20款金融类APP隐私安全测试(附表格)


来源:探长读财    2019-12-11 9:21

随着现金贷行业的野蛮发展,大数据风控服务需求旺盛。为了抢占市场,数据公司获取信息的方式不设边界。在踩上了数据来源违法、滥用的红线后,魔蝎科技、新颜科技高管相继被警方带走调查。与此同时,白骑士、天机数据、立木征信、聚信立等纷纷宣布暂停爬虫业务。

数据行业由此从风口变成了“封口”,个人信息安全也被公众重视起来。

12月4日,国家网络安全通报中心通报,2019年11月以来,100款违法违规App被下架整改,房天下、晋江小说阅读、考拉海购、光大银行、天津银行、猪八戒网、樊登读书等在列。

12月5日,南方都市报发布《2019个人信息安全年度报告》显示,100款APP中,有13款达到隐私政策透明度高的层级,其中“京东金融”以95分位居第一,“美团”和“饿了么”以一分之差并列第二,其他透明度高的包括“百度”、“淘宝”等。报告指出,招联金融、360借条严重频繁调取设备识别码,拍拍贷、汇中网频繁调用定位权限。

为了进一步测试金融类APP的隐私安全情况,探长读财实测20款金融类APP,根据页面提示第一项授权、第二项授权、第三项授权、第四项授权,以及默认授权,以拒绝(×)或允许(√)的方式,测试能否正常使用APP(注:因读写存储为正常运行需要授权,其余请求授权一律选择拒绝)。

测试金融类APP涵盖5家银行类(中国银行、广发银行、微众银行、南京银行、北京农商银行)、5家保险类(太平洋保险、平安保险商城、慧择保险、小雨伞保险、水滴筹)、5家理财类(蚂蚁财富、南方基金、微诺亚、宜人财富、富途牛牛)、5家持牌消金(招联金融、中邮钱包、浪小花、借蛙、消邦)、5家现金贷(360借条、万达贷、金山贷款、豆豆钱、国美易卡)。

根据《信息安全技术移动互联网应用(App)收集个人信息基本规范》(草案),金融借贷类App保障服务正常运行所需要的最少权限范围只涉及存储权限。

然而,很多APP都习惯提前获得更多授权。

例如,首次打开蚂蚁财富(蚂蚁金服旗下),页面提示允许蚂蚁财富获取手机号码、IMEI、IMSI权限吗?点击拒绝之后,页面再提示开启允许蚂蚁财富访问您设备上的照片、媒体内容和文件吗?再次点击拒绝之后,页面会弹出获取存储空间的提示:“我们需要获取存储空间,为你存储个人信息;否则,你将无法正常使用蚂蚁财富。”点击确定,页面再次提示开启上述两项授权。

不过,当探长在设置中将蚂蚁财富“读写手机存储”开启后,重新打开蚂蚁财富,页面直接跳过授权提示,进入使用支付宝授权登录/密码登录。

此外,也有APP会以“风险”、“安全”等理由收集用户脸部图像、位置信息,以及通话记录。

探长注意到,360借条隐私条款显示,为了完成实名制管理、客户身份识别,也为了防范欺诈风险,保障账号安全,您需要完成人脸识别认证,我们会手机您的脸部图像,您可以通过开启相机权限,完成身份认证及人脸识别认证。为了有效识别短时异地登录等账户异常情况,我们需要手机您的位置信息,需要您授权开始“位置权限”。另外,为准确评估您的信贷资格,也为了维护您及其他客户的合法权益,防止您的贷款资金被不法分子获取,保障您的账户资金安全,我们将收集您的通话记录。

当然,也有通过开启授权或隐私政策,规避APP收集信息带来的风险。

例如,借蛙(晋商消金旗下)隐私政策显示,当您通过我们提供的产品或服务获得借款时,我们将收集您的亲戚朋友、联系人及其手机号码,请您确保您在我们提供该信息时已经获得您的亲戚朋友、联系人的同意。如您向我们提供的亲戚朋友、联系人及其手机号码的行为未经过其本人同意,我们与您的亲戚朋友、联系人进行联系所发生的风险及责任由您承担。

事实上,使用APP并非需要所有授权,只有使用某项功能时,才需要开启相关授权。

探长注意到,平安保险商城一开始只需要获取手机号码、IMEI、IMSI授权,并未直接提示开通照片、媒体内容和文件,也没提示开通定位授权。不过,平安保险商城隐私条款显示,在您使用图片上传功能时,我们会申请使用您的相机/相册权限,如您不同意提供信息,我们将无法为您提供相机相关服务,但不影响您使用其他功能。当您开启设备定位功能并使用我们的LBS时,我们可能会收集和使用您的位置信息,以实现我们为您提供本地周边服务的目的。

此外,还有一些授权对用户来说几乎没有用,但APP商家却用来做统计和分析。

例如,20款APP全部默认开启“读取应用列表”授权,根据应用商店提示,此权限可让该应用了解设备上运行了哪些应用。事实上,包括微信、支付宝在内,几乎所有安卓APP都默认开启该授权,但关闭该授权却并不影响使用。探长尝试关闭微信“读取应用列表”授权之后,并不影响发送文字及语音功能(语音功能需开启录音授权)。显然,“读取应用列表”并非必须授权选项。

金山贷款隐私政策显示,为了向您提供更为方便、快捷、顺畅、个性化的服务,我们通过Cookie等技术为您提供包括记住账户和密码(省去重复输入账户和密码)、分析您使用金山金融服务的情况(我们通过Cookie、web beacon等技术了解您使用金融金融服务的具体用途,以及哪些网页或服务受您欢迎)、广告优化(Cookie、web beacon等技术有助于我们根据您的信息,向您提供与您相关的广告而非普通广告投放)。

附20款金融类APP隐私安全测试结果

相关文章

月点击排行
关于本站    联系我们    版权声明    手机版
Copyright © 2011-2020 移动支付网    粤ICP备11061396号    粤公网安备 44030602000994号