yecq66@移动理财App信息安全风险及防范措施■ 应天职业技术学院 董建文作者简介: 董建文(1979-),女,山西运城人,理学硕士,讲师,供职于应天职业技术学院,研究方向:信息管理与信息系统。
收稿日期: 2019-07-31基金项目: 江苏省教育厅高校哲学社会科学基金项目《互联网金融的信息系统安全风险及其防范机制研究》(项目编号:2017SJB0748)。
一、引言在互联网金融时代,大量的金融产品和服务借助网络来展现,通过互联网进行理财投资受到越来越多用户的青睐。
而移动互联网的便捷性使得移动网络逐渐成为金融服务的主要通道,越来越多的人通过便携式移动智能终端来满足理财需求,各类金融机构和互联网金融平台也跟随大众的习惯,转变推销理财的方式,纷纷推出便捷的移动理财App。
根据国家统计局发布的数据,2018年,全国居民人均可支配收入达28 228元,比2017年名义增长8.7%,扣除价格因素,实际增长6.5%。
居民人均可支配收入水平的不断提高,居民财力的迅速增长,使得个人有能力成为重要的投资主体,为互联网理财行业的发展奠定了广泛的民众基础。
中国人民银行发布的数据显示,2018年12月末中国人民币存款余额177.52万亿元,同比增长8.2%。
庞大的储蓄存款余额为互联网理财行业的发展创造了巨大的市场空间。
二、手机网民、理财App现状截至2018年12月,我国网民规模达8.29亿,网民使用手机上网的比例达98.6%。
随着我国移动网络的不断发展成熟,4G无线通信基本上实现了全覆盖,联网速度日渐升级,上网套餐资费逐渐下降,再加上智能终端设备的普及,随时随地上网畅游成为常态,很大摘要:移动理财的便捷性使其成为互联网理财的主力军,越来越多的人利用便携式移动智能终端进行移动理财,各类金融机构和互联网金融平台也纷纷推出移动理财应用App。
民众广泛应用理财App进行移动理财的同时,也伴随着巨大的信息安全风险。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
摘要:随着移动互联网技术的快速发展,越来越多的金融机构将借贷、支付、交易场景转移到线上,大量的移动金融App应运而生。
本文研究了移动金融App的安全现状,针对目前金融App面临的安全漏洞、恶意程序、SDK隐患以及违规索权等风险问题,分析了其主要成因,并从安全监管、权益保护、违规惩戒、协同监管等方面提出了金融App安全规范的措施建议。
关键词:移动金融;安全风险;监管措施
一、移动金融App的发展现状
现今,智能手机已经成为人们生活中不可或缺的重要组成部分,很多传统的生活、工作、业务模式已实现了向移动智能端迁移,并催生了大量的移动客户端应用软件(App),其中就包括金融类App。
对于互联网金融来说,金融类App就像传统银行网点的业务柜台,可以实现所有信息在金融机构与客户之间的交换,极大地提升了金融业务办理的便捷性和可得性。
据《2019年金融行业移动App安全观测报告》(以下简称《报告》)统计,截至2019年10月,我国移动金融App已达到13.3万款,约占整个移动App市场份额的5%,并仍处于高速增长阶段。
可见,移动金融App已经深入应用到大众生活的方方面面。
然而这些App或多或少也存在安全问题。
2019年12月,公安部门集中查处整改的100款违法违规App及其运营企业中,银行和贷款等金融App成为“重灾区”,其中不乏执照经营的银行业金融机构。
可见,移动金融App的安全问题不容乐观。
二、移动金融App的安全风险
(一)高危安全漏洞普遍存在。
《报告》显示,通过对232个安卓应用市场中超13万款金融类App的监测发现,73.23%存在不同程度的安全漏洞,70.22%存在高危漏洞,平均每款移动金融类App存在20.3个安全漏洞,且6.7个是高危漏洞;攻击者可利用这些漏洞窃取客户数据、植入恶意代码、进行App仿冒、攻击正常服务等,具有严重的安全威胁。
从金融App类型来看,互联网第三方支付和信托类App的高危漏洞最为突出,投资理财、保险等金融App高危漏洞也相对严重。
(二)恶意程序带来巨大威胁。
《报告》监测显示,8217款金融类App被检测出恶意程序,感染率为6.16%,主要涉及客户的隐私数据收集、窗口广告推送、流量资源占用、恶意扣费等行为,在用户不知情或未授权的情况下,对个人信息及财产安全带来巨大威胁。
(三)广泛应用SDK引入风险。
SDK是辅助开发同类应用软件的相关文档、范例和工具的集合。
通常,开发者为了提升效率、降低成本,开发过程中
会选择引用第三方SDK,但其常常存在较多安全隐患,是造成用户个人信息在网络上“裸奔”的罪魁祸首。
据《报告》监测显示,20.48%的金融类App共嵌入10万多个第三方SDK,平均每款App嵌入3.8个;其中,推送类、统计类、社交类是嵌入SDK的前三。
(四)违规索权侵犯用户隐私。
移动金融App超范围获权现象普遍存在,常获取设备的高敏感权限,如超范围读取手机状态和身份权限,获取读取通讯录、摄像头、通话录音等与服务无关的权限,且未对收集到的相关信息所对应的功能进行有效说明,严重危害个人信息安全。
三、移动金融App的风险成因
(一)互联网金融井喷增长,缺乏准入标准。
由于互联网金融“野蛮生长”时期留下的隐患,前期移动金融App更注重其互联网特性,准入门槛不高,这导致当前市场上的移动金融App存在安全防护能力参差不齐的问题,成为威胁金融信息安全与用户财产安全的重大隐患。
(二)开发者安全意识弱,缺乏有效加固措施。
“加固”是提升已发布App安全防护能力的重要手段,不仅能使其系统稳定性得到提升,还能在一定程度上规避风险。
在如此高风险的背景下,仅有不到1/5的金融类App进行过一次安全加固,应用开发主体自我防护意识不强。
(三)SDK安全性不高,缺乏有效的市场监管。
目前,有超过60%的SDK含有多种漏洞,并存在隐瞒收集用户个人信息等行为。
由于SDK市场缺乏有效的监管,其自身的安全性很难得到保证,当SDK被广泛使用到App开发中时,影响范围极广。
(四)权责监管不完善,缺乏可追溯机制。
移动金融App安全事件频发,相应的权责监管机制还不够完善。
在法制层面,违法成本及处罚力度过低,不能引起相关主体的重视,多数金融App 首次曝出问题时仅被责令限期整改、警告处罚,并未被强行要求罚款或下架处理;在技术层面,缺乏持续性、主动性的监管方式,多依靠舆论影响与开发主体自觉,来促使用户信息得到正规合理保护;在市场环境方面,移动金融App涉及开发者、金融服务主体、运营主体、安全厂商等众多环节,多方常常各自为营,涉及的主管机构权责划分不尽相同,难免出现监管盲点,让不法行为有机可乘。
四、政策引导与措施建议
(一)推进实名制备案,加强App安全监管力度。
2019年9月,人总行下发的《关于发布金融行业标准加强移动金融客户端应用软件安全管理通知》(银发〔2019〕237号),提出了要从提升安全防护能力、加强个人信息安全保护、提高风险监测能力以及健全投诉处理机制等方面提高金融App的监督管理力度。
12月,中国互联网金融协会启动了金融客户
端软件备案管理,将推动App“实名制备案”成为监管常态手段,此举也将提高金融App的准入门槛,让合规的金融App可以提供更加安全的服务。
(二)规范技术标准,加强个人信息保护。
2020年2月,人总行印发的《个人金融信息保护技术规范》从个人金融信息全生命周期管理的角度,对强化个人金融信息风险识别和监控、保障个人金融信息主体合法权益、建立健全风险事件处置机制方面提出了要求。
各金融App主体应结合这份操作指南,提升金融服务产品、用户信息传输与存储等环节的信息安全管理。
(三)加大违规打击力度,保障金融消费者权益。
对于移动金融App存在的安全风险问题,在加强技术标准规范、加大审核监督的基础上,仍需加大打击处罚力度。
对于互联网大数据之下的金融消费者个人隐私、风险数据泄露等安全问题事件要严厉惩治,才能切实保障金融消费者的权益,倒逼开发主体加快升级安全防护技术。
(四)建立协同监管体系,多途径提升治理成效。
移动金融App 是集传统金融业、软件开发、移动支付以及信息通信等多种业态于一身的集合体,要加强对金融App的监管,需构建行业监管、行业自律、机构自治、社会监督多层次协同配合的金融监管治理体系。
同时,可通过共建安全风险预警机制,将不符合安全标准的App拉入黑名单,引导消费者提升防范意识和辨别能力,降低因使用问题App而发生安全风险的几率,提高安全问题整治成效。
随着互联网技术的快速发展,移动金融App的应用场景将更加广泛,随之而来的安全问题不容忽视,监管措施还需不断强化升级。
相信在各管理部门的协同监管与相关法规的严格制约下,移动金融App的准入标准将不断提高,数据信息保护措施将不断完善,从而进一步降低安全风险,促使移动金融App的应用向规范化发展。
参考文献:
[1]薛岩. 移动支付的风险及防范措施探析[J]. 金融科技时代,2019(4):52-54.
[2]爱加密. 万特互联时代,如何做好金融行业App安全防护[J]. 金融电子化,2019(7):98.。