中原消金等收集个人信息含糊其辞 平安消金等强制获取权限
来源:admin 时间:2020-09-02 09:06 浏览次数:

华夏消金等搜集个人信息闪烁其词 安全消金等强制获取权限

南方都市报 • 南都经济原创2020-09-01 12:54检查

跟着一批批移动金融App存案名单出炉,规范金融数据安全也成为2020年上半年金融科技监管作业的主旋律,特别暗码防护、个人信息安全等方面,是办理的聚集点。为给金融App办理作业进一步供给参阅,南都金交融规研讨课题组从顾客视点,针对一批干流移动金融App进行实测评分,本阶段首要聚集移动金融App个人信息安全合规。

上一期,咱们以24个金融科技公司旗下互金App为样本,今日则推出针对23个消费金融公司App的测评,即“2020财经半年报”之移动金融App个人信息安全合规榜第三期。测评规范以《App违法违规搜集运用个人信息行为确定办法》、《App违法违规搜集运用个人信息自评价攻略》和《网络安全规范实践攻略》为依据,测评目标环绕App手机权限获取、隐私方针文本和搜集运用个人信息行为3个一级维度、48个分项翻开。


南都金交融规研讨课题组经过下载、注册、实操运用等环节,本期专项测评了23个消费金融公司App的状况。成果显现,权限获取和个人信息搜集成消金类App问题“重灾区”。超对折App恳求权限时未明示意图,超三成所测App强制获取权限超两成App在隐私方针中未明晰奉告恳求权限触及的功用。近一半App未明晰阐明第三方代码插件(含SDK)的运用状况,还有四成的App未明晰阐明搜集个人信息的事务功用、意图、方法规模还有极个别App仍在要求用户绑缚授权多项事务功用搜集个人信息的恳求

从总分来看,垫底的App别离是湖北消费金融公司旗下的嗨袋App、包银消费金融、盛银消费金融、杭银消费金融旗下的消邦、华融消费金融、晋商消费金融旗下的晋享钱包,总分均在85分以下,而总分超越90分的“相对优异生”只要苏宁消费金融、立刻消费金融公司旗下的闲适花和安全消费金融三个App。


权限获取和个人信息搜集成消金类App问题“重灾区”

与前两期测评的目标有所不同,消费金融公司是受银保监会监管的持牌金融机构,在事务合规性方面,或应该有更严厉的自我要求。但从测评成果来看,消费金融类App在权限获取和个人信息搜集方面都有比较严峻的问题。超越对折(52.17%)的消费金融App在权限获取部分的得分在80分以下,90分以上的只要一个App。

依据课题组整理,扣分项目会集在是否强制获取权限、是否在隐私方针中专门奉告权限恳求触及的功用、要求获取的权限是否为根本事务功用为有必要、恳求权限时是否向用户明示意图等。而在个人信息搜集部分,较多被测App都以提高运用体会、个性化服务为由,搜集通讯录、通话详单、短信记载等个人信息,还有部分App将上述类意图信息作为信贷事务信息搜集规模。详细来看,有七成被测App要获取用户的通讯录权限,读取通讯录信息,仅有安全消费金融、立刻金融、闲适花、招联消费金融公司旗下的招联金融、招联好期贷、苏宁消费金融和盛银消费金融不搜集通讯录;有四成被测App要获取用户的短信详单;有四分之一以上的被测App要搜集用户的通话记载,触及立刻金融、闲适花、华夏消费金融、消邦、晋享钱包和嗨袋。

除了权限与个人信息搜集,还有App经过绑缚App多项事务功用的方法,要求用户一次性承受并授权赞同多项事务功用搜集个人信息的恳求,海尔消费金融公司旗下的两个款App海尔消费金融和够花就涉嫌逼迫用户绑缚签定一揽子协议。依据课题组测评,上述两个App在注册前就要求用户赞同“注册及相关协议”,包含《用户注册协议》《消费信贷服务协议》《个人信息运用授权》《用户隐私方针》《CFCA数字证书服务协议》,其间的《个人信息运用授权》《CFCA数字证书服务协议》《消费信贷服务协议》本应该是进入借款恳求事务环节才需求签定的协议,不应该和注册协议、隐私方针等根底协议文件混在一同,混杂用户视听,让用户在未留意到的状况下,一键签署这类协议。

此外,极个别App在隐私方针的根本要求方面出了问题,《自评价攻略》对隐私方针的易拜访性作出了规矩,进入App主功用界面后,经过4 次以内的点击,要可以拜访到隐私方针,且隐私方针链接方位杰出、无遮挡。但盛银消费金融App的隐私方针除了在注册前可见外,App里边不行拜访。


中邮钱包等获取权限均未明示用户

在权限获取方面,本批次测评的App体现欠安,比较大的问题是获取权限未明示用户和强制获取权限。57%的被测App恳求权限时未弹窗明示意图,触及App包含中邮消费金融公司旗下的中邮钱包、招联好期贷、美好消费金融公司旗下的美好花、北银消费金融旗下的易开花、消邦、海尔消费金融、够花、中银消费金融、包银消费金融、长银消费金融、盛银消费金融、晋享钱包、嗨袋;35%的被测App强制获取权限,触及App包含安全消费金融、立刻金融、闲适花、中邮钱包、美好花、够花、空手到、嗨袋;22%左右的被测App未能在隐私方针中清楚阐明恳求权限所触及的事务功用,触及App有安全消费金融、美好花、易开花、包银消费金融、晋享钱包。

《数据安全办理办法》明晰指出,“不得因个人信息主体回绝或许吊销赞同搜集上述信息以外的其他信息,而回绝供给中心事务功用服务”,而课题组监测发现,本轮被测App强制获取授权的体现便是当用户回绝授权后,无法运用App。比方中邮钱包,回绝授权后立马闪退,有必要要敞开要求的权限后,才干运用App。而美好花则是回绝授权后App功用简直彻底不能运用,需求一起翻开手机设备、方位和存储后,App才康复正常运转。晋享钱包尽管没有在回绝权限时制止用户进入App,可是在当需求激活额度时,强制获取设备方位信息、拜访通讯录和拜访手机通话记载权限,用户有必要赞同上述几项授权,不然就进入不了下一步。

《自评价攻略》要求,当App 翻开体系权限时(不包含用户自行在体系设置中翻开权限的状况),App 应当阐明该权限将搜集个人信息的意图。但测评中咱们发现,被测App往往只在隐私方针中有阐明,并未在App中以弹窗等方法明晰奉告用户需求翻开某一权限的意图,也未解释明晰所对应的是运用哪一个事务功用。这一方面可参阅立刻金融、闲适花App,对所需获取的权限在开屏时就进行弹窗提示,或参阅招联金融、招联好期贷两个App的做法,在用户回绝授权后弹窗提示用户,依据何种条款的要求、依据何种事务功用的需求,需求获取该项授权。

华夏消金等搜集个人信息规矩模糊不清

获取权限之外,搜集个人信息也是消金类App问题较为严峻的部分。近一半App未明晰阐明第三方代码插件(含SDK)的运用状况触及App包含华夏消费金融、美好花、金美信金融、易开花、消邦、包银消费金融、华融消费金融、长银消费金融、盛银消费金融、晋享钱包、嗨袋。其间有82%的App是彻底没有提及任何关于第三方插件或SDK包的运用状况。而最新的《网络安全规范实践攻略——移动互联网应用程序(App)个人信息安全防备指引》(征求意见稿)中规矩,需求对嵌入的搜集用户个人信息的第三方SDK 进行发表,奉告第三方SDK类型,及搜集运用的个人信息的意图、方法和规模,如存在第三方SDK 将个人信息传输至境外的,也需阐明跨境传输个人信息的意图、类型和接收方等。

而立刻金融、闲适花、招联金融、招联好期贷、海尔消费金融、够花和空手到等App在第三方SDK的发表上做得比较好,以表格方法将设备类型、嵌入SDK称号、第三方机构称号、场景描绘、个人信息类型、个人信息字段和数据是否去标识化传输等信息一一对应地发表给用户,易读性也较强。但值得注意的是,海尔消费金融在运用SDK表格中发表,运用了魔蝎科技供给的SDK技能取得公积金信息。据揭露报导显现,2019年9月起,公安机关在“净网2019”举动中要点冲击了一批大数据风控公司,这些公司运用爬虫技能为银行、消费金融公司、网贷渠道供给用户的个人信息数据,其间就包含魔蝎科技。据业内人士介绍,现在大数据风控公司的公积金数据根本上都是运用爬虫技能从公积金网站上抓取,实际上并不合规。

此外,还有四成的App未明晰阐明搜集个人信息的事务功用、意图、方法规模比方华夏消费金融并未依照中心事务功用来阐明需求用户供给的个人信息,而是以“提高服务体会、改善服务质量、防备危险”为由,请用户赞同“搜集您的通讯录列表、通讯记载、相机/相册权限”等重要个人信息。华融消费金融在隐私方针中的表述也非常抽象,各项事务规模不明晰,运用“产品/服务”来大规模归纳事务内容,其描绘称:“您在运用咱们的产品与/或服务时,咱们会运用您的个人信息及其他在详细事务展开过程中根据您的赞同而搜集的信息进行资历审阅、危险办理及操控,检测、防备及/或修正诈骗或其他潜在的非法活动。” 

【测评规范阐明】

本次测评,设定了手机权限获取、隐私方针文本和搜集运用个人信息行为3个一级维度。满分100分,计分权重别离占比20%、50%和30%。

在“手机权限获取”维度中,触及用户进入App时,是否弹窗恳求权限、是否强制获取权限、是否默许获取权限、恳求权限是否明示意图等12个详细目标。其间,南都金交融规研讨课题组要点考察了App在强制获取权限、恳求权限是否明示意图、在隐私方针中是否明晰奉告恳求权限触及的功用等状况。 

在“隐私方针文本”维度下设隐私方针的独立性、易读性,明晰阐明各项事务功用及所搜集个人信息类型,明晰阐明个人信息处理规矩及用户权益保证,隐私方针等文件是否存在免责等不合理条款4个二级维度、26个详细目标,计分权重别离占比10%、50%、30%和10%。按一级维度权重算,满分50分。南都金交融规研讨课题组要点考察了隐私方针中对个人信息搜集规矩、第三方代码插件和权限恳求的相关问题。

在“搜集运用个人信息行为”维度中,首要测评了个人信息传输至第三方服务器时,是否经过弹窗提示等方法明晰奉告用户、搜集个人信息前是否供给由用户自动挑选赞同或不赞同的选项,是否由用户自动填写、点击、勾选等自主行为作为产品或服务的事务功用敞开或开端搜集个人信息的条件等10个详细目标。


出品:南都财经新闻部

测评&数据搜集剖析:南都记者 熊润淼 

实习生 陈琪琦

制图:林泳希

修改:熊润淼

更多报导请看专题:2020财经半年报

上一篇:罕见病天价药为何难进医保?专家建议中国明确罕见病定义
下一篇:网约车新一轮角逐开启,花小猪上线,嘀嗒注册用户破1.8亿
Copyright © 2020 凯发k8体育凯发k8体育-凯发旗舰厅 All Rights Reserved Design by
广东省广州市天河区58号