3月15日,南都个人信息保护研究中心与中国人民大学金融科技与互联网安全研究中心联合发布《移动金融用户个人信息安全测评报告》。据了解,此次测评涵盖200款移动金融交互类 APP 产品,具体测评了隐私政策、敏感权限获取、财产身份信息收集告知的合规程度。结果显示,六成受测APP未经用户明示同意就收集了用户的财产身份信息。

据了解,移动金融类 APP 往往涉及到银行账户信息、贷款及还款信息、公积金缴纳信息、手机运营商信息等大量个人敏感信息。报告提醒,许多 APP 在收集用户信息阶段都做不到合法合规,在存储和使用阶段的安全性值得用户警惕。

九成APP 隐私政策合规度低

其中20款任由用户隐私“裸奔”

所谓移动金融,是以移动互联网为基础,以移动智能终端为载体,向用户提供的随时随地随身的金融服务。报告发布者称,研究团队根据日常生活相关度、用户使用量和使用频率等因素,选择了公众使用最为频繁的200款移动金融交互类APP产品,对其隐私政策进行测评。

“隐私政策”,是企业与用户之间规定基本权利义务的文件,用以告知用户个人信息如何被收集、使用或是与第三方共享。它不仅是对企业的束缚,也是企业提示用户自主、自愿、合理提供和处理个人信息,并区分与用户责任的依据。而用户通过与企业签署隐私政策协议,可以使自己的个人信息得到更好的保护。

此前,南都个人信息保护研究中心曾针对十多个行业的1550个网站和APP进行隐私政策测评,结果显示,隐私政策合规程度高的网站和 APP极少,合规程度低的则占到绝大多数,超过总数的80%。

与其他行业相比,移动金融类APP无疑更为特殊。这类 APP在提供服务的过程中涉及大量的敏感个人信息,因而更有必要提供完整、有效、合规的隐私政策。

但报告指出,200款APP中仅有2款能够达到隐私政策合规程度高的标准,合规程度较高的有3款,高与较高的APP一共只占总数的3%。合规程度中等的APP也仅有13款,占比6%。这些 APP的测评得分超过60分,算作及格。在合规程度最高的几款APP中,支付宝、京东金融评分并列第一,评分为95分;人人贷、小米金融并列第二,评分为82分。

200款移动金融交互类 APP 隐私政策合规程度百分比。

合规程度“较低”和“低”的APP分别为71款和111款,二者相加多达182款,超过总数的90%。其中,20款得分为0的APP完全没有隐私政策,这意味着它们在收集用户实名信息、银行卡信息等敏感信息时,根本没有作出任何保护用户个人信息的承诺。报告指出,这样的 APP 值得警惕。

报告还总结了200款 APP 的普遍失分点,包括未向用户提供补充或删除的有效途径、未说明产品和服务停止运营时如何处理用户个人信息等。这反映出,在网络安全法、《电信和互联网用户个人信息保护规定》等法律法规已经有明确要求的情况下,企业仍没有对用户权益给予足够的重视。

报告称,总体来看,大部分APP 的隐私政策都存在言语模糊、更新缓慢、暗藏格式条款等弊病。从内容来看,描述企业权利以及可免除责任的居多,描述企业在保护用户个人信息时应尽义务的寥寥。针对个人信息泄漏、毁损、丢失的情况,极少数企业明确提出将承担法律责任并采取补救措施。事实上,这可以视为企业在削减自己的责任。

报告公布隐私政策透明度红黑榜。黑榜中的中国建设银行、中国银行、58车贷、中潮金服、绿化贷、精融汇、渝金所、E 都市钱包、钱内助、三信理财、诚汇通、易港金融、聚车金融、宜贷网、珠宝贷、中兴财富、隆金宝、趣店、短融网、来存吧票据理财-金融投资平台均得分为0。

严重违背个人信息最小化收集原则

短信、通讯录、地理位置通通拿走

《信息安全技术 个人信息安全规范》国家标准规定,互联网产品收集用户个人信息应符合最小化原则。根据这一原则,只有当用户的个人信息与产品的业务功能有直接关联时,产品才可以收集。以地图类 APP 为例,用户不提供地理位置信息,APP的功能就无法实现,因此地图类 APP 收集用户的地理位置信息符合最小化原则。

然而,200款移动金融 APP 在测评中表现糟糕。研究者考察了照片、录音、手机通讯录、手机短信、地理位置等敏感信息的收集情况后发现,绝大多数移动金融 APP抱着“无论是否需要,一律收集上来再说”的态度对待用户个人信息,这已经严重违反最小化收集原则。

值得注意的是,200款移动金融交互类APP产品中,有95款向系统申请了读取短信的权限,几乎达到半数。

据了解,APP 调用读取手机短信的权限,通常是为了帮助用户自动填写短信验证码。报告指出,就算移动金融APP没有权限读取手机短信,用户依然能手动填写短信验证码。读取短信与移动金融 APP 的业务功能没有直接关联,不符合收集个人信息最小化的原则。更重要的是,用户的短信内容常常包含银行卡余额、改密验证码等敏感信息,一旦泄露后果严重。95款APP因此被扣分。

收集地理位置信息也是移动金融APP违反最小化原则的重灾区,173款APP 在此项被扣分。报告发布者称,研究团队在实际测评中尝试拒绝APP读取这项信息,并未发现对使用 APP 有任何影响。由此可见,无论是借贷类、支付类亦或理财类、实体银行的线上产品,都没有功能或服务必须依靠收集地理位置信息才能实现。

此外,97款获取了读取手机通讯录的权限。报告指出,一些借贷类APP会通过读取通讯录信息向借债人的好友家人催债。但借贷催债目前仍处在法律的灰色地带,未经借债人亲友同意就打电话催债,无疑是一种骚扰。报告建议,借贷类APP的催债对象应该是借债人主动填写的担保人或其认为可以作为催债对象的亲友,而不是通讯录上的任意对象。

南都记者还注意到,部分移动金融 APP具有上传身份证、更换头像、扫一扫支付、金融论坛发帖等功能,这些功能需要照相机才能实现,可以被认为与业务功能有直接关联。但据报告统计,163款APP获取了照相机权限,仅有37款有相关的功能。

获取敏感权限的APP个数分布。

收集财产信息前理应“明示同意”

200款 APP却有六成没做到

移动金融APP 的一大特殊之处是需要收集用户的财产和身份信息,包括银行账户信息、贷款及还款信息、公积金缴纳信息、手机运营商信息、工作单位信息、个人学历信息等等。按照网络安全法、消费者权益保护法等规定,收集此类信息之前,应取得用户的明示同意。

一般而言,APP会在新用户注册页面显示相关文本协议,即 “明示”。用户知晓协议内容,愿意让 APP 收集自己的信息,确认协议后才能完成注册,即“同意”。但报告显示,被测的200家移动金融 APP 中,六成APP 的“明示同意”过程很不规范。

此项测评总分15分,根据协议类型分成四档给分。

据报告统计,126款 APP 未提供相关的文本协议,如拍拍贷、平安普惠、陆金所等。这意味着,用户在注册 APP 时没有看到协议,也无从得知自己有哪些信息会被收集。

宅 e 贷(图左)、陆金所(图右)在收集用户信息时均未获得明示同意。

支付宝、京东金融、趣店等28款APP显示了协议但没有勾选框,也就是说,用户想使用该 APP只能同意协议,没有拒绝的权利。小米金融、拉卡拉、苏宁金融等29款 APP在注册页面显示了协议,也有勾选框,但已默认勾选。用户若不同意协议内容,需手动取消勾选。不过报告指出,尽管这样的做法没有给予用户充分的选择权,按照相关法律和政策来看仍然属于合规范畴。

京东金融(图左)、爱钱进(图右)在注册界面显示了协议但没有勾选框。

只有17款 APP在“明示同意”方面做到了完全合规,显示协议时提供勾选框且默认为未勾选状态,需要用户手动同意。这些APP 包括招联金融、悟空理财、中融投等,在200款APP中仅占8.5%。

招联金融(图左)、中融投(图右)在注册页面显示了协议且没有默认勾选。

报告指出,APP获取敏感隐私权限和收集敏感信息时的合规程度较低,这一方面是由于应用开放商没有对于个人信息与个人敏感信息的区分意识,另一方面是由于与敏感权限相关的法律法规较少。对此报告发布者称,财产信息、实名身份信息都属于个人敏感信息,移动金融APP产品相比其他领域APP,会更频繁地使用这类信息,如果在收集时都不能做到合法合规,那么,其安全性与对个人敏感信息的重视程度都值得用户警惕。

采写:南都记者蒋琳 娜迪娅 冯群星 李玲 实习生尤一炜

声明:本文来自南方都市报,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。