12月3日，中国互联网金融协会（以下简称"协会"）发布涉金融应用小程序相关情况通告。 《中国经营报》记者注意到，协会特别通报了个别地方金融组织通过小程序违规开展金融活动的情况。 例如，某小贷公司通过其在微信平台注册的50个小程序，违反国家关于利率管理及金融营销宣传相关规 定，涉嫌开展高利贷等非法金融活动。协会已商请微信平台对相关小程序予以下架，并将依法向相关部 门移送案件线索。 为进一步压实各方责任，筑牢金融安全合规底线，协会建议：金融机构应切实履行对App、小程序等数 字渠道管理的主体责任，不断加强安全治理体系建设，持续提升小程序安全水平，严禁借助小程序等新 型数字渠道违规展业；小程序平台方应切实履行生态治理责任，建立健全涉金融应用小程序的准入审 核、日常监测与违规处置机制，共同维护清朗的数字金融生态；金融消费者应增强自我保护意识和风险 识别能力，理性评估自身还款能力，审慎借贷，警惕各类过度营销和虚假宣传，避免自身陷入债务风 险。 协会表示，将持续加强对涉金融App、小程序等数字渠道的自律管理工作，常态化开展自律检查，适时 启动小程序备案工作，不断提升行业安全合规水平。 协会表示，近年来，小程序凭借其轻量化 ...

小程序在金融服务的渗透与价值 - 小程序凭借“无需下载、即开即用”的轻量化特性及强大的社交传播能力，已成为各类金融机构提供线上服务的重要渠道 [1] - 其服务范围已从传统银行的存款理财，扩展至保险、消费金融、小额贷款等各个环节，极大地提升了金融服务的便利性与可及性 [1] 行业安全形势严峻 - 中国互联网金融协会对微信平台上的55款涉金融应用小程序进行抽样检查，结果显示整体安全形势较为严峻 [3] - 被抽检的55款小程序均存在不同程度的安全风险问题，平均每款小程序被发现的风险问题高达18.13个 [8] - 检出高危风险的小程序占比达到18.19%，这些风险主要集中在“密钥泄露”、“应用程序报错漏洞”等严重安全隐患上 [8] - 中危风险高度集中，其中38款小程序存在“代码未混淆”风险，30款小程序存在“内部域名泄露”风险 [8] 个别机构的违规行为 - 检查发现个别地方金融组织存在利用小程序渠道违规开展金融活动的现象 [5] - 例如，某小贷公司通过其在微信平台注册的50个小程序，违反国家关于利率管理及金融营销宣传相关规定，涉嫌开展高利贷等非法金融活动 [5] 协会提出的责任压实建议 - 金融机构应切实履行对App、小程序等数字渠道管理的主体责任，严禁借助小程序等新型数字渠道违规展业 [7] - 小程序平台方应切实履行生态治理责任，建立健全涉金融应用小程序的准入审核、日常监测与违规处置机制 [9] - 金融消费者应增强自我保护意识和风险识别能力，审慎借贷，警惕各类过度营销和虚假宣传 [9] 未来的监管方向 - 协会将持续加强自律管理，常态化开展自律检查，并适时启动小程序备案工作 [9] - “适时启动小程序备案工作”意味着对金融类小程序的管理将向前端延伸，从事后处置转向事前事中更全面的监管 [9]

小程序已成为金融服务的重要线上渠道 - 小程序凭借“无需下载、即开即用”的轻量化特性及强大的社交传播能力，迅速成为各类金融机构提供线上服务的重要渠道 [1] - 从传统银行的存款理财业务，到保险公司的产品推介，再到消费金融、小额贷款公司的信贷服务，小程序已经渗透至金融服务的各个环节，极大地提升了金融服务的便利性与可及性 [1] 涉金融小程序安全形势严峻且风险普遍 - 中国互联网金融协会对55款涉金融应用小程序的专项抽样检查显示，当前小程序整体安全形势较为严峻 [5] - 被抽检的55款小程序均存在不同程度的安全风险问题，平均每款小程序被发现的风险问题高达18.13个 [5] - 检出高危风险的小程序占比达到18.19%，这些高危风险主要集中在“密钥泄露”、“应用程序报错漏洞”等严重安全隐患上 [5] - 中危风险高度集中，其中38款小程序存在“代码未混淆”风险，30款小程序存在“内部域名泄露”风险 [5] 安全风险的具体威胁与影响 - 密钥是保护用户数据、交易信息乃至资金安全的核心，一旦泄露可能导致用户敏感信息大规模外泄，甚至引发直接的资金盗用风险 [8] - 应用程序报错漏洞可能被攻击者利用，实施注入攻击或获取系统内部信息，严重威胁金融系统的稳定与客户资产安全 [8] - 代码混淆是防止核心业务逻辑、接口参数等被轻易反编译分析的重要手段，未混淆的代码极大降低了攻击者的分析门槛 [9] 个别机构存在违规利用小程序开展金融活动的现象 - 检查发现个别地方金融组织存在利用小程序渠道违规开展金融活动的现象 [10] - 某小贷公司通过其在微信平台注册的50个小程序，违反国家关于利率管理及金融营销宣传相关规定，涉嫌开展高利贷等非法金融活动 [11] - 此类行为不仅严重扰乱金融市场秩序，侵害金融消费者合法权益，更可能衍生暴力催收、个人信息滥用等一系列社会问题 [12] 协会建议压实各方责任以共筑安全防线 - 金融机构应切实履行对App、小程序等数字渠道管理的主体责任，不断加强安全治理体系建设，严禁借助小程序等新型数字渠道违规展业 [14] - 小程序平台方应切实履行生态治理责任，建立健全涉金融应用小程序的准入审核、日常监测与违规处置机制 [15] - 金融消费者应增强自我保护意识和风险识别能力，理性评估自身还款能力，审慎借贷，警惕各类过度营销和虚假宣传 [16] 行业自律与监管将进一步加强 - 协会将持续加强对涉金融App、小程序等数字渠道的自律管理工作，常态化开展自律检查，适时启动小程序备案工作 [17] - “适时启动小程序备案工作”意味着对金融类小程序的管理将向前端延伸，从事后处置转向事前事中更全面的监管，有助于从源头防范风险 [18]

行业背景与渠道重要性 - 小程序凭借“无需下载、即开即用”的轻量化特性和强大的社交传播能力，已成为各类金融机构提供线上服务的重要渠道，渗透至存款理财、保险推介、消费金融及小额信贷等金融服务各个环节，极大地提升了金融服务的便利性与可及性 [1] 安全风险整体形势 - 中国互联网金融协会对微信平台上的55款涉金融应用小程序进行专项抽样检查，结果显示当前小程序整体安全形势较为严峻，被抽检的55款小程序均存在不同程度的安全风险问题 [2] - 平均每款小程序被发现的风险问题高达18.13个 [2] - 检出高危风险的小程序占比达到18.19%，高危风险主要集中在“密钥泄露”和“应用程序报错漏洞”等严重安全隐患上 [2] 具体风险点分布 - 中危风险呈现高度集中特征，其中38款小程序存在“代码未混淆”风险，30款小程序存在“内部域名泄露”风险 [2] - 代码混淆是防止核心业务逻辑、接口参数等被轻易反编译分析的重要手段，未混淆的代码极大降低了攻击者的分析门槛 [4] - 密钥是保护用户数据、交易信息和资金安全的核心，一旦泄露可能导致用户敏感信息大规模外泄甚至资金盗用风险 [4] 违规展业行为 - 个别地方金融组织存在利用小程序渠道违规开展金融活动的现象，例如某小贷公司通过其在微信平台注册的50个小程序，违反国家关于利率管理及金融营销宣传相关规定，涉嫌开展高利贷等非法金融活动 [4] - 协会已商请微信平台对相关违规小程序予以下架，并将依法向相关部门移送案件线索 [4] 监管与自律措施建议 - 协会建议金融机构应切实履行对App、小程序等数字渠道管理的主体责任，不断加强安全治理体系建设，持续提升小程序安全水平，严禁借助小程序等新型数字渠道违规展业 [5] - 协会建议小程序平台方应切实履行生态治理责任，建立健全涉金融应用小程序的准入审核、日常监测与违规处置机制 [6] - 协会建议金融消费者应增强自我保护意识和风险识别能力，理性评估自身还款能力，审慎借贷，警惕各类过度营销和虚假宣传 [6] - 协会表示将持续加强对涉金融App、小程序等数字渠道的自律管理工作，常态化开展自律检查，并适时启动小程序备案工作 [6] - “适时启动小程序备案工作”意味着对金融类小程序的管理将向前端延伸，从事后处置转向事前事中更全面的监管，通过备案可以更清晰地掌握市场主体情况，为精准施策、分类监管奠定基础 [6]

小程序在金融行业的应用现状 - 小程序凭借“无需下载、即开即用”的轻量化特性和强大社交传播能力，成为各类金融机构提供线上服务的重要渠道[1] - 服务范围已覆盖传统银行存理财、保险产品推介、消费金融及小额贷款等金融服务各个环节，显著提升服务便利性和可及性[2] 金融小程序安全风险总体情况 - 中国互联网金融协会抽样检查55款涉金融应用小程序，发现整体安全形势严峻，被抽检小程序均存在不同程度安全风险问题[5] - 平均每款小程序被发现18.13个风险问题[6] - 检出高危风险的小程序占比达到18.19%，主要集中在“密钥泄露”和“应用程序报错漏洞”等严重安全隐患[6] 技术安全风险具体表现 - 中危风险高度集中，38款小程序存在“代码未混淆”风险，30款小程序存在“内部域名泄露”风险[6] - 密钥泄露可能导致用户敏感信息大规模外泄和资金盗用风险，应用程序报错漏洞可能被利用实施注入攻击或获取系统内部信息[8] - 代码未混淆会降低攻击者分析门槛，使核心业务逻辑和接口参数容易被反编译[8] 违规展业行为 - 个别地方金融组织利用小程序渠道违规开展金融活动，某小贷公司通过50个小程序涉嫌开展高利贷等非法金融活动[9] - 此类行为违反国家利率管理及金融营销宣传规定，严重扰乱市场秩序并侵害消费者权益[9] 行业监管与自律措施 - 协会建议金融机构切实履行数字渠道管理主体责任，严禁借助小程序等新型渠道违规展业[10] - 要求小程序平台方履行生态治理责任，建立准入审核、日常监测与违规处置机制[10] - 协会将加强对涉金融小程序的自律管理，常态化开展检查，并适时启动小程序备案工作以实现事前事中监管[11]

人民财讯12月3日电，中国互联网金融协会发布涉金融应用小程序相关情况通告，近年来，小程序凭借 其轻量化、易触达等优势，已逐步成为各类金融机构提供线上服务的重要渠道，但同时存在一些风险隐 患，亟需相关各方共同采取行之有效的措施。协会近期对各类金融机构的55款涉金融应用小程序（微信 平台）组织开展了抽样检查。结果表明，当前小程序整体安全形势较为严峻，具体表现有：（一）55款 小程序均存在不同程度的安全风险，平均每款发现风险问题18.13个；（二）检出高危风险的小程序占 比18.19%，主要涉及"密钥泄露""应用程序报错漏洞"等严重安全隐患；（三）中危风险呈现高度集中特 征，38款小程序存在"代码未混淆"风险，30款存在"内部域名泄露"风险。协会已向相关金融机构进行风 险提示，并将督促机构限期整改。 ...