315晚会曝光APP违规收集信息,200款金融APP 9成以上存在问题
互联网+ 任万盛 · 零壹智库 2020-07-18
出品 | 零壹智库
作者 | 任万盛
7月16日晚,原本惯例在3月15日晚播出的央视315晚会开播,今年晚会曝光的问题涉及饮食、日用品、汽车、教育等行业。包括A股上市公司在内的上汽集团、万科、招商蛇口等被点名。
晚会中曝光的手机超限违规收集个人信息情况备受消费者关注。据央视报道,上海市消费者权益保护委员会委托第三方对市场上的App进行检测,包括国美易卡、美期分期、口袋钱包、九秒贷、趣花呗等金融APP在内的50多款App,存在违规第三方SDK。
第三方SDK除了收集用户手机号码、设备信息之外,还会收集用户手机通讯录、短信信息、传感器信息等用户隐私信息。在采集之后还会发送至指定服务器进行存储。而相关信息一旦泄露可能给消费者带来极为严重的财务损失。
一、200款金融APP,9成以上在个人信息保护方面存在问题
近年来,金融消费类侵权问题频发,为营造安全健康的金融环境,零壹财经在今年2月份开展了金融APP个人信息安全评测活动,覆盖银行、保险、支付、消费金融、理财借贷等类型APP。
围绕隐私政策、个人信息安全和密码安全3个方面,设立了41项评测标准,通过下载、注册、使用等环节,对200款金融APP进行了评测。
结果显示,200款金融APP都或多或少存在不合规问题,其中问题最为严重的有:
1)用户不同意隐私政策,则强制退出,无法使用;
2)违反必要原则,收集与其业务无关的个人信息;
3)未向用户提供定向推送的选项;
4)未建立并公开个人信息安全投诉、举报渠道,或承诺反馈时间超过15个工作日。
二、案例分析
1. 同程理财(同程旅游APP)
根据零壹财经APP评测中心评测的41项中,有18项不满足要求。在隐私政策方面,同程理财存在以下问题:
1)没有关于同程理财业务的隐私政策,没有理财业务收集使用个人信息规则。
同程理财相关金融业务是搭建在同程旅游APP中,它的金融业务包括理财、借贷、信用卡、外币兑换等金融业务。在这个APP当中仅一份隐私政策,且未提及关于金融业务的个人信息收集使用规则。《网络安全法》第41条规定,网络运营者应当公开收集、使用规则,明确收集使用信息的目的、方式和范围。
2)违法必要原则,收集与其业务无关的个人信息。
在隐私政策中显示,在提供展示和推送产品和服务时,还向用户收集手机唯一设备识别符;在向第三方共享个人信息时,SDK还会收集IMEI、MAC地址、APP安装列表等信息。根据国家市场监督管理总局发布的《信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)》,App 不得收集不可变更的设备唯一标识(如 IMEI 号、MAC 地址等),用于保障网络安全或运营安全的除外;另一方面,在隐私政策中,也未提到收集APP安装列表的目的,并且在《信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)》提到的21类APP个人信息收集最小必要原则中,也未将APP软件列表纳入其最小范围。
2.美团金融(美团APP)
根据零壹财经APP评测中心评测的41项中,有15项不满足要求。在隐私政策方面,美团金融存在以下问题;
1)在用户首次登陆APP时,未提示用户阅读美团金融隐私政策。尽管在首次登陆APP时,有提示用户阅读隐私政策,但是均与其金融业务无关。
美团金融(美团APP)
2)违反必要原则,超范围收集个人信息。
在其隐私政策中提到,为保障账户和资金安全,需要用户提供手持身份证照片。然而,APP专项治理工作组(由全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会和中国网络空间安全协会组成)明确表示,APP运营者没有事先掌握手机号与“人证合一”照片之间的关联关系,这种行为属于典型的以“欺骗”方式收集个人敏感信息。
美团金融(美团APP)
3.宜人财富APP
根据零壹财经APP评测中心评测的41项中,有15项不满足要求。在隐私政策方面,宜人财富存在以下问题;
1)违反必要原则,超范围收集个人信息。
为提高个性化服务,宜人财富APP将收集用户设备唯一标识,根据国家市场监督管理总局发布的《信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)》,App 不得收集不可变更的设备唯一标识(如 IMEI 号、MAC 地址等),用于保障网络安全或运营安全的除外。
宜人财富APP
2)未建立并公开个人信息安全投诉、举报渠道,或承诺反馈时间超过15个工作日。
尽管宜人财富在个人信息保护方面制定了多项安全措施,设立信息安全委员会、信息安全部、数据安全小组等。但是对于个人信息投诉举报方面,仍存在不足,在关于个人信息投诉举报方面,未提供明确途径和方式,且关于个人信息的反馈时间长达30日,与监管机构规定的15日不符。
宜人财富APP
4.慧择保险
根据零壹财经APP评测中心评测的41项中,慧择保险APP至今仍有15项不满足,这些问题主要集中在隐私政策和密码安全方面。
1)用户在明确拒绝后,仍继续向用户索要权限。首次登录APP时,未有弹窗提醒用户阅读隐私政策。
《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范》(征求意见稿)第4条规定:个人信息主体明确拒绝使用某服务类型后,APP运营者不应频繁(如每48h超过一次)征求个人信息主体同意使用该类型服务。
2)除此之外,在密码安全方面,用户在登录、修改登录密码和支付密码时,也缺乏有效的保护机制。
5.中原消费金融
根据零壹财经APP评测中心评测的41项中,中原消费金融APP至今仍有14项不满足,这些问题主要集中在违反必要原则超范围收集用户信息。通过评测发现中原消费金融在未发生业务的情况下强制收集用户位置信息。
国家市场监督管理总局和中国国家标准化管理委员会在2020年1月联合发布的《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范》(征求意见稿)第4条规定:APP运营者不应收集与所提供的服务无关的个人信息;不应收集不可变更的设备唯一标示(如IMEI号、MAC地址等),用于保障网络安全或运营安全的除外。
同时《App违法违规收集使用个人信息行为认定方法》将收集与现有业务无关的个人信息认定为“违反必要原则,收集与其提供的服务无关的个人信息”。
相关文章:
1.200款金融APP评测:38%超范围搜集个人信息,56%存在密码安全隐患
4.零壹APP评测:你最常用的淘宝、闲鱼等网购APP安全吗?
5.又有16款APP侵害用户权益被工信部通报!零壹评测:视频类APP专题
6.中互金公示首批拟备案金融APP名单,备案成为金融机构合规必要条件
京公网安备 11010502039207号