目前，金融行业移动端APP的安全问题引发业界关注。一份行业报告评估了13万余款金融类APP，却发现70.22%存在高危漏洞。其中，互联网第三方支付、信托类APP的高危漏洞问题较为突出，保险、投资、理财类APP的高危漏洞问题也较为严重。不过“魔高一尺，路高一丈”，虽然金融类APP的问题时多时少，但对APP违规行为的整改也在逐步深入。11月4日，工信部宣布启动侵犯用户权益类APP专项整治工作，专项整治期限为即日起至2019年12月20日。有业内人士表示，种种迹象表明，互联网金融APP已成为个人信息泄露的重灾区，但在监管压力加大的情况下，互联网金融APP野蛮发展的时代或将走向终结。

超七成金融应用存在高危漏洞 数据易泄露

近年来，随着智能手机和移动互联网的快速发展，手机APP已经深入到人们的生活中。一方面，金融机构通过手机APP开展业务，用户在APP上进行投资、融资、借贷、交易、支付等活动也越来越频繁。另一方面，手机APP在给人们的生活带来极大便利的同时，相应的安全风险也随之而来。

据中国信息通信研究院近日发布的《2019金融行业移动APP安全观察报告》显示，截至2019年9月11日，中国信息通信研究院共收集了232个安卓应用市场的13万余款金融行业APP，发现70.22%的金融行业APP存在高危漏洞。攻击者可利用这些漏洞窃取用户数据、冒充APP、植入恶意程序、攻击服务等，对APP安全构成严重威胁，部分高危漏洞甚至存在造成APP数据泄露的风险。从APP分类来看，互联网第三方支付、信托类APP的高危漏洞较为突出，保险、投资理财类APP的高危漏洞也较为严重。

“种种迹象表明，互联网金融APP已成为个人信息泄露的重灾区。”中国民生银行研究所研究员、康东研究院专家郭小北在接受北京商报记者采访时表示，尽管近年来我国对金融APP出台了多项规定，但随着获客成本、运营成本、风险成本上升，多数金融借贷APP在收集个人信息时仍未遵循最少适足原则，存在违法收集使用借款人个人信息、强制或默认直接读取通讯录等情况。

郭小北进一步指出，“一些平台、借款人、催收公司、媒体、流量方等‘暗箱操作’，催生了互联网金融行业内外合谋骗贷、恶意逃债、暴力催收、敲诈勒索、黑市交易等问题。这些乱象行为并非法外之地。虽然惩治互联网金融乱象有着一定的法律基础，但法律体系的不完善、巨大的利益诱惑，仍然驱使一些参与者游走在违法的边缘。”

对此，中国银行法学研究会会长肖洒也指出，互联网金融APP违法违规现象突出，一方面受自身利益驱动，最常见的做法就是收集个人信息，经过大数据处理，然后在其手机上推送相关信息，影响用户，虽然转化过程比较缓慢，但利润却相当可观。另一方面，相关法律法规并不完善，个人信息保护虽然目前不是法律真空，但法律法规数量明显不足，特别是缺乏分级保护。刑法的保护确实有力，但并不是所有侵犯个人信息的行为都要受到刑法的制裁，相关行政法规不完善，对企业的处罚力度不够，这也是原因之一。

超40家互联网金融公司被点名整改，违法采集个人信息成重灾区

值得注意的是，目前，工信部、公安部、APP专项治理工作组等多方已针对涉及金融类互联网金融APP的违法违规问题频频采取行动。

据北京商报不完全统计，仅今年下半年，就有40多家互联网金融公司因违法违规App被点名整改。具体情况如下：7月8日，工信部点名18家互联网公司，涉及未公开用户个人信息收集使用规则、未告知查询更正​​信息渠道、未提供账户注销服务等问题。其中，互联网金融App包括暴风金融、51人品贷、融360、麦芽贷、九喵贷、布丁小额贷款、水享分期等。

此外，7月11日、16日，App专项治理工作组连续发布两份报告，称共有70款App在收集个人信息方面存在违规行为。北京商报记者注意到，其中，涉案违规App中，近三成涉及金融互助，涉及的机构包括趣店、快贷、网信、趣店来分期、闪电贷、即贷、借花花贷、生贝、小花钱包、小赢卡贷、宜人贷、同花顺等20余家公司。

8、9月份，广东省公安厅也曝光了小牛在线、急用钱借、百经信用贷、嘉联支付旗下利刷APP、鑫汇贵金属、口袋贵金属等互联网金融APP的违法违规行为。此外，9月15日，国家计算机病毒中心发布移动APP违法违规行为及治理措施，其中，分期宝等下载量较高的多款金融APP榜上有名。

值得注意的是，监管还在加大对违法违规企业APP整改的处罚力度。11月4日，工信部宣布启动侵犯用户权益APP专项整治行动。即日起，将针对当前用户反映强烈的一些侵犯用户权益问题，开展为期两个月的整改行动。

工信部表示，将重点针对违法收集个人信息、违法使用个人信息、不合理请求用户权限、设置用户注销账号障碍四个方面开展监管工作，整改私自收集个人信息、超范围收集个人信息、私自向第三方共享用户信息、强制用户使用定向推送功能、不允许使用权限、频繁申请权限、过度请求权限、设置用户注销账号障碍等八项问题。

据了解，本次整改主要针对App服务商和App分发服务商（应用商店）。主要专项整改工作分为企业自查自纠阶段（通知发布之日起至11月10日）、监督抽查阶段（2019年11月11日至11月30日）、结果处置阶段（2019年12月1日至2019年12月20日）。对存在问题的App，工信部将统一通报。具体措施包括责令整改、向社会公布、组织下架App、停止App接入服务、将受到行政处罚的违法者纳入电信业务经营不良名单或失信名单等。

企业整改需提前做好合规准备

从工信部专项整治的时间要求来看，留给机构整改的时间已经不多了。对于整改进展，北京商报采访了前述大部分互联网金融APP，部分平台回应称已按照相关规定上线新版本，也有平台表示将按照监管要求按时整改。

整改期间，互联网金融机构应关注哪些问题？国家互联网金融安全技术专家委员会（以下简称“专家委员会”）在接受北京商报记者采访时指出，金融APP在采集个人数据时，应注意数据采集的最小化和必要性。目前专家委员会正在考虑利用区块链技术开发个人数据安全共享平台，通过用户自主控制个人数据的授权使用，企业在用户授权、部门监督下阳光使用个人数据，降低互联网金融APP对个人数据重复采集、过度采集、多次存储的成本和风险，保障用户作为个人数据主体的合法权益，促进个人数据合规流动。

杭州电子科技大学教授徐卫东也指出，金融APP合规化的目标其实很明确，就是根据金融产品、风控、贷后的需求，找到“最少”和“必要”的信息项，然后交由客户端开发相应的信息提取功能，而不是像以前客户端把能拿到的信息都塞到后端存储里，再看哪些信息可以用来处理变量。互联网金融经过过去四五年的发展，风控已经比较成熟，实现这样的转型应该不难。

肖洒告诉北京商报，机构首先要提前做好企业合规准备，规避APP的法律风险。同时，如果在运营过程中遇到法律问题，也要及时处理，不能置之不理。她进一步表示，大数据是一条重要的监管红线，企业利润固然重要，但也必须处在安全的环境中。目前金融行业的移动APP或多或少存在一些收集个人信息的问题，但野蛮生长的时代很快就会结束，企业应尽早检查，规避法律风险。

北京商报记者孟繁霞、实习记者刘思宏