8月5日，中国互联网金融协会发布移动金融客户端应用软件备案自律管理情况通报（2025年第1期）。通报表示，通过对备案App持续的日常风险监测，并结合有关监管部门的问题通报情况，备案App的安全风险态势总体平稳，整体安全水平较高。通过备案工作，多数备案机构已建立App管理的内控制度和安全评估机制，有效降低了安全风险。与此同时，部分备案App仍存在以下问题，需引起关注。

（一）代码逻辑设计存在缺陷

部分移动金融App代码逻辑设计存在缺陷且测试不充分。如申请连接使用蓝牙key等功能时，用户拒绝权限申请后，App重新运行时仍向用户弹窗申请该权限，且该权限与App当前服务场景无关。备案机构应避免频繁、过度索权的行为，及时明确告知用户索取权限的目的和用途，并充分进行测试以避免提前申请超出其业务功能的权限。

（二）第三方信息共享未获得授权

部分移动金融App向其他个人信息处理者提供其处理的个人信息时，未向个人告知接收方的相关信息且未取得个人的单独同意。此类问题的根源一是对用户告知环节的忽视，导致在涉及第三方的信息共享环节中，未能主动向用户披露相关信息并获取明确授权。二是对“单独同意”机制理解执行不足，未区分“单独同意”与一般同意，导致合规偏差。备案机构需建立健全内部审核机制，对涉及第三方的信息共享行为进行严格管控，确保符合法律法规要求。

（三）未明示第三方SDK收集个人信息情况

部分移动金融App使用第三方SDK收集用户个人信息，但备案机构未在App隐私政策中向用户告知该情况。建议备案机构在使用第三方SDK前对SDK个人信息保护能力进行评估，全面掌握其使用的第三方SDK收集个人信息范围，避免出现第三方SDK私自收集个人信息的违规情况。

（四）强制用户使用定向推送

某金融App未经用户同意，将收集到的用户搜索、浏览记录、使用习惯等个人信息用于定向推送，且未提供关闭功能。备案机构应高度重视消费者权益保护，建议其在App显著位置明示定向推送功能的存在，并以显著方式向用户标示其使用目的和关闭方式。

（五）收集与提供服务无关的个人信息

某金融App首次安装启动后，进入首页时即申请读取剪切板内容。备案机构在申请权限时，需评估申请权限是否与App当前功能直接相关，非必要的权限可能存在过度收集用户信息的风险。同时，在索权弹窗前应同步告知用户申请该权限的目的。