首页 > 专业知识 > ​200款金融APP评测:38%超范围搜集个人信息,56%存在密码安全隐患

​200款金融APP评测:38%超范围搜集个人信息,56%存在密码安全隐患

编者按:本文来自微信公众号“零壹财经”(ID:Finance_01),作者 金融APP评测中心,36氪经授权发布。

导语

2019年以来,央行屡次发文要求金融APP整改。

2020年4月2日,央行发布《关于开展金融科技应用风险专项摸排工作的通知》,要求各地央行及相关监管机构,依据相关法律制度、标准规范,对移动金融客户端应用软件、应用程序编程接口、信息系统和《金融科技应用风险专项摸排列表》要求内容开展专项摸排工作。要求各分支监管机构形成书面报告,并于2020 年10月31日前报送人民银行总行。

依据相关监管政策法规,零壹财经金融APP评测中心对200款金融APP进行专项评测,评测对象涵盖银行、保险、消费金融、支付、汽车金融等,评测内容包括隐私政策、密码安全、个人信息安全3个指标及41项细分标准。

评测发现金融APP存在的主要问题包括:超过38%的APP违反必要原则,超范围收集与其业务无关的个人信息;超过56%的APP修改登录密码时,存在安全隐患;超过45%的APP在用户不同意隐私政策时,强制退出,无法使用等。

针对这些突出问题,零壹财经金融APP测评中心根据相关政策法规提出整改建议,供业界参考。注:点击阅读全文,可查看金融APP评测完整榜单!

出品 | 零壹智库

作者 | 金融APP评测中心

为规范金融APP信息收集和使用、加强个人信息保护,营造良好的金融环境,切实维护金融消费者合法权益,并依据相关监管政策法规,零壹财经金融APP评测中心于2020年3月2日启动零壹金融APP评测专项工作。

中心相关评测工作得到了金融消费者、监管部门、相关企业、行业从业者等多方的广泛关注和支持。

一、200款金融APP评测结果:普遍存在不合规问题,银行类APP合规程度最高

通过对200款金融APP评测发现:

1. 所有被测金融APP都或多或少存在不合规问题

2. 超过38%的APP违反必要原则,超范围收集与其业务无关的个人信息;

3. 超过56%的APP修改登录密码时,存在安全隐患;

4. 超过45%的APP在用户不同意隐私政策时,强制退出,无法使用;

5. 得分超70的APP有130款,占比65%;

6. 银行类APP合规程度最高,评测平均分达80分。

表1: 200款金融APP评测情况

数据来源:零壹智库

传统持牌金融机构:共评测81款,该类包含银行及保险APP,平均分为78分。

其中:银行类APP,有61款得分超70,比例为88%,相较其他类别合规率最高,平均分最高。保险类APP,有5款得分超70,比例为42%。

新兴持牌金融机构:共评测33款,该类包含消费金融及支付APP,平均分为70分。

其中:消费金融类APP,仅有9款得分超70,比例仅为45%,相较其他类别存在问题较多,平均得分低。支付类APP,有11款得分超70,比例为85%。

新金融平台:共计评测85款,该类包含综合金融平台、理财、借贷、汽车金融、供应链金融APP,平均分为68分。

其中:综合金融平台类APP,有13款得分超70,比例为54%。理财平台类APP,有13款得分超70,比例为48%。借贷平台类APP,有17款得分超70,比例为57%。汽车金融类APP,1款得分超70,比例仅为25%。

二、传统持牌金融机构:14款银行类APP得分超90,保险类存在问题较多

1、银行类APP

银行类APP主要存在的问题: 

1)96%的银行类APP在用户输入信息时,没有即时防护功能;

2)52%的银行类APP未提供定向推送信息的选项;

3)54%的银行类APP在用户进行身份认证时,无防截屏、录屏功能。

表2:银行APP不合规情况

数据来源:零壹智库

所评测的69款银行APP相较其他类金融APP合规率最高,其中民生信用卡、江苏直销银行、光大惠生活等14款APP评测得分超90。

表3:69款手机银行APP评测情况

数据来源:零壹智库

阜新银行、兴业银行、华夏银行、柳州银行4款APP在密码安全方面合规率100%。民生信用卡、建设银行、农业银行、招商银行4款APP在隐私政策方面合规率100%。

表4: 90分以上的手机银行APP评测明细

数据来源:零壹智库

2、保险类APP

在所评测的12款保险类APP中仅有阳光保险在线APP评测得分超过80,近6成保险类APP得分在70分以下。

表5: 12款保险类APP评测情况

数据来源:零壹智库

保险类APP主要存在的问题:

1)所有保险类APP在用户输入信息时,无即时防护功能;

2)泰康在线、信美相互、慧择保险、水滴保险商城、众安保险等11款保险类;

3)APP在修改登录密码时,存在安全隐患;

4)掌上新华、太平洋保险等9款保险类APP未采取有效措施提醒客户避免设置与常用软件、网站相同或相似的户名和密码组合。

表6:保险类APP不合规情况

数据来源:零壹智库

三、新兴持牌金融机构:仅2家消费金融公司得分超过80

1、消费金融APP

在所评测的20家持牌消费金融APP中仅有苏宁消费金融、招联金融评测得分超过80,近6成得分在70分以下。

表7: 20款消费金融APP评测情况

数据来源:零壹智库

消费金融类APP主要存在的问题:

1)易开花、杭银金融、包银消费金融等15款消金APP违反必要原则,收集与其业务无关的个人信息;

2)幸福花、城一代、哈银消金等11款消金APP不支持用户撤回同意收集个人信息的途径和方式;

3)中银消费金融、锦程消金、长银消金等14款消金APP未提供定向推送信息的选项。

表8: 消费金融APP不合规情况

数据来源:零壹智库

2、支付类APP

在所评测的13款支付类APP中,云闪付、和包支付、美付宝、平安壹钱包评测得分超80,超8成支付类APP得分在70以上。

表9:13款支付类APP评测情况

数据来源:零壹财经·零壹智库

支付类APP主要存在的问题:

1)PayPal、随行付等4款APP支付类无安全投诉、举报渠道,且没有在15日内受理并处理相关问题;

2)翼支付、网易支付、微信钱包等7款支付类APP在密码重置时,没有使用短信验证码、用户注册信息校核等方式,对用户身份进行校验。

表10:支付类APP不合规情况

数据来源:零壹智库

四、新金融平台:得分低于60占比较高

1、综合金融平台

所评测的24款综合金融平台类APP涵盖金融机构、电商、互联网、房地产、通信、物流、出行、旅游、制造业等10个行业,其中平安普惠、苏宁金融、理财通、度小满评测得分超过80分。新浪金融得分最低仅为48分。

表11: 24款综合金融平台类APP评测明细

数据来源:零壹智库

综合金融平台类APP主要存在的问题:

1)所有综合金融平台类APP在用户输入信息时,没有即时防护功能;

2)美团金融、滴滴金融、小米金融、恒大财富等14款综合金融平台类APP用户登录时,未采用2种以上方式对用户身份进行认证。

表12:综合金融平台APP不合规情况

数据来源:零壹智库

2、理财平台类APP

所评测的27款理财平台类APP得分均未超过80,其中宜人财富、布谷农场、比财、万得理财评测得分在60分以下。

表13: 27款理财平台APP评测情况

数据来源:零壹智库

理财平台类APP主要存在的问题:

1)玖富钱包、黄金钱包等5款理财平台类APP无密码复杂度校验功能且无法保证用户设置的支付/交易密码达到一定的强度(如用户可设置密码为123456);

2)小赢理财、桔子理财、悟空理财等14款理财平台类APP未有安全措施,在用户长时间未响应后,重新对用户身份进行认证。

表14: 理财平台APP不合规情况

数据来源:零壹财经·零壹智库

3、借贷类平台类APP

在所评测的30款借贷平台类APP中,积木盒子、凤凰智信、众安小贷、我来数科4款APP评测得分超过80,而新橙优品、钱站评测得分在45分以下。

表15:30款借贷平台类APP评测情况

数据来源:零壹智库

借贷平台类APP主要存在的问题:

1)人人贷借款、360借条、分期乐、你我贷借款等25款借贷类APP在修改登录密码时存在安全隐患;

2)拉卡拉、大地时贷、维信卡卡贷等28款借贷类APP在用户输入信息时,没有即时防护功能。

五、突出问题政策解读及整改建议

零壹财经金融APP评测结果显示,在41项评测项目中,有5项不合规问题占比较高:

(1)38%的金融APP违反必要原则,收集与其业务无关的个人信息;

(2)35%的金融APP未向用户提供个人信息安全投诉和举报渠道;

(3)32%的APP在用户设置密码时,没有密码复杂度校验功能,允许用户将“123456”或“111111”等简单数字设置为交易密码,存在严重的安全隐患;

(4)54%的APP在用户进行身份认证输入密码时,没有防截屏、录屏功能。

表16:4项金融APP不合规问题及占比情况

数据来源:零壹智库

针对这些突出问题,零壹财经金融APP评测中心提出如下整改建议:

1. 违反必要原则,收集与其业务无关的个人信息

根据零壹财经评测结果,有38%的金融APP并不支持用户注销账户:其中消费金融公司的APP不合规占比最低,在75%左右;保险和借贷APP的不合规占比为50%。

根据GB/T 35273-2020《信息安全技术个人信息安全规范》和JR/T 0092—2019《移动金融客户端应用软件安全管理规范》要求,金融APP应遵循最小权限原则,不得收集与所提供服务无关的个人信息;不得以改善服务质量、提升使用体验、研发新产品、增强安全性等为由,强制要求用户同意收集个人信息。

常见的不合规行为有:收集用户通讯录、通话记录、短信记录、APP安装列表;在用户注销账户时,收集用户手持身份证照片;在非网络安全和运营安全目的下,收集手机设备唯一标示。

整改建议:金融APP运营者应遵循最小权限原则,不收集与所提供服务无关的个人信息。

2. 未提供个人信息安全投诉、举报渠道

根据评测结果,有35%的金融APP未向用户提供个人信息安全投诉、举报渠道:其中消费金融APP和理财APP不合规占比均超过50%。

根据GB/T 35273-2020《信息安全技术个人信息安全规范》和《关于开展App违法违规收集使用个人信息专项治理的公告》要求:金融运营者应向用户提供并公布个人信息安全投诉举报的渠道,并承诺在15个工作日内受理并处理。

整改建议:针对个人信息安全成立专项小组,并向用户提供电话、邮箱、智能客服等联系方式接受用户的投诉和举报;保证15个工作日内接受理并处理用户的投诉和举报;除此之外,还需提供外部投诉举报途径。

3. 没有密码复杂度校验功能,允许用户设置“123456“等简单密码

根据评测结果,有36%的金融APP没有密码复杂度校验功能,允许用户设置“1234567“或”111111“等简单数字作为登陆密码或交易密码。

根据JR/T 0092—2019《移动金融客户端应用软件安全管理规范》基本要求:客户端应用软件应配合服务端提供密码复杂度校验功能,保证用户设置的密码达到一定的强度,避免采用简单交易密码或与客户个人信息相似度过高的密码。

整改建议:可要求用户设置数字、字母和符号最少2种格式组成的密码,并且避免使用姓名、生日等个人信息作为密码组成。

4. 在用户进行身份认证时,没有防截屏、录屏功能

根据评测结果,有54%的金融APP在用户进行身份认证时,没有防截屏、录屏功能。

根据JR/T 0092—2019《移动金融客户端应用软件安全管理规范》数据防窃取增强要求:客户端应用软件应实现身份认证过程的防截屏、录屏,如:输入手势验证码、登录口令等。

整改建议:在用户登陆、修改、重置密码时,在交易时进行身份验证时,可通过技术手段,禁止手机截屏和录屏行为,避免用户个人信息和密码的泄露。

免责申明:

1、评测最终解释权归零壹财经APP评测中心所有。

2、本文不构成任何投资建议!

3、文中所涉及对于相关法律法规的注解已经过法律顾问确认。

相关推荐

​200款金融APP评测:38%超范围搜集个人信息,56%存在密码安全隐患
人民日报海外版:对App“强制索权”说不
App违法收集个人信息官方投诉渠道来了
金融APP越界?实测30款:有17款索取隐私权限
工信部通报58款APP侵害用户权益,金融理财为重灾区
这些APP在偷窥你的隐私
移动金融App加快推进 23家备案试点名单出炉
剑指APP违规收集个人信息!央行排查移动金融APP等
深圳消委会:租借QQ/微信账号存三大严重安全隐患
新规限app读取范围:金融借贷类不可强制读取通讯录

网址: ​200款金融APP评测:38%超范围搜集个人信息,56%存在密码安全隐患 http://m.xishuta.com/zhidaoview8758.html

所属分类:创业投资