200款金融APP评测:38%超范围搜集个人信息,56%存在密码安全隐患
编者按:本文来自微信公众号“零壹财经”(ID:Finance_01),作者 金融APP评测中心,36氪经授权发布。
导语
2019年以来,央行屡次发文要求金融APP整改。
2020年4月2日,央行发布《关于开展金融科技应用风险专项摸排工作的通知》,要求各地央行及相关监管机构,依据相关法律制度、标准规范,对移动金融客户端应用软件、应用程序编程接口、信息系统和《金融科技应用风险专项摸排列表》要求内容开展专项摸排工作。要求各分支监管机构形成书面报告,并于2020 年10月31日前报送人民银行总行。
依据相关监管政策法规,零壹财经金融APP评测中心对200款金融APP进行专项评测,评测对象涵盖银行、保险、消费金融、支付、汽车金融等,评测内容包括隐私政策、密码安全、个人信息安全3个指标及41项细分标准。
评测发现金融APP存在的主要问题包括:超过38%的APP违反必要原则,超范围收集与其业务无关的个人信息;超过56%的APP修改登录密码时,存在安全隐患;超过45%的APP在用户不同意隐私政策时,强制退出,无法使用等。
针对这些突出问题,零壹财经金融APP测评中心根据相关政策法规提出整改建议,供业界参考。注:点击阅读全文,可查看金融APP评测完整榜单!
出品 | 零壹智库
作者 | 金融APP评测中心
为规范金融APP信息收集和使用、加强个人信息保护,营造良好的金融环境,切实维护金融消费者合法权益,并依据相关监管政策法规,零壹财经金融APP评测中心于2020年3月2日启动零壹金融APP评测专项工作。
中心相关评测工作得到了金融消费者、监管部门、相关企业、行业从业者等多方的广泛关注和支持。
一、200款金融APP评测结果:普遍存在不合规问题,银行类APP合规程度最高
通过对200款金融APP评测发现:
1. 所有被测金融APP都或多或少存在不合规问题
2. 超过38%的APP违反必要原则,超范围收集与其业务无关的个人信息;
3. 超过56%的APP修改登录密码时,存在安全隐患;
4. 超过45%的APP在用户不同意隐私政策时,强制退出,无法使用;
5. 得分超70的APP有130款,占比65%;
6. 银行类APP合规程度最高,评测平均分达80分。
表1: 200款金融APP评测情况
数据来源:零壹智库
传统持牌金融机构:共评测81款,该类包含银行及保险APP,平均分为78分。
其中:银行类APP,有61款得分超70,比例为88%,相较其他类别合规率最高,平均分最高。保险类APP,有5款得分超70,比例为42%。
新兴持牌金融机构:共评测33款,该类包含消费金融及支付APP,平均分为70分。
其中:消费金融类APP,仅有9款得分超70,比例仅为45%,相较其他类别存在问题较多,平均得分低。支付类APP,有11款得分超70,比例为85%。
新金融平台:共计评测85款,该类包含综合金融平台、理财、借贷、汽车金融、供应链金融APP,平均分为68分。
其中:综合金融平台类APP,有13款得分超70,比例为54%。理财平台类APP,有13款得分超70,比例为48%。借贷平台类APP,有17款得分超70,比例为57%。汽车金融类APP,1款得分超70,比例仅为25%。
二、传统持牌金融机构:14款银行类APP得分超90,保险类存在问题较多
1、银行类APP
银行类APP主要存在的问题:
1)96%的银行类APP在用户输入信息时,没有即时防护功能;
2)52%的银行类APP未提供定向推送信息的选项;
3)54%的银行类APP在用户进行身份认证时,无防截屏、录屏功能。
表2:银行APP不合规情况
数据来源:零壹智库
所评测的69款银行APP相较其他类金融APP合规率最高,其中民生信用卡、江苏直销银行、光大惠生活等14款APP评测得分超90。
表3:69款手机银行APP评测情况
数据来源:零壹智库
阜新银行、兴业银行、华夏银行、柳州银行4款APP在密码安全方面合规率100%。民生信用卡、建设银行、农业银行、招商银行4款APP在隐私政策方面合规率100%。
表4: 90分以上的手机银行APP评测明细
数据来源:零壹智库
2、保险类APP
在所评测的12款保险类APP中仅有阳光保险在线APP评测得分超过80,近6成保险类APP得分在70分以下。
表5: 12款保险类APP评测情况
数据来源:零壹智库
保险类APP主要存在的问题:
1)所有保险类APP在用户输入信息时,无即时防护功能;
2)泰康在线、信美相互、慧择保险、水滴保险商城、众安保险等11款保险类;
3)APP在修改登录密码时,存在安全隐患;
4)掌上新华、太平洋保险等9款保险类APP未采取有效措施提醒客户避免设置与常用软件、网站相同或相似的户名和密码组合。
表6:保险类APP不合规情况
数据来源:零壹智库
三、新兴持牌金融机构:仅2家消费金融公司得分超过80
1、消费金融APP
在所评测的20家持牌消费金融APP中仅有苏宁消费金融、招联金融评测得分超过80,近6成得分在70分以下。
表7: 20款消费金融APP评测情况
数据来源:零壹智库
消费金融类APP主要存在的问题:
1)易开花、杭银金融、包银消费金融等15款消金APP违反必要原则,收集与其业务无关的个人信息;
2)幸福花、城一代、哈银消金等11款消金APP不支持用户撤回同意收集个人信息的途径和方式;
3)中银消费金融、锦程消金、长银消金等14款消金APP未提供定向推送信息的选项。
表8: 消费金融APP不合规情况
数据来源:零壹智库
2、支付类APP
在所评测的13款支付类APP中,云闪付、和包支付、美付宝、平安壹钱包评测得分超80,超8成支付类APP得分在70以上。
表9:13款支付类APP评测情况
数据来源:零壹财经·零壹智库
支付类APP主要存在的问题:
1)PayPal、随行付等4款APP支付类无安全投诉、举报渠道,且没有在15日内受理并处理相关问题;
2)翼支付、网易支付、微信钱包等7款支付类APP在密码重置时,没有使用短信验证码、用户注册信息校核等方式,对用户身份进行校验。
表10:支付类APP不合规情况
数据来源:零壹智库
四、新金融平台:得分低于60占比较高
1、综合金融平台
所评测的24款综合金融平台类APP涵盖金融机构、电商、互联网、房地产、通信、物流、出行、旅游、制造业等10个行业,其中平安普惠、苏宁金融、理财通、度小满评测得分超过80分。新浪金融得分最低仅为48分。
表11: 24款综合金融平台类APP评测明细
数据来源:零壹智库
综合金融平台类APP主要存在的问题:
1)所有综合金融平台类APP在用户输入信息时,没有即时防护功能;
2)美团金融、滴滴金融、小米金融、恒大财富等14款综合金融平台类APP用户登录时,未采用2种以上方式对用户身份进行认证。
表12:综合金融平台APP不合规情况
数据来源:零壹智库
2、理财平台类APP
所评测的27款理财平台类APP得分均未超过80,其中宜人财富、布谷农场、比财、万得理财评测得分在60分以下。
表13: 27款理财平台APP评测情况
数据来源:零壹智库
理财平台类APP主要存在的问题:
1)玖富钱包、黄金钱包等5款理财平台类APP无密码复杂度校验功能且无法保证用户设置的支付/交易密码达到一定的强度(如用户可设置密码为123456);
2)小赢理财、桔子理财、悟空理财等14款理财平台类APP未有安全措施,在用户长时间未响应后,重新对用户身份进行认证。
表14: 理财平台APP不合规情况
数据来源:零壹财经·零壹智库
3、借贷类平台类APP
在所评测的30款借贷平台类APP中,积木盒子、凤凰智信、众安小贷、我来数科4款APP评测得分超过80,而新橙优品、钱站评测得分在45分以下。
表15:30款借贷平台类APP评测情况
数据来源:零壹智库
借贷平台类APP主要存在的问题:
1)人人贷借款、360借条、分期乐、你我贷借款等25款借贷类APP在修改登录密码时存在安全隐患;
2)拉卡拉、大地时贷、维信卡卡贷等28款借贷类APP在用户输入信息时,没有即时防护功能。
五、突出问题政策解读及整改建议
零壹财经金融APP评测结果显示,在41项评测项目中,有5项不合规问题占比较高:
(1)38%的金融APP违反必要原则,收集与其业务无关的个人信息;
(2)35%的金融APP未向用户提供个人信息安全投诉和举报渠道;
(3)32%的APP在用户设置密码时,没有密码复杂度校验功能,允许用户将“123456”或“111111”等简单数字设置为交易密码,存在严重的安全隐患;
(4)54%的APP在用户进行身份认证输入密码时,没有防截屏、录屏功能。
表16:4项金融APP不合规问题及占比情况
数据来源:零壹智库
针对这些突出问题,零壹财经金融APP评测中心提出如下整改建议:
1. 违反必要原则,收集与其业务无关的个人信息
根据零壹财经评测结果,有38%的金融APP并不支持用户注销账户:其中消费金融公司的APP不合规占比最低,在75%左右;保险和借贷APP的不合规占比为50%。
根据GB/T 35273-2020《信息安全技术个人信息安全规范》和JR/T 0092—2019《移动金融客户端应用软件安全管理规范》要求,金融APP应遵循最小权限原则,不得收集与所提供服务无关的个人信息;不得以改善服务质量、提升使用体验、研发新产品、增强安全性等为由,强制要求用户同意收集个人信息。
常见的不合规行为有:收集用户通讯录、通话记录、短信记录、APP安装列表;在用户注销账户时,收集用户手持身份证照片;在非网络安全和运营安全目的下,收集手机设备唯一标示。
整改建议:金融APP运营者应遵循最小权限原则,不收集与所提供服务无关的个人信息。
2. 未提供个人信息安全投诉、举报渠道
根据评测结果,有35%的金融APP未向用户提供个人信息安全投诉、举报渠道:其中消费金融APP和理财APP不合规占比均超过50%。
根据GB/T 35273-2020《信息安全技术个人信息安全规范》和《关于开展App违法违规收集使用个人信息专项治理的公告》要求:金融运营者应向用户提供并公布个人信息安全投诉举报的渠道,并承诺在15个工作日内受理并处理。
整改建议:针对个人信息安全成立专项小组,并向用户提供电话、邮箱、智能客服等联系方式接受用户的投诉和举报;保证15个工作日内接受理并处理用户的投诉和举报;除此之外,还需提供外部投诉举报途径。
3. 没有密码复杂度校验功能,允许用户设置“123456“等简单密码
根据评测结果,有36%的金融APP没有密码复杂度校验功能,允许用户设置“1234567“或”111111“等简单数字作为登陆密码或交易密码。
根据JR/T 0092—2019《移动金融客户端应用软件安全管理规范》基本要求:客户端应用软件应配合服务端提供密码复杂度校验功能,保证用户设置的密码达到一定的强度,避免采用简单交易密码或与客户个人信息相似度过高的密码。
整改建议:可要求用户设置数字、字母和符号最少2种格式组成的密码,并且避免使用姓名、生日等个人信息作为密码组成。
4. 在用户进行身份认证时,没有防截屏、录屏功能
根据评测结果,有54%的金融APP在用户进行身份认证时,没有防截屏、录屏功能。
根据JR/T 0092—2019《移动金融客户端应用软件安全管理规范》数据防窃取增强要求:客户端应用软件应实现身份认证过程的防截屏、录屏,如:输入手势验证码、登录口令等。
整改建议:在用户登陆、修改、重置密码时,在交易时进行身份验证时,可通过技术手段,禁止手机截屏和录屏行为,避免用户个人信息和密码的泄露。
免责申明:
1、评测最终解释权归零壹财经APP评测中心所有。
2、本文不构成任何投资建议!
3、文中所涉及对于相关法律法规的注解已经过法律顾问确认。
相关推荐
200款金融APP评测:38%超范围搜集个人信息,56%存在密码安全隐患
人民日报海外版:对App“强制索权”说不
App违法收集个人信息官方投诉渠道来了
金融APP越界?实测30款:有17款索取隐私权限
工信部通报58款APP侵害用户权益,金融理财为重灾区
这些APP在偷窥你的隐私
移动金融App加快推进 23家备案试点名单出炉
剑指APP违规收集个人信息!央行排查移动金融APP等
深圳消委会:租借QQ/微信账号存三大严重安全隐患
新规限app读取范围:金融借贷类不可强制读取通讯录
网址: 200款金融APP评测:38%超范围搜集个人信息,56%存在密码安全隐患 http://m.xishuta.com/zhidaoview8758.html
