12月17日訊（記者 金磊）12月17日，中國互聯網金融協會通報了違規移動金融App的自律檢查情況。

通報顯示，今年9月，協會組織對10款App開展了非現場檢查，發現了一些問題和風險。相關App運營機構高度重視，及時研究制定整改措施，并積極組織落實。從通報情況看，其中涉及多家銀行運營的APP。

從涉及銀行的APP整改進展來看，截至12月16日，本溪銀行、黑龍江農信、黃河銀行已完成整改，寧夏銀行、哈密市商業銀行基本完成整改，僅韓亞銀行一家仍在整改中。

協會要求，請尚未完成整改的App運營機構盡快按照要求完成整改。

協會還表示將常態化開展App自律檢查工作，聚焦個人信息保護、安全防護、數據安全等方面的突出問題，通過定期檢查、專項檢查等方式，進一步提升行業安全合規水平。

問題清單涵蓋三大領域

隨著銀行業數字化轉型的深入，手機銀行APP已成為重要的業務承載渠道。然而，金融APP業務范圍變得越來越廣，給金融業帶來了一系列安全合規風險挑戰。

從《自律檢查發現問題清單》來看，問題分類一共涵蓋了三塊，包括個人信息保護、安全防護以及數據安全。

注意到，安全防護中的身份認證安全問題存在較多問題，主要表現為App已登錄狀態下姓名、銀行卡號未屏蔽展示，App在輸入密碼時未提供即時防護功能。

根據《移動金融客戶端應用軟件安全管理規范》中安全輸入基本要求：客戶端應用軟件應提供客戶輸入銀行卡支付密碼和網絡支付支付密碼的即時防護功能，客戶端應提供以下安全控制措施，或其他經攻擊測試無法獲取明文的安全防護措施。a)采取替換輸入框原文；b)逐字符加密、字符加密；c)防范鍵盤竊聽；d)采用自定義軟鍵盤。

此外，處于已登錄狀態時，對于銀行卡號、客戶法定名稱、手機號碼、證件類或其他識別標識信息等可以直接或組合后確定信息主體的信息應進行屏蔽展示，或由用戶選擇是否屏蔽展示，如需完整展示，應履行客戶端身份驗證，并做好此類信息管理，防范此類信息泄露風險。

在個人信息保護也是重災區，包括未經用戶同意收集使用個人信息、違反必要原則，收集與其提供的服務無關的個人信息、未按法律規定提供刪除或更正個人信息功能或未公布投訴、舉報方式等信息等問題。

移動金融APP合規持續強監管

去年3月，國家金融監管總局發布《銀行保險機構數據安全管理辦法（征求意見稿）》，要求銀行保險機構按照明確告知、授權同意原則處理個人信息，收集個人信息應限于最小范圍，不得過度收集。截至目前，不少銀行已更新手機銀行隱私政策。

據不完全統計，2024年以來已有超20家銀行因移動應用隱私不合規問題被國家計算機病毒應急處理中心通報，包括樂山商業銀行、昆山農商銀行、蘇州農商銀行、江蘇長江商業銀行、湖北銀行、湖北農信等等，違規的銀行機構主要聚集在中小銀行中。

就原因來看，幾乎都與個人信息保護搜集相關，例如APP未向用戶明示未經用戶同意，且無合理的使用場景，存在頻繁自啟動或關聯啟動的行為；隱私政策難以訪問、未聲明APP運營者的基本情況、未聲明隱私政策時效；處理敏感個人信息未取得個人的單獨同意等等。

對于金融機構而言，需高度重視移動金融APP的合規工作，建立起系統化的移動金融應用合規管理架構，認真落實風控合規，從源頭為用戶的財產安全與信息安全保駕護航。

作為用戶，必須認真閱讀其用戶協議和隱私政策說明，不隨意開放和同意不必要的隱私權限，不隨意輸入個人隱私信息，定期維護和清理相關數據，避免個人隱私信息被泄露。