哪些金融app违规收集个人信息呢

发布时间:2021/11/24 15:53:32来源:网络

  随着一批移动金融App备案清单的发布,规范金融数据安全成为2021年上半年金融科技监管的主旋律,尤其是密码保护和个人信息安全,是治理的重点。为了给金融App的治理提供进一步的参考,杜南金融合规研究组从消费者的角度对多个主流移动金融App进行了评分。现阶段主要关注移动金融app的个人信息安全合规性。

  上一期我们以24家金融科技公司的互金app为样本,今天我们推出了针对23家消费金融公司app的评测,也就是《2021年金融半年报》第三期移动金融app个人信息安全合规清单。评价标准以《App违法违规收集使用个人信息行为认定方法》、《App违法违规收集使用个人信息自评估指南》、《网络安全标准实践指南》为基础,围绕App手机访问、隐私政策文本、个人信息收集使用行为三个一级维度和48个子项制定评价指标。

  杜南金融合规研究组通过下载、注册和实际使用,对23家消费金融公司的App进行了专项评估。结果显示,获取权限和收集个人信息是App问题的“重灾区”。超过一半的应用程序在没有明确目的的情况下申请许可,超过30%的测试应用程序被强制获得许可,超过20%的应用程序没有在隐私政策中明确告知申请许可涉及的功能。此外,近一半的应用没有明确说明使用第三方代码插件(包括SDK),超过40%的应用没有明确说明收集个人信息的业务功能、目的、方式和范围,极少数应用仍然要求用户捆绑授权多个业务功能收集个人信息的请求。

  从总分来看,垫底的应用分别是湖北消费金融公司旗下的Hi Bag App、银豹消费金融、盛银消费金融、尹航消费金融旗下的肖邦消费金融、华融消费金融、金尚消费金融旗下的金翔钱包。总分都在85分以下,而总分超过90分的“相对优秀学生”只有苏宁消费金融、即刻消费金融公司旗下的安意华消费金融、平安消费金融。

  权限获取和个人信息收集已经成为金基App问题的“重灾区”

  与前两期评估对象不同,消费金融公司是中国银行业监督管理委员会监管的持牌金融机构,在业务合规性方面应有更严格的自我要求。然而,根据评估结果,消费金融应用在权限获取和个人信息收集方面存在严重问题。超过一半(52.17%)的消费金融app在权限获取部分得分低于80分,只有一款app得分高于90分。

  课题组认为,扣分项目集中在是否强制获取权限、是否在隐私政策中明确告知权限申请涉及的功能、所需权限是否为基本业务功能所必需、申请权限时是否向用户表达目的等方面。在个人信息收集部分,很多测试过的app都会收集个人信息,比如通讯录、通话详情、短信记录等。以提升使用体验和个性化服务为由,部分app将上述类别的信息作为信贷业务信息的采集范围。具体来说,70%的测试应用程序需要获得用户的通讯录权限并读取通讯录信息

  除了权限和个人信息收集,App还要求用户通过捆绑App的多个业务功能,一次接受和授权多个业务功能收集个人信息的请求。海尔消费金融公司旗下的海尔消费金融和够花两个应用涉嫌强迫用户捆绑并签署套餐协议。据课题组评估,上述两款app均要求用户在注册前同意“注册及相关协议”,包括《用户注册协议》 《消费信贷服务协议》 《个人信息使用授权》 《用户隐私政策》,其中《CFCA数字证书服务协议》 《个人信息使用授权》应在进入贷款申请业务后才签署,不应与注册协议、隐私政策等基础协议文件混在一起。

  此外,很少有应用程序在隐私政策的基本要求上有问题。《CFCA数字证书服务协议》规定了隐私政策的可及性。进入app主功能界面后,必须能够在4次点击之内访问隐私政策,隐私政策的链接位置突出且通畅。但是,盛银消费金融App的隐私政策可以在注册前使用

  见外,App里面不可访问。

  中邮钱包等获取权限均未明示用户

  在权限获取方面,本批次测评的App表现不佳,比较大的问题是获取权限未明示用户和强制获取权限。约57%的被测App申请权限时未弹窗明示目的,涉及App包括中邮消费金融公司旗下的中邮钱包、招联好期贷、幸福消费金融公司旗下的幸福花、北银消费金融旗下的易开花、消邦、海尔消费金融、够花、中银消费金融、包银消费金融、长银消费金融、盛银消费金融、晋享钱包、嗨袋;约35%的被测App强制获取权限,涉及App包括平安消费金融、马上金融、安逸花、中邮钱包、幸福花、够花、空手到、嗨袋;22%左右的被测App未能在隐私政策中清楚说明申请权限所涉及的业务功能,涉及App有平安消费金融、幸福花、易开花、包银消费金融、晋享钱包。

  《数据安全管理办法》明确指出,“不得因个人信息主体拒绝或者撤销同意收集上述信息以外的其他信息,而拒绝提供核心业务功能服务”,而课题组监测发现,本轮被测App强制获取授权的表现就是当用户拒绝授权后,无法使用App。比如中邮钱包,拒绝授权后立马闪退,必须要开启要求的权限后,才能使用App。而幸福花则是拒绝授权后App功能几乎完全不能使用,需要同时打开手机设备、位置和存储后,App才恢复正常运行。晋享钱包虽然没有在拒绝权限时禁止用户进入App,但是在当需要激活额度时,强制获取设备位置信息、访问通讯录和访问手机通话记录权限,用户必须同意上述几项授权,否则就进入不了下一步。

  《自评估指南》要求,当App打开系统权限时(不包括用户自行在系统设置中打开权限的情况),App应当说明该权限将收集个人信息的目的。但测评中我们发现,被测App往往只在隐私政策中有说明,并未在App中以弹窗等方式明确告知用户需要打开某一权限的目的,也未解释清晰所对应的是使用哪一个业务功能。这一方面可参考马上金融、安逸花App,对所需获取的权限在开屏时就进行弹窗提示,或参考招联金融、招联好期贷两个App的做法,在用户拒绝授权后弹窗提示用户,根据何种条款的要求、根据何种业务功能的需求,需要获取该项授权。

  中原消金等收集个人信息规则模糊不清

  获取权限之外,收集个人信息也是消金类App问题较为严重的部分。有近一半App未清晰说明第三方代码插件(含SDK)的使用情况,涉及App包括中原消费金融、幸福花、金美信金融、易开花、消邦、包银消费金融、华融消费金融、长银消费金融、盛银消费金融、晋享钱包、嗨袋。其中有82%的App完全没有提及任何关于第三方插件或SDK包的使用情况。而最新的《网络安全标准实践指南——移动互联网应用程序(App)个人信息安全防范指引》(征求意见稿)中规定,需要对嵌入的收集用户个人信息的第三方SDK进行披露,告知第三方SDK类型,及收集使用的个人信息的目的、方式和范围,如存在第三方SDK将个人信息传输至境外的,也需说明跨境传输个人信息的目的、类型和接收方等。

  而马上金融、安逸花、招联金融、招联好期贷、海尔消费金融、够花和空手到等App在第三方SDK的披露上做得比较好,以表格形式将设备类型、嵌入SDK名称、第三方机构名称、场景描述、个人信息类型、个人信息字段和数据是否去标识化传输等信息一一对应地披露给用户,易读性也较强。但值得注意的是,海尔消费金融在使用SDK表格中披露,使用了魔蝎科技提供的SDK技术获得公积金信息。据公开报道显示,2019年9月起,公安机关在“净网2019”行动中重点打击了一批大数据风控公司,这些公司运用爬虫技术为银行、消费金融公司、网贷平台提供用户的个人信息数据,其中就包括魔蝎科技。据业内人士介绍,目前大数据风控公司的公积金数据基本上都是利用爬虫技术从公积金网站上抓取,实际上并不合规。

  此外,还有超四成的App未清晰说明收集个人信息的业务功能、目的、方式和范围。比如中原消费金融并未按照核心业务功能来说明需要用户提供的个人信息,而是以“提升服务体验、改进服务质量、防范风险”为由,请用户同意“收集您的通讯录列表、通讯记录、相机/相册权限”等重要个人信息。华融消费金融在隐私政策中的表述也十分笼统,各项业务范围不清晰,使用“产品/服务”来大范围概括业务内容,其描述称:“您在使用我们的产品与/或服务时,我们会使用您的个人信息及其他在具体业务开展过程中基于您的同意而采集的信息进行资格审核、风险管理及控制,检测、预防及/或修复欺诈或其他潜在的非法活动。”

  测评标准说明

  本次测评,设定了手机权限获取、隐私政策文本和收集使用个人信息行为3个一级维度。满分100分,计分权重分别占比20%、50%和30%。

  在“手机权限获取”维度中,涉及用户进入App时,是否弹窗申请权限、是否强制获取权限、是否默认获取权限、申请权限是否明示目的等12个具体指标。其中,南都金融合规研究课题组重点考查了App在强制获取权限、申请权限是否明示目的、在隐私政策中是否明确告知申请权限涉及的功能等情况。

  在“隐私政策文本”维度下设隐私政策的独立性、易读性,清晰说明各项业务功能及所收集个人信息类型,清晰说明个人信息处理规则及用户权益保障,隐私政策等文件是否存在免责等不合理条款4个二级维度、26个具体指标,计分权重分别占比10%、50%、30%和10%。按一级维度权重算,满分50分。南都金融合规研究课题组重点考查了隐私政策中对个人信息收集规则、第三方代码插件和权限申请的相关问题。

  在“收集使用个人信息行为”维度中,主要测评了个人信息传输至第三方服务器时,是否通过弹窗提示等方式明确告知用户、收集个人信息前是否提供由用户主动选择同意或不同意的选项,是否由用户主动填写、点击、勾选等自主行为作为产品或服务的业务功能开启或开始收集个人信息的条件等10个具体指标。

相关文章