百款金融App隐私政策测评:六成未披露个人敏感信息收集规则
3月15日,“2019第六届金融3·15高峰论坛”在京举办。会上,南都个人信息保护研究中心和中国人民大学法学院未来法治研究院共同发布了《2019移动金融类App隐私政策透明度测评》(以下简称《报告》)。
《报告》显示,移动金融类App的隐私政策透明度整体上较于2018年有所提升,但是近八成App隐私政策透明度不及格,有六成App未向用户披露个人敏感信息收集规则,甚至还出现了明文传输短信、公积金账号密码等信息的行为。
近八成App隐私政策透明度不及格,包含积木盒子、陆金所等
根据测评标准,隐私政策透明度划分为高、较高、中等、较低、低五个层级。透明度越高,意味着隐私条款中关于企业如何收集、使用、存储和保护个人信息越全面。
100款App隐私政策透明度分布。
测评结果显示,在100款App中,没有一款App达到隐私政策透明度高的层级;11款App透明度较高,13款透明度中等,19款透明度较低;透明度低的App共57款,其中7款App没有任何隐私条款。
透明度较高的11款App多数为知名度较高的App,且多为大公司旗下的产品或服务。然而,57款透明度低的App的知名度虽没那么高,但也有一些人们耳熟能详的App,比如陆金所、积木盒子、同花顺等。
本次测评与2018年《移动金融用户个人信息安全测评报告》对比发现,尽管2019年的测评标准更加严格,但从透明度高的App数量和平均分来看,2019年的表现都优于2018年,整体平均分提高了7分左右,透明度低和较低的App占比也较2018年减少了11个百分点。
100款App隐私政策透明度分布。
不过,这并不意味着移动金融类App在隐私政策透明度已经做得很好。《报告》强调,虽然100款移动金融类App的隐私政策透明度大幅度提升,但是平均分仅为40.42分。相较于其他行业,移动金融类App的隐私政策透明度仍处在较低水平。
强制、过度收集用户个人信息现象严重
随着越来越多的用户使用互联网金融平台,与财产相关的个人敏感信息也被大量存储在这些平台上,但是,安全性却没有得到保障。多份报告显示,金融理财类诈骗均居各类诈骗案件之首。显然,这与金融平台对个人信息的重视程度和保护力度不够息息相关。
《报告》显示,在100款移动金融类App中,只有9款区分了个人信息和个人敏感信息;仅有13款在收集个人敏感信息前,提供了收集、使用规则并获取用户的明示同意,逾六成未披露任何相关条款,甚至还有个别App先收集再显示相关条款,比如招联金融。
“对于收集大量个人敏感信息的移动金融行业,区分个人信息和个人敏感信息、披露个人敏感信息的收集及使用规则,对考察一款App是否能够妥善保护用户的个人敏感信息至关重要”,《报告》指出,移动金融类App对用户个人信息保护的重视程度远远未达到监管要求,甚至连行业平均水平都没有达到。
此外,100款App中一揽子强制授权、过度收集用户个人信息、强制要求与不明第三方共享用户个人敏感信息的现象非常普遍。比如,盈盈有钱在隐私政策中表示,将“获取您最近6个月的信息记录,包括但不限于通话、短信、流量记录、运营商报告等”。
虽然一些App已经在隐私政策中明确告知用户收集和使用个人信息的情况,并称会保障用户的选择权,但是,实际上还存在强制或过度收集用户个人信息的情况。对用户来说,却难以知晓。因此,南都个人信息保护研究中心利用技术手段分析了部分App的iOS客户端和Android客户端个人信息收集情况。
检测发现,不少App通过捆绑甚至强制获取的方式,要求用户一次性同意多项敏感权限。一款名叫榕树贷款的App强制要求获取通讯录、通话记录、定位、相机权限,用户不同意就无法使用。
部分App明文传输短信、公积金账号密码等信息
除了一揽子强制用户授权外,移动金融类App还存在令用户完全意想不到的行为。
检测结果显示,榕树贷款(Android 3.3.3)可将用户的公积金账号、密码发送至其业务服务器,由后台代为查询,且使用的是明文传输。这意味着,黑客可以通过网络嗅探和劫持的方法获取这些信息,存在巨大的安全风险。除此之外,榕树贷款还被捕捉到有调用系统接口获取通话记录、联系人信息、短信记录等行为,并在数据流量中发现上述信息,代码中明文可见用户手机里的“老板该给我涨工资了”的短信内容。
值得注意的是,《报告》还发现,100款App隐私政策文本雷同的现象非常严重。比如,创客金融和京东金融分别隶属于不同的公司,但其隐私政策文本相似度高达75%。还有谊入贷和安逸花的隐私政策文本框架和表述顺序也是大同小异,文本重复率高达70%。
创客金融和京东金融的隐私政策。
“尽管移动金融类App的功能有很多相似的地方,但各自的管理制度、业务分工和人员规模都有很大差异,文本相似度如此之高,难免被怀疑有抄袭的成分”,《报告》认为,企业在满足合规要求的基础上,可以保留自己的特色,并根据实际业务需要撰写隐私政策文本,充分告知用户其权利和义务。