小程序已成为金融服务的重要线上渠道 - 小程序凭借“无需下载、即开即用”的轻量化特性及强大的社交传播能力，迅速成为各类金融机构提供线上服务的重要渠道 [1] - 从传统银行的存款理财业务，到保险公司的产品推介，再到消费金融、小额贷款公司的信贷服务，小程序已经渗透至金融服务的各个环节，极大地提升了金融服务的便利性与可及性 [1] 涉金融小程序安全形势严峻且风险普遍 - 中国互联网金融协会对55款涉金融应用小程序的专项抽样检查显示，当前小程序整体安全形势较为严峻 [5] - 被抽检的55款小程序均存在不同程度的安全风险问题，平均每款小程序被发现的风险问题高达18.13个 [5] - 检出高危风险的小程序占比达到18.19%，这些高危风险主要集中在“密钥泄露”、“应用程序报错漏洞”等严重安全隐患上 [5] - 中危风险高度集中，其中38款小程序存在“代码未混淆”风险，30款小程序存在“内部域名泄露”风险 [5] 安全风险的具体威胁与影响 - 密钥是保护用户数据、交易信息乃至资金安全的核心，一旦泄露可能导致用户敏感信息大规模外泄，甚至引发直接的资金盗用风险 [8] - 应用程序报错漏洞可能被攻击者利用，实施注入攻击或获取系统内部信息，严重威胁金融系统的稳定与客户资产安全 [8] - 代码混淆是防止核心业务逻辑、接口参数等被轻易反编译分析的重要手段，未混淆的代码极大降低了攻击者的分析门槛 [9] 个别机构存在违规利用小程序开展金融活动的现象 - 检查发现个别地方金融组织存在利用小程序渠道违规开展金融活动的现象 [10] - 某小贷公司通过其在微信平台注册的50个小程序，违反国家关于利率管理及金融营销宣传相关规定，涉嫌开展高利贷等非法金融活动 [11] - 此类行为不仅严重扰乱金融市场秩序，侵害金融消费者合法权益，更可能衍生暴力催收、个人信息滥用等一系列社会问题 [12] 协会建议压实各方责任以共筑安全防线 - 金融机构应切实履行对App、小程序等数字渠道管理的主体责任，不断加强安全治理体系建设，严禁借助小程序等新型数字渠道违规展业 [14] - 小程序平台方应切实履行生态治理责任，建立健全涉金融应用小程序的准入审核、日常监测与违规处置机制 [15] - 金融消费者应增强自我保护意识和风险识别能力，理性评估自身还款能力，审慎借贷，警惕各类过度营销和虚假宣传 [16] 行业自律与监管将进一步加强 - 协会将持续加强对涉金融App、小程序等数字渠道的自律管理工作，常态化开展自律检查，适时启动小程序备案工作 [17] - “适时启动小程序备案工作”意味着对金融类小程序的管理将向前端延伸，从事后处置转向事前事中更全面的监管，有助于从源头防范风险 [18]