3月15日,南都個人信息保護研究中心與中國人民大學金融科技與互聯網安全研究中心聯合發佈《移動金融用戶個人信息安全測評報告》。據瞭解,此次測評涵蓋200款移動金融交互類 App 產品,具體測評了隱私政策、敏感權限獲取、財產身份信息收集告知的合規程度。結果顯示,六成受測APP未經用戶明示同意就收集了用戶的財產身份信息。
據瞭解,移動金融類 APP 往往涉及到銀行賬戶信息、貸款及還款信息、公積金繳納信息、手機運營商信息等大量個人敏感信息。報告提醒,許多 APP 在收集用戶信息階段都做不到合法合規,在存儲和使用階段的安全性值得用戶警惕。
九成APP 隱私政策合規度低
其中20款任由用戶隱私“裸奔”
所謂移動金融,是以移動互聯網為基礎,以移動智能終端為載體,向用戶提供的隨時隨地隨身的金融服務。報告發布者稱,研究團隊根據日常生活相關度、用戶使用量和使用頻率等因素,選擇了公眾使用最為頻繁的200款移動金融交互類APP產品,對其隱私政策進行測評。
“隱私政策”,是企業與用戶之間規定基本權利義務的文件,用以告知用戶個人信息如何被收集、使用或是與第三方共享。它不僅是對企業的束縛,也是企業提示用戶自主、自願、合理提供和處理個人信息,並區分與用戶責任的依據。而用戶通過與企業簽署隱私政策協議,可以使自己的個人信息得到更好的保護。
此前,南都個人信息保護研究中心曾針對十多個行業的1550個網站和APP進行隱私政策測評,結果顯示,隱私政策合規程度高的網站和 APP極少,合規程度低的則佔到絕大多數,超過總數的80%。
與其他行業相比,移動金融類APP無疑更為特殊。這類 APP在提供服務的過程中涉及大量的敏感個人信息,因而更有必要提供完整、有效、合規的隱私政策。
但報告指出,200款APP中僅有2款能夠達到隱私政策合規程度高的標準,合規程度較高的有3款,高與較高的APP一共只佔總數的3%。合規程度中等的APP也僅有13款,佔比6%。這些 APP的測評得分超過60分,算作及格。在合規程度最高的幾款APP中,支付寶、京東金融評分並列第一,評分為95分;人人貸、小米金融並列第二,評分為82分。
200款移動金融交互類 APP 隱私政策合規程度百分比。
合規程度“較低”和“低”的APP分別為71款和111款,二者相加多達182款,超過總數的90%。其中,20款得分為0的APP完全沒有隱私政策,這意味著它們在收集用戶實名信息、銀行卡信息等敏感信息時,根本沒有作出任何保護用戶個人信息的承諾。報告指出,這樣的 APP 值得警惕。
報告還總結了200款 APP 的普遍失分點,包括未向用戶提供補充或刪除的有效途徑、未說明產品和服務停止運營時如何處理用戶個人信息等。這反映出,在網絡安全法、《電信和互聯網用戶個人信息保護規定》等法律法規已經有明確要求的情況下,企業仍沒有對用戶權益給予足夠的重視。
報告稱,總體來看,大部分APP 的隱私政策都存在言語模糊、更新緩慢、暗藏格式條款等弊病。從內容來看,描述企業權利以及可免除責任的居多,描述企業在保護用戶個人信息時應盡義務的寥寥。針對個人信息洩漏、毀損、丟失的情況,極少數企業明確提出將承擔法律責任並採取補救措施。事實上,這可以視為企業在削減自己的責任。
報告公佈隱私政策透明度紅黑榜。黑榜中的中國建設銀行、中國銀行、58車貸、中潮金服、綠化貸、精融匯、渝金所、E 都市錢包、錢內助、三信理財、誠匯通、易港金融、聚車金融、宜貸網、珠寶貸、中興財富、隆金寶、趣店、短 融網、來存吧票據理財-金融投資平臺均得分為0。
嚴重違背個人信息最小化收集原則
短信、通訊錄、地理位置通通拿走
《信息安全技術 個人信息安全規範》國家標準規定,互聯網產品收集用戶個人信息應符合最小化原則。根據這一原則,只有當用戶的個人信息與產品的業務功能有直接關聯時,產品才可以收集。以地圖類 APP 為例,用戶不提供地理位置信息,APP的功能就無法實現,因此地圖類 APP 收集用戶的地理位置信息符合最小化原則。
然而,200款移動金融 APP 在測評中表現糟糕。研究者考察了照片、錄音、手機通訊錄、手機短信、地理位置等敏感信息的收集情況後發現,絕大多數移動金融 APP抱著“無論是否需要,一律收集上來再說”的態度對待用戶個人信息,這已經嚴重違反最小化收集原則。
值得注意的是,200款移動金融交互類APP產品中,有95款向系統申請了讀取短信的權限,幾乎達到半數。
據瞭解,APP 調用讀取手機短信的權限,通常是為了幫助用戶自動填寫短信驗證碼。報告指出,就算移動金融APP沒有權限讀取手機短信,用戶依然能手動填寫短信驗證碼。
讀取短信與移動金融 APP 的業務功能沒有直接關聯,不符合收集個人信息最小化的原則。更重要的是,用戶的短信內容常常包含銀行卡餘額、改密驗證碼等敏感信息,一旦洩露後果嚴重。95款APP因此被扣分。收集地理位置信息也是移動金融APP違反最小化原則的重災區,173款APP 在此項被扣分。報告發布者稱,研究團隊在實際測評中嘗試拒絕APP讀取這項信息,並未發現對使用 APP 有任何影響。由此可見,無論是借貸類、支付類亦或理財類、實體銀行的線上產品,都沒有功能或服務必須依靠收集地理位置信息才能實現。
此外,97款獲取了讀取手機通訊錄的權限。報告指出,一些借貸類APP會通過讀取通訊錄信息向借債人的好友家人催債。但借貸催債目前仍處在法律的灰色地帶,未經借債人親友同意就打電話催債,無疑是一種騷擾。報告建議,借貸類APP的催債對象應該是借債人主動填寫的擔保人或其認為可以作為催債對象的親友,而不是通訊錄上的任意對象。
南都記者還注意到,部分移動金融 APP具有上傳身份證、更換頭像、掃一掃支付、金融論壇發帖等功能,這些功能需要照相機才能實現,可以被認為與業務功能有直接關聯。但據報告統計,163款APP獲取了照相機權限,僅有37款有相關的功能。
收集財產信息前理應“明示同意”
200款 APP卻有六成沒做到
移動金融APP 的一大特殊之處是需要收集用戶的財產和身份信息,包括銀行賬戶信息、貸款及還款信息、公積金繳納信息、手機運營商信息、工作單位信息、個人學歷信息等等。按照網絡安全法、消費者權益保護法等規定,收集此類信息之前,應取得用戶的明示同意。
一般而言,APP會在新用戶註冊頁面顯示相關文本協議,即 “明示”。用戶知曉協議內容,願意讓 APP 收集自己的信息,確認協議後才能完成註冊,即“同意”。但報告顯示,被測的200家移動金融 APP 中,六成APP 的“明示同意”過程很不規範。
此項測評總分15分,根據協議類型分成四檔給分。
據報告統計,126款 APP 未提供相關的文本協議,如拍拍貸、平安普惠、陸金所等。這意味著,用戶在註冊 APP 時沒有看到協議,也無從得知自己有哪些信息會被收集。
宅 e 貸(圖左)、陸金所(圖右)在收集用戶信息時均未獲得明示同意。
支付寶、京東金融、趣店等28款APP顯示了協議但沒有勾選框,也就是說,用戶想使用該 APP只能同意協議,沒有拒絕的權利。小米金融、拉卡拉、蘇寧金融等29款 APP在註冊頁面顯示了協議,也有勾選框,但已默認勾選。用戶若不同意協議內容,需手動取消勾選。不過報告指出,儘管這樣的做法沒有給予用戶充分的選擇權,按照相關法律和政策來看仍然屬於合規範疇。
京東金融(圖左)、愛錢進(圖右)在註冊界面顯示了協議但沒有勾選框。
只有17款 APP在“明示同意”方面做到了完全合規,顯示協議時提供勾選框且默認為未勾選狀態,需要用戶手動同意。這些APP 包括招聯金融、悟空理財、中融投等,在200款APP中僅佔8.5%。
招聯金融(圖左)、中融投(圖右)在註冊頁面顯示了協議且沒有默認勾選。
報告指出,APP獲取敏感隱私權限和收集敏感信息時的合規程度較低,這一方面是由於應用開放商沒有對於個人信息與個人敏感信息的區分意識,另一方面是由於與敏感權限相關的法律法規較少。對此報告發布者稱,財產信息、實名身份信息都屬於個人敏感信息,移動金融APP產品相比其他領域APP,會更頻繁地使用這類信息,如果在收集時都不能做到合法合規,那麼,其安全性與對個人敏感信息的重視程度都值得用戶警惕。
採寫:南都記者蔣琳 娜迪婭 馮群星 李玲 實習生尤一煒
閱讀更多 產業快評 的文章
