九秒贷 315晚会曝光APP违规收集信息，200款金融APP 9成以上存在问题

消费者密切关注晚会中曝光的违反手机代码收集个人信息的情况。据央视报道，上海消费者权益保护委员会委托第三方对市场上的应用进行测试。国美电子卡、美国分期、口袋钱包、九秒贷、曲华柏等50多个应用有非法第三方SDK。第三方SDK除了收集用户的手机号码和设备信息外，还收集用户的手机通讯录、短信信息、传感器信息等用户隐私信息。收集后，还将发送到指定的服务器进行存储。一旦相关信息泄露，可能会给消费者带来极其严重的经济损失。1.200款金融应用90%以上都存在个人信息保护问题。近年来，金融消费者侵权事件频发。为了营造一个安全健康的金融环境，零一金融于今年2月推出了针对金融应用的个人信息安全评估活动，涵盖银行、保险、支付、消费金融、金融借贷等各类应用。围绕隐私政策、个人信息安全和密码安全，制定了41项评估标准，通过下载、注册和使用对200款金融应用进行了评估。结果显示，200款金融类应用存在或多或少的不符合问题，其中最严重的问题是:1)如果用户不同意隐私政策，将被强制退出，无法使用；(二)违反必要性原则，收集与其业务无关的个人信息；3)没有给用户提供定向推送的选项；4)未建立和披露个人信息安全投诉和举报渠道，或承诺反馈时间超过15个工作日。二.案例分析1。桐城金融(桐城旅游APP)根据零一金融APP评估中心评估的41项中，有18项不符合要求。在隐私政策方面，桐城金融存在以下问题:1)桐城金融没有隐私政策，没有收集和使用个人信息的规则。桐城金融相关的金融业务建在桐城旅游APP，其金融业务包括理财、借贷、信用卡、外币兑换等金融业务。这个APP只有一个隐私政策，没有提到关于金融业务的个人信息收集和使用规则。《网络安全法》第四十一条规定，网络经营者应当披露信息收集和使用规则，明确信息收集和使用的目的、方法和范围。2)违反必要性原则，收集与其业务无关的个人信息。在隐私政策中，在提供展示和推送产品及服务时，还向用户收集手机的唯一设备标识；在与第三方分享个人信息时，SDK还会收集IMEI、MAC地址、APP安装列表等信息。根据国家市场监管总局发布的《信息安全技术移动互联网应用(App)采集个人信息基本规范(草案)》，App不得采集不可更改的设备唯一标识(如IMEI号、MAC地址等)。)进行网络安全。除了操作安全；另一方面，隐私政策中并未提及收集APP安装清单的目的，APP软件清单也未纳入《信息安全技术移动互联网应用个人信息收集基本规范(草案)》中提及的21类App个人信息收集原则的最低范围。2.美团金融(美团APP)根据零一金融APP评估中心评估的41项中，有15项不符合要求。在隐私政策方面，美团金融存在以下问题；1)用户第一次登录APP时，不提示阅读美团的财务隐私政策。虽然用户第一次登录APP时被提示阅读隐私政策，但与他的金融业务无关。2)违反必要性原则，超出范围收集个人信息。如其隐私政策所述，为了确保账户和资金的安全，要求用户提供手持身份证的照片。但APP专项治理工作组(由国家信息安全标准化技术委员会、中国消费者协会、中国互联网协会互联网空安全协会组成)明确表示，APP运营方事先不知道手机号码与“一人一卡”照片之间的关系，属于典型的“作弊”收集敏感个人信息行为。3.在怡富APP根据零一财经APP评估中心评估的41项中，有15项不符合要求。在隐私政策方面，怡富存在以下问题；1)违反必要性原则，超出范围收集个人信息。为了提高个性化服务，Pleasant Fortune App将收集用户设备的唯一标识符。根据国家市场监管总局发布的《信息安全技术移动互联网应用收集个人信息基本规范(草案)》，APP不得收集不可更改设备的唯一标识(如IMEI号、MAC地址等)。)，除了保证网络安全或者运营安全。2)未建立和披露个人信息安全投诉和举报渠道，或承诺反馈时间超过15个工作日。虽然喜福会在个人信息保护方面制定了多项安全措施，如成立信息安全委员会、信息安全部门、数据安全团队等。然而，在举报个人信息投诉方面仍然存在一些不足。个人信息投诉举报没有明确的方式方法，个人信息反馈时间长达30天，与监管部门规定的15天不一致。4.在汇泽保险根据零一理财APP评测中心评测的41项中，汇泽保险APP仍有15项不尽人意，这些问题主要集中在隐私政策和密码安全上。1)用户明确拒绝后，继续向用户请求许可。刚登录APP时，没有弹出窗口提醒用户阅读隐私政策。《信息安全技术移动互联网应用(APP)个人信息采集基本规范》(征求意见稿)第四条规定，个人信息主体明确拒绝使用某类服务后，App运营者不得频繁(例如每48小时一次以上)要求个人信息主体同意使用该类服务。2)除此之外，在密码安全方面，用户在登录、修改登录密码、支付密码时也缺乏有效的保护机制。5.中原地产金融APP测评中心测评的41项中，中原地产消费金融APP仍有14项不满意，这些问题主要集中在违反必要原则收集范围外的用户信息。通过评估发现，中原消费金融无业务强制采集用户位置信息。2020年1月国家市场监管总局和国家标准化总局联合发布的《信息安全技术移动互联网应用(APP)个人信息采集基本规范(征求意见稿)》第四条规定，App运营者不得采集与所提供服务无关的个人信息；不变设备的唯一标志(如IMEI号、MAC地址等)。)不得采集，为保证网络安全或操作安全除外。同时，《App非法收集和使用个人信息认定办法》将收集与现有业务无关的个人信息认定为“违反必要性原则，收集与其提供的服务无关的个人信息”。相关文章:1.200金融APP测评:38%收集了超出范围的个人信息，56%存在密码安全风险。2.零一财经的特许消费金融APP特别评价:近60%得分70以下。3.你的理财APP真的安全吗？零一财经app 4评测介绍。零一APP评价:你最常用的淘宝、闲鱼等网购应用安全吗？5.另有16款应用侵犯用户权益，被工信部通报！零评价:视频APP话题6。中国互金公布第一批拟备案的金融APP名单，备案成为金融机构合规的必要条件