北京商报讯（记者廖蒙）11月12日，北京商报记者注意到，中国互联网金融协会（以下简称“协会”）披露新一期移动金融客户端应用软件典型违规案例，这是年内协会第八次公布相关违规案例。

　　根据披露内容，某移动金融App发送短信验证码时，短信内容中未告知短信验证码的用途。按照《移动金融客户端应用软件安全管理规范》（JR/T0092-2019）第5.1.1条），短信验证码所在的短信内容中，应告知用户短信验证码的用途。

　　针对这一情况，协会建议，移动金融App若采用短信验证码作为验证要素，短信验证码应仅使用一次，仅限于在规定时间内使用，短信验证码应具备长度和随机性的要求，短信验证码所在的短信内容中，应告知用户短信验证码的用途。

　　结合市场实践来看，作为一项非常基础且关键的安全验证手段，短信验证码在金融领域的应用中，几乎覆盖了所有需要确认用户身份真实性和操作授权的环节，包括用户注册、登录等账户安全管理，转账汇款、投资理财等涉及资金交易的操作，还有办理各类金融业务时的身份核实等环节。这一验证方式能让用户实时掌握账户动态，一旦发现非本人操作，可立即采取措施。

　　对于协会通报的典型违规案例，素喜智研高级研究员苏筱芮表示，短信验证属于机构风控的关键要素，移动金融App未在短信中告知验证码的用途，破坏了金融领域最基本的消费者知情原则。不仅可能让用户无法进行有效的安全确认和授权，还极大可能增加“钓鱼”网站诈骗的成功率。这类现状也表明，部分移动金融App仍存有合规缺陷，如长期忽视此类合规建设，将会给用户财产安全造成风险隐患。

　　围绕移动金融App的规范使用，协会早前启动了备案自律管理工作。数据显示，截至2025年6月底，累计836家机构的2664款移动金融App完成备案，2346家机构完成关联备案。在此前的通报中，协会也曾提到部分备案App存在代码逻辑设计缺陷、第三方信息共享未获得授权、强制用户使用定向推送等问题，需引起关注。

　　2025年以来，协会在对典型违规案例进行通报的同时，还对金融领域App开展了自律检查工作。据协会11月4日发布的消息，协会共对10款App进行了非现场检查，平均每款App问题近10个，包括“可获取用户密码明文信息”“更换设备首次登录未采用两种或两种以上要素对用户身份进行认证”“用户敏感信息未屏蔽展示”等严重风险问题。目前，各相关App运营机构正在进行整改。

　　苏筱芮强调，金融行业本身属于数据密集型行业，关乎用户的金融账户等敏感信息。对于从业机构而言，需要高度重视移动金融应用的合规工作，从顶层制度方面进行完善，建立起系统化的移动金融应用合规管理架构，认真落实风控手段，从源头为用户的财产安全与信息安全保驾护航。

　　博通咨询首席分析师王蓬博指出，金融机构在运营App时，守护消费者个人信息核心要紧扣目的明确和最小必要原则。具体来看，在信息收集环节，需明确告知用户收集目的与范围，杜绝过度索权；存储与传输阶段，必须采用加密等技术手段筑牢安全防线，严防密码、交易记录等敏感信息泄露；同时要建立严格的内部访问权限制度，并加强对第三方合作机构的管理，明确信息保护责任边界，通过全流程闭环管理确保用户信息安全。