身份證信息不經同意就收集,兩百款移動金融APP六成不合規
金評媒(http://www.jpm.cn)編者按:報告提醒,許多APP在收集用戶信息階段都做不到合法合規,在存儲和使用階段的安全性值得用戶警惕。
3月15日,南都個人信息保護研究中心與中國人民大學金融科技與互聯網安全研究中心聯合發布《移動金融用戶個人信息安全測評報告》。據了解,此次測評涵蓋200款移動金融交互類APP產品,在2018年2月1-4日與2月17-20日兩次採樣,根據結果具體測評了隱私政策、敏感許可權獲取、財產身份信息收集告知的合規程度。結果顯示,六成受測APP未經用戶明示同意就收集用戶的財產身份信息。
移動金融類APP往往涉及到銀行賬戶信息、貸款及還款信息、公積金繳納信息、手機運營商信息等大量個人敏感信息。報告提醒,許多APP在收集用戶信息階段都做不到合法合規,在存儲和使用階段的安全性值得用戶警惕。
九成APP隱私政策合規度低
其中20款任由用戶隱私「裸奔」
所謂移動金融,是以移動互聯網為基礎,以移動智能終端為載體,向用戶提供的隨時隨地隨身的金融服務。報告發布者稱,研究團隊根據日常生活相關度、用戶使用量和使用頻率等因素,選擇了公眾使用最為頻繁的200款移動金融交互類APP產品,對其隱私政策進行測評。
「隱私政策」,是企業與用戶之間規定基本權利義務的文件,用以告知用戶個人信息如何被收集、使用或是與第三方共享。用戶通過與企業簽署隱私政策協議,可以使自己的個人信息得到更好保護。
此前,南都個人信息保護研究中心曾針對十多個行業的1550個網站和APP進行隱私政策測評,結果顯示,隱私政策合規程度高的網站和APP極少,合規程度低的則佔到絕大多數,超過總數的80%。
與其他行業相比,移動金融類APP無疑更為特殊。這類APP在提供服務過程中涉及大量敏感個人信息,因而更有必要提供完整、有效、合規的隱私政策。
但報告指出,200款APP中僅有2款能夠達到隱私政策合規程度高的標準,合規程度較高的有3款,高與較高的APP一共只佔總數的3%。合規程度中等的APP也僅有13款,佔比6%。這些APP的測評得分超過60分,算作及格。在合規程度最高的幾款APP中,支付寶、京東金融評分並列第一,評分為95分;人人貸、小米金融並列第二,評分為82分。
合規程度「較低」和「低」的APP分別為71款和111款,二者相加多達182款,超過總數的90%。其中,20款得分為0的APP完全沒有隱私政策,這意味著它們在收集用戶實名信息、銀行卡信息等敏感信息時,根本沒有作出任何保護用戶個人信息的承諾。報告指出,這樣的APP值得警惕。
需要注意的是,中國銀行與中國建設銀行由於是實體銀行的線上應用平台,與其他APP在用戶協議簽訂時略有不同。一般情況下,銀行APP的用戶往往已經在線下櫃檯完成面對面簽約再使用線上平台。因此有觀點認為,實體銀行的線上產品不需要再提示用戶協議與隱私政策。但本報告認為,線上收集個人信息與線下收集個人信息,在收集內容、存放方式、保護手段等都有很大不同,因此實體銀行的線上產品應當提供專門的隱私政策。
報告還總結了200款APP的普遍失分點,包括未向用戶提供補充或刪除的有效途徑、未說明產品和服務停止運營時如何處理用戶個人信息等。這反映出,在網路安全法、《電信和互聯網用戶個人信息保護規定》等法律法規已經有明確要求的情況下,企業仍沒有對用戶權益給予足夠重視。
報告稱,總體來看,大部分APP的隱私政策都存在言語模糊、更新緩慢、暗藏格式條款等弊病。從內容來看,描述企業權利以及可免除責任的居多,描述企業在保護用戶個人信息時應盡義務的寥寥。針對個人信息泄露、毀損、丟失的情況,極少數企業明確提出將承擔法律責任並採取補救措施。事實上,這可以視為企業在削減自己的責任。
嚴重違背個人信息最小化收集原則
簡訊、通訊錄、地理位置通通拿走
《信息安全技術個人信息安全規範》國家標準規定,互聯網產品收集用戶個人信息應符合最小化原則。根據這一原則,只有當用戶的個人信息與產品的業務功能有直接關聯時,產品才可以收集。以地圖類APP為例,用戶不提供地理位置信息,APP的功能就無法實現,因此地圖類APP收集用戶的地理位置信息符合最小化原則。
然而,200款移動金融APP在測評中表現糟糕。研究者考察了照片、錄音、手機通訊錄、手機簡訊、地理位置等敏感信息的收集情況後發現,絕大多數移動金融APP抱著「無論是否需要,一律收集上來再說」的態度對待用戶個人信息,這已嚴重違反最小化收集原則。
值得注意的是,200款移動金融交互類APP產品中,有95款向系統申請了讀取簡訊的許可權,幾乎達到半數。
據了解,APP調用讀取手機簡訊的許可權,通常是為了幫助用戶自動填寫簡訊驗證碼。報告指出,就算移動金融APP沒有許可權讀取手機簡訊,用戶依然能手動填寫簡訊驗證碼。讀取簡訊與移動金融APP的業務功能沒有直接關聯,不符合收集個人信息最小化的原則。更重要的是,用戶的簡訊內容常常包含銀行卡餘額、改密驗證碼等敏感信息,一旦泄露後果嚴重。95款APP因此被扣分。
收集地理位置信息也是移動金融APP違反最小化原則的重災區,173款APP在此項被扣分。報告發布者稱,研究團隊在實際測評中嘗試拒絕APP讀取這項信息,並未發現對使用APP有任何影響。由此可見,無論是借貸類、支付類亦或理財類、實體銀行的線上產品,都沒有功能或服務必須依靠收集地理位置信息才能實現。
此外,97款獲取了讀取手機通訊錄的許可權。報告指出,一些借貸類APP會通過讀取通訊錄信息向借債人的好友家人催債。但借貸催債目前仍處在法律的灰色地帶,未經借債人親友同意就打電話催債,無疑是一種騷擾。報告建議,借貸類APP的催債對象應該是借債人主動填寫的擔保人或其認為可以作為催債對象的親友,而不是通訊錄上的任意對象。
南都記者還注意到,部分移動金融APP具有上傳身份證、更換頭像、掃一掃支付、金融論壇發帖等功能,這些功能需要照相機才能實現,可以被認為與業務功能有直接關聯。但據報告統計,163款APP獲取照相機許可權,僅有37款有相關功能。
收集財產信息前理應「明示同意」
200款APP中有六成沒做到
移動金融APP的一大特殊之處是需要收集用戶的財產和身份信息,包括銀行賬戶信息、貸款及還款信息、公積金繳納信息、手機運營商信息、工作單位信息、個人學歷信息等。按照網路安全法、消費者權益保護法等規定,收集此類信息之前,應取得用戶的明示同意。
一般而言,APP會在用戶填寫銀行卡身份證等信息時顯示相關文本協議,即「明示」。用戶知曉協議內容,願意讓APP收集自己的信息,確認同意後才能完成信息收集,即「同意」。但報告顯示,被測的200家移動金融APP中,六成APP的「明示同意」過程很不規範。
(編輯:楊少康)
※激辯加密貨幣:資產代幣趨勢積極 支付代幣不會成全球貨幣
※險企資產負債匹配硬約束來臨 監管規則開始試運行
TAG:金評媒 |