零壹财经金融APP评测榜(第三期50家)发布：银行APP专项评测

导语

零壹财经金融APP评测中心综合隐私政策、密码安全、个人信息安全3个评测指标，41项细分标准对50款金融APP（第三批）进行专项评测。

评测显示比较突出的问题包括：
 

1）用户明确表示不同意后仍频繁征求用户授权。存在该问题的APP有百信银行等；

2）未建立个人信息安全投诉渠道，未承诺15个工作日内受理并处理。存在这些问题的APP有蓝海银行、江苏银行、长沙银行APP等；

3）无需进行身份验证，可直接修改密码。宁波银行、盛京银行、上饶银行APP等均存在这些问题；

4）在用户进行身份验证时缺乏防截屏和录屏功能。包括华瑞银行、苏宁银行、上海银行APP等存在该问题。

 
2020年金融严监管态势依然，中国银保监会网站显示，多地银保监局近期连开罚单，北京农商行、建设银行、平安银行、中信银行等。从罚金看不乏千万级巨额罚单。
 

从罚单公示信息看，信贷业务违规、票据违规、违反审慎经营、违规销售依旧是银行业的痼疾。此外，还有一些过去较少披露出来的新问题在2020年也走到台前，这或许与今年银行资管转型力度加大等有一定的关系。
 

为规范金融APP信息收集和使用、加强个人信息保护，营造良好的金融环境，切实维护金融消费者合法权益，零壹财经金融APP评测中心于3月2日正式发布零壹金融APP评测榜（第一期50家）。  
 

第一期榜单发布后，中心相关评测工作得到了金融消费者、监管部门、相关企业、行业从业者等多方的广泛关注、支持及好评。
 

3月18日零壹金融APP评测中心发布金融APP评测榜(第三期50家)，针对50款银行APP从隐私政策、密码安全、个人信息安全方面进行合规专项评测。此次评测包括国有商业银行、股份制银行、城商行、民营银行、农商行。

数据来源：零壹智库

国有商业银行，对交通银行、中国银行、邮政储蓄3款APP进行评测，问题主要集中在隐私政策、个人信息安全，密码安全隐患等问题也较为集中。

股份制银行方面，对包括平安口袋银行、广发直销银行在内的10款APP进行评测，相对其他银行股份制银行表现最佳，隐私政策、密码安全、个人信息安全3个评测指标合规率较高，榜单排名靠前。
 

民营银行方面，对网商银行、富民银行、中关村银行在内的12款APP进行评测，问题主要集中在超范围收集信息，包括收集客户手持身份证照片、通话详单、通讯录、手机应用列表等，密码安全隐患等问题也较为集中。
 

一、不合规案例
 

1、部分个人信息未做屏蔽展示
 

根据央行在2019年发布的《移动金融客户端应用软件安全管理规范》“5.1.2.2个人金融信息展示”和“5.5.5 数据展示”均要求客户端应用软件（APP）在显示个人信息时，包括银行账号、身份证号码、手机号码、姓名等信息应进行屏展示，或由用户选择是否屏蔽展示，如需完整展示，应履行客户端身份验证。
 

一些银行APP仅针对身份证等信息进行了屏蔽展示，其他个人信息包括姓名和银行账户在没有任何屏蔽的情况下进行了展示，例如网商银行、金城个人金融（天津金城银行）、珠江直销银行APP（广州农商行）等均存在这些问题。

而在这方面做的比较好的，如招商银行“掌上生活APP”：在个人资料界面，将其手机号、姓名、证件号码、住址均进行了屏蔽处理。

2、频繁征求用户授权
 

根据网信办、工信部、公安部和市场监督总局在2019年发布的《APP违法违规收集使用个人信息行为认定方法》规定，用户明确表示不同意后，仍频繁征求用户同意收集权限的行为被认定为违法违规个人信息。
 

在评测中发现，百信银行APP在用户拒绝收集位置权限之后，仍频繁征求用户同意该权限。

3、未建立个人信息安全投诉渠道，未承诺15个工作日内受理并处理
 

根据《APP违法违规收集使用个人信息行为认定方法》规定，以下行为可被认定为“未公布投诉、举报方式等信息”，未建立并公布个人信息安全投诉、举报渠道，或未在承诺时限内(承诺时限不得超过15个工作日，无承诺时限 的，以15个工作日为限)受理并处理的。
 

同时，国家市场监督管理总局和国家标准化管理委员会在2020年发布的GB/T 35273-2020《信息安全技术个人信息安全规范》也规定，隐私政策中需要包含处理个人信息主体询问、投诉的渠道和机制，以及外部纠纷解决机构及联系方式。
 

显而易见，不符合该项要求的软件有蓝海银行、江苏银行、长沙银行APP等。

4、无需进行身份验证，可直接修改密码
 

央行《移动金融客户端应用软件安全管理规范》第5.1.4 要求，用户在修改密码前，应对用户身份进行验证，以确保用户真实身份和财产安全。这些验证要素包括登陆/支付密码、手势密码、短信验证码、生物特征等信息。
 

一些银行的APP在没有经任何身份验证的情况下，用户可直接进行密码修改，例如宁波银行、盛京银行、上饶银行APP均存在这些问题，对用户财产安全和信息安全造成严重的安全隐患。
 

关于密码修改前的身份验证，可参考恒丰银行APP。在用户修改登陆密码和交易密码时，均需要通过2种身份验证方式才能完成密码修改，包括原密码和短信验证码。

5、在用户进行身份验证时缺乏防截屏和录屏功能
 

根据央行JR/T 0092—2019《移动金融客户端应用软件安全管理规范》第5.5.1.1 数据防窃取，增强要求：客户端应用软件应实现身份认证过程的防截屏、录屏，如:输入手势验证码、登录口令等。
 

在评测的50款银行APP中，有24款APP没有防截屏和录屏功能。这些APP包括华瑞银行、苏宁银行、上海银行APP等。
 

在该方面，可参考招商银行“掌上生活”APP和民生银行“民生直销银行”APP的防录屏功能。其中“掌上生活”录屏中看不到密码输入情况，从而无法获取密码；而“民生直销银行”可获知用户打开录屏行为后，可立即禁止用户输入密码，防止密码泄露。
 

二、评分标准
 

零壹财经金融APP评测中心通过下载、注册、使用等环节，结合相关政策、规范，确定隐私政策、密码安全、个人信息安全3个评测指标，41项细分标准对50款金融APP进行专项评测。
 

评测指标及权重构成如下：隐私政策（40%），密码安全（40%），个人信息安全（20%）。

 

为保障用户的个人信息安全，零壹财经APP评测中心鼓励并提倡大家，将违法违规收集使用个人信息行为的APP告知我们，我们将会对这些APP出具测评并出具相关测评报告。
 

邮箱：zhaohuili@01caijing.com

免责申明：评测最终解释权归零壹财经APP评测中心所有。本文不构成任何投资建议！

2020年以来，受疫情蔓延和原油暴跌两只“黑天鹅”的影响，全球金融市场出现历史性动荡，是否会由此引发新一轮经济危机？各国通力合作，不遗余力地采取政策应对，是否能避免潜在危机？点击下方图片查看经济学家们对当前疫情下的全球经济形势研判。

点击识别图片或扫一扫查看更多报告