又一批移动应用(App)违规被通报!
据新华社报道,国家计算机病毒应急处理中心近期在“净网2020”专项行动中通过互联网监测发现,多款违法、违规有害移动应用存在隐私不合规行为,违反《网络安全法》相关规定,涉嫌超范围采集个人隐私信息。
此番被点名的24款应用中,有21款“未向用户明示申请的全部隐私权限,涉嫌隐私不合规”。其中,包括民生银行、兴业银行、内蒙古农信、内蒙古银行、海峡银行、鄂尔多斯银行在内的6款金融类App被点名。
根据通报,此番被点名的App集中于订票出行类、金融类App。
其中,深圳航空(版本5.3.1)、遨游旅行(版本5.6.2)、筐鲜生采购端(版本1.2.1)三款应用未经用户同意收集个人隐私信息,涉嫌隐私不合规。
而包括兴业银行(版本5.0.4)、内蒙古农信(版本2.4.6)、内蒙古银行(版本2.0.4)、海峡银行(版本2.4.8)、鄂尔多斯银行(版本3.1.0)在内的六个银行App也被国家计算机病毒应急处理中心点名。
理由则是“未向用户明示申请的全部隐私权限,涉嫌隐私不合规”。
针对上述情况,国家计算机病毒应急处理中心提醒广大手机用户:首先不要下载这些违法有害移动应用,避免手机操作系统受到不必要的安全威胁;其次,建议打开手机中防病毒移动应用的“实时监控”功能,对手机操作进行主动防御,这样可以第一时间监控未知病毒的入侵活动。
事实上,金融类App一直是不规范使用用户隐私信息的“重灾区”,监管部门也多次发文强调用户数据的规范使用。
2019年9月,央行发布《中国人民银行关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》(银发〔2019〕237号),明确要求了金融全行业需要加强个人金融信息保护。
12月初,中国互联网金融协会在京召开移动金融App备案管理工作试点启动会议,安排部署金融机构客户端软件备案试点工作,后续将在全国范围内分批次组织开展客户端软件备案推广等工作。
其中,首批试点机构包括16家银行类金融机构(含5家国有大行、5家股份行、3家城商行、2家农商行、1家农信联社)、4家证券基金保险类金融机构,以及蚂蚁金服、财付通、京东数科三家非银支付机构。
12月中旬,央行科技司司长李伟在出席公开论坛时表示,“前段时间,多部委在对App的整治过程中,下架了100多个App,其中金融类App是重灾区。后续,中国互联网金融协会要加快推动备案注册制度,加强对这些金融App的测评、认证工作,同时也会联合相关部委,对软件商店采取联动措施,对于不符合规定、有重大风险隐患的App,我们会及时采取下架的措施”。
针对国家计算机病毒应急处理中心的通报内容,券商中国记者测试发现,已有3款银行App在1月13日迅速更新其手机银行用户隐私政策,包括兴业银行、内蒙古银行、鄂尔多斯银行。
兴业银行App更新后的手机银行用户隐私保护条款显示,用户在注册手机银行用户时,其收集的个人信息包括:证件类型、证件号码、银行卡号、手机号等。
而在登陆手机银行时,用户需要向兴业银行提供证件类型、证件号码、银行卡号、手机号、刷脸认证、指纹认证、手势密码认证等信息。
此外,该行用户隐私保护条款显示,该行会使用证件类型、证件号码、手机号、设备型号、操作系统、唯一设备标识符、登录IP地址、操作日志、位置信息、面部图像(视频)、声音用于风险防范和诈骗监测等。
同时,该行会收集用户手机银行的频率、总体使用情况、性能数据以便改善使用体验。
记者亲测发现,在首次下载兴业银行App时,该行将询问是否允许访问设备上的照片、媒体内容和文件,是否允许获取设备信息(包括读取通话状态和移动网络信息),是否允许获取设备位置信息,但三个问题的答案并不影响是否能继续下一步。
不过,如果用户不同意更新后的手机银行用户隐私保护条款,兴业银行App将闪退。
兴业银行还于1月15日回应通报称,经紧急核查,确认该问题为手机银行安卓客户端(5.0.4版本)为强化互动功能,便于客户通过客户端一键拨打业务咨询电话与客户经理交流沟通,在系统安装时向手机操作系统申请了与“拨打电话”相关的权限,客户在向客户经理拨打电话前,手机银行客户端还会再次向客户询问是否允许“拨打电话”,该行并未通过该功能额外获取任何用户隐私信息。
兴业银行表示,该行第一时间与国家计算机病毒应急处理中心联系,在其指导下现已修订完善了用户隐私条款并更新,并对手机银行客户端APP程序进行了优化。客户可以照常安全使用该行手机银行客户端。
内蒙古银行、鄂尔多斯银行App则要求必须读取用户设备上的照片、媒体内容、文件,以及读取通话状态和移动网络信息等手机权限,否则App不可使用。
这两家银行也于1月13日更新其用户隐私政策。采集的个人信息包括姓名、身份证件信息、手机号码信息、短信验证码、银行卡信息、面容及指纹、设备型号、操作系统、唯一设备标识符、登陆IP地址、位置信息、读取电话状态等。
对于国家计算机病毒应急处理中心点名,民生银行在1月14日发布《关于手机银行客户隐私保护的声明》。
该行在声明中称,“高度重视客户隐私信息保护,采取了合理的安全措施,同时在手机银行向客户展示了隐私政策条款,并为保护客户隐私而不懈努力。”
另外,民生银行表示,“将根据有关方面最新要求不断完善客户隐私政策,持续强化客户隐私保护措施。”
记者实测时也发现,民生银行App要求用户必须允许其读取手机设备信息,并访问设备上的照片、媒体内容和文件,否则不可使用该App。
根据民生银行App公告,民生银行隐私政策更新于2019年3月12日。
该行在协议中披露,将收集和使用用户在使用该行产品、服务过程中产生的个人信息,包括在开户、注册及认证账户、信贷及投资理财过程中,用户主动提供的个人信息。
同时,该行还会收集用户在使用服务过程中产生的相关信息,以判断账户风险以及控制信贷风险、保障正常提供服务、对于该行系统问题进行分析、统计流量,并在发送异常信息时予以排查。
(1)日志信息:收集使用服务的详细情况,并作为网络日志进行保存,包括但不限于使用的语言、访问的日期和时间以及您请求网页记录、操作系统、软件信息、登录IP信息。
(2)设备信息:根据在软件安装及使用中的具体权限,接收并记录相关设备信息,设备型号、唯一设备标识符、操作系统、分辨率、电信运营商的信息及使用情况。
(3)搜索记录:使用站内搜索服务时,会收集您的搜索记录。
(4)位置信息: 推荐便捷的服务网点,便于使用网点查询、网点预约功能,收集位置信息。此外,该行还可能会在用户的授权同意范围内从第三方处收集并使用用户的个人信息,包括微信、微博、QQ等第三方跳转登陆,以及登陆民生银行微信小程序、公众号等。
此番被点名的4款银行App中,还有两款应用存在过度索取用户权限,甚至要求读取用户手机通讯录等问题。
譬如,内蒙古农信App除了要求读取获取位置信息、获取设备信息(读取通话状态和移动网络信息),并访问手机照片、媒体内容和文件外,还要求允许该App拍摄照片和视频、发送和查看短信,并要求访问用户手机通讯录。
其中,访问用户通讯录的具体情节包括:新建、修改、删除联系人和读取联系人。
如果用户不允许内蒙古农信App读取这些内容,将出现“关闭应用权限可能会造成应用无妨正常使用”的提示,并要求用户确认是否去设置权限。
而该农信社《个人信息保护政策》仅说明采集用户姓名、身份证号等内容,没有详细说明其采集的隐私信息范围。
海峡银行App也是如此,除了求读取获取位置信息、获取设备信息(读取通话状态和移动网络信息),并访问手机照片、媒体内容和文件外,还要求允许该App拍摄照片和视频。
如果用户不允许该App进行前述操作,将出现“您的设备未授权对应权限,请授权后再试”的提示信息,App无法使用。
券商中国是证券市场权威媒体《证券时报》旗下新媒体,券商中国对该平台所刊载的原创内容享有著作权,未经授权禁止转载,否则将追究相应法律责任。
ID:quanshangcn Tips:在券商中国微信号页面输入证券代码、简称即可查看个股行情及最新公告;输入基金代码、简称即可查看基金净值。