摘要
零壹财经金融APP评测中心综合隐私政策、密码安全、个人信息安全3个评测指标,41项细分标准对50款金融APP进行专项评测。
出品
零壹智库
年3月2日零壹财经金融APP评测中心对50款金融APP进行安全合规专项评测。此次评测覆盖银行、保险、基金、第三方支付、新金融平台、互联网金融等行业。
在评测的14款银行APP中,有13款在87~94分之间,而微众银行APP得分最低仅为61分,其存在“未公开收集使用规则”、“未经用户同意收集使用个人信息”等16项不合规问题。
保险方面,评测的众安保险、太平洋保险两款APP普遍得分较低,分别为60分、54分,问题主要集中在隐私安全、密码安全等方面。
基金方面,共计评测7款APP,其中万得理财在榜单中垫底,得分仅为39分,其隐私政策协议项目缺失。
新金融平台方面,本次对度小满、陆金所、同程理财、黄金钱包、美团金融、新浪金融、国美金融、滴滴金融、拉卡拉等多款常用新金融APP进行评测,发现上述APP在隐私政策、密码安全、个人信息安全等方面存在多项不合规问题。
表1:零壹财经50款金融APP评测榜单(第一批)
数据来源:零壹智库
一、评测背景
自年1月开始,网信办、工信部、公安部、市场监管总局四部门成立了工作组,决定在全国范围内开展APP违法违规收集个人信息专项治理行动,同时,针对APP违法违规收集个人信息行为也明确了处罚标准。
涉嫌违法违规收集使用个人信息的,将责令APP运营者限期整改;对于逾期不改的,公开曝光;情节严重者,APP将予以下架、暂停相关业务、停业整顿、吊销相关业务许可证或吊销营业执照,将受到行政处罚的违规主体纳入电信业务经营不良名单或失信名单等。
年9月中国人民银行在发布了《移动金融客户端应用软件安全管理规范》(JR/T-),针对APP个人信息安全、帐户安全、密码安全、数据安全、隐私政策等方面进行规范,并要求金融机构按照该标准对各自的金融APP进行整改。
为营造良好的金融环境,加强个人信息保护,切实维护金融消费者合法权益,零壹财经金融APP评测中心于3月2日启动金融APP进行专项评测工作。
二、评分依据
依据央行发布的《移动金融客户端营业软件安全管理规范》,并结合网信办、工信部、公安部、市场监管总局发布的《关于开展APP违法违规收集使用个人信息专项治理的公告》和《App违法违规收集使用个人信息行为认定方法》,以及工信部发布的《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》。
具体内容:
三、评分标准
零壹财经金融APP评测中心通过下载、注册、使用等环节,结合相关政策、规范,确定隐私政策、密码安全、个人信息安全3个评测指标,41项细分标准对首批50款金融APP进行专项评测。
评测指标及权重构成如下:隐私政策(40%),密码安全(40%),个人信息安全(20%)。
四、点评
案例1:微众银行
在这50款金融APP当中,银行类是得分最高的金融APP,除“微众银行”之外,其他13款银行APP在个人信息保护方面做的比较不错,得分在87~94分之间。而“微众银行”最终测评为61分,是测评得分最低的银行APP。
表2:14家银行金融APP测评结果
数据来源:零壹智库
经下载、注册、使用等环节,“微众银行”最终测评结果为:隐私政策7项不满足、密码安全有7项不满足、个人信息安全2项不满足,合计16项不满足评测标准,占评测项目的39%。以隐私政策为例,“微众银行”APP存在以下问题;
1、未经用户同意收集使用个人信息
在用户下载、安装、登录过程中(没有注册环节),均未弹窗提醒用户阅读《隐私政策》,并且在登录界面也未提供《隐私政策》等文件;除此之外,在用户使用过程中,也未出现征求用户同意《隐私政策》的环节。
根据《App违法违规收集使用个人信息行为认定方法》(简称《认定方法》),在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则,被认定为“未公开收集使用规则”;以默认选择同意隐私政策等非明示方式征求用户同意,均被认定为“未经用户同意收集使用个人信息”。
2、未按法律规定提供删除或更正个人信息功能
《认定方法》规定,未提供有效的更正、删除个人信息及注销用户账号功能,可被认定为“未按法律规定提供删除或更正个人信息功能”。
尽管在《微众银行隐私政策》第八条,提到了用户有注册、变更和注销账户的权利,但是并未详细说明注销账户的具体途径和方式,同时也未提供删除个人信息的功能。
因此,可以认为“微众银行”APP未按法律规定提供删除或更正个人信息功能。
案例2:小米金融
在新金融领域,共计有20款APP被列入评测范围,这些APP在隐私政策方面问题比较突出,其中收集与其业务无关的个人信息问题比较明显。
以“小米金融”APP为例,在其《隐私政策》第一章、第(一)节、第(5)条“与贷款服务相关的个人信息”中提到,其贷款业务还会收集已安装应用列表,并且还未提及其收集该信息的目的。
根据《信息安全技术移动互联网应用(App)收集个人信息基本规范(草案)》和《信息安全技术-个人信息告知同意指南》均未提及金融借贷业务收集用户已安装应用列表的目的和原因。
案例3:拉卡拉
“拉卡拉”APP在其《隐私政策》中显示:信贷业务,需要位置信息、设备信息和其他必要信息,以完成交易。很显然,位置信息和设备信息,与信贷业务并没有业务关联关系,即使参照《信息安全技术-个人信息告知同意指南》反洗钱要求,也未提到这些信息。
除了以上情况,还有大量的金融APP在密码安全和个人信息安全展示方面,存在严重的安全隐患。例如,关于密码安全,有的金融APP竟可以设置“”作为登录密码和支付密码,有的从未限制错误登录次。
为保障用户的个人信息安全,零壹财经APP评测中心鼓励并提倡大家,将违法违规收集使用个人信息行为的APP告知我们,我们将会对这些APP出具测评并出具相关测评报告。
邮箱:renwansheng
01caijing.