六银行APP被警告“违法有害” 部分产品“霸道”:不给权限不让用

2020-01-15 09:39:15 来源:中新经纬

打印 放大 缩小

2020年1月13日,据新华社报道,国家计算机病毒应急处理中心近期在“净网2020”专项行动中通过互联网监测发现,多款违法、违规有害移动应用存在隐私不合规行为,违反《网络安全法》相关规定,涉嫌超范围采集个人隐私信息。

在这24款APP中包括6个银行类APP,国家计算机病毒应急处理中心称其“未向用户明示申请的全部隐私权限,涉嫌隐私不合规”:《民生银行》(版本5.12)、《兴业银行》(版本5.0.4)、《内蒙古农信》(版本2.4.6)、《内蒙古银行》(版本2.0.4)、《海峡银行》(版本2.4.8)、《鄂尔多斯银行》(版本3.1.0)。

记者测试发现,规模较小的区域银行的APP在申请用户权限、隐私政策申明方面,普遍存在不完善、不详尽的问题。以内蒙古农信APP为例,下载安装后,初次登陆即要求用户授权定位、视频照相、通讯录信息等,但并未说明具体用途,且如果用户拒绝,将发生闪退,无法使用这款APP。

而在内蒙古农信APP的隐私条款中,也没有明确列出收集用户个人信息的范围,以及用户如何注销账号、注销账号后的留存信息如何处理等事项。

12月30日,国家互联网信息办公室、工业和信息化部、公安部、市场监管总局联合制定了《App违法违规收集使用个人信息行为认定方法》(以下简称《认定方法》),对“未公开收集使用规则”、“未明示收集使用个人信息的目的、方式和范围”、“未经用户同意收集使用个人信息”、“违反必要原则,收集与其提供的服务无关的个人信息”,“未经同意向他人提供个人信息”,“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”等行为进行了列举和界定。

针对这24款有问题的APP,国家计算机病毒应急处理中心提醒广大手机用户首先不要下载这些违法有害移动应用,避免手机操作系统受到不必要的安全威胁。其次,建议打开手机中防病毒移动应用的“实时监控”功能,对手机操作进行主动防御,这样可以第一时间监控未知病毒的入侵活动。

金融行业APP一直是不规范使用用户隐私信息的“重灾区”,监管部门也多次出文强调用户数据的规范使用。

2019年9月,人民银行发布了《中国人民银行关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》(银发〔2019〕237号),明确要求了金融全行业需要加强个人金融信息保护。2019年12月,中国互联网金融协会在京召开金融业移动金融客户端应用软件备案管理工作试点启动会议,安排部署金融机构客户端软件备案试点工作,后续将在全国范围内分批次组织开展客户端软件备案推广等工作。

2019年12月12日,央行科技司司长李伟在出席2019中国金融科技上海高峰论坛时表示,“前段时间,多部委在对App的整治过程中,下架了100多个App,其中金融类App是重灾区。后续,中国互联网金融协会(以下简称‘协会’)要加快推动备案注册制度,加强对这些金融App的测评、认证工作,同时也会联合相关部委,对软件商店采取联动措施,对于不符合规定、有重大风险隐患的App,我们会及时采取下架的措施”。

中国信息通信研究院金融科技研究中心产业咨询总监冯橙对本报记者表示,金融APP开发者应当从多方面进行完善,一是在制度方面高度重视合法、合规,认真学习《App违法违规收集使用个人信息行为认定方法》、《移动金融客户端应用软件安全管理规范》等规章制度。公司内部建立更为严谨的安全审查机制,对每一项技术应用和业务功能进行更加严格、全面的安全测试。建立包括用户、外部专家在内的信息安全部门,对金融APP提供的产品和服务进行独立、长期的检查监督;

二是在开发方面,金融APP开发者要明确业务需求,详细界定操作边界,充分注重后续的维护和升级。在产品或服务设计之初,就融入隐私保护的理念,通过产品设计实现用户隐私诉求和数据权;在APP中植入安全程序,在使用前进行多次模拟实验;

三是在合作方方面:合理合规使用第三方SDK,避免过度收集用户权限和隐私信息。拒绝广告合作方的不合理要求,拒绝参与并积极举报黑色产业;

四是在数据分析方面,做好流程与权限控制,对数据安全进行管控。针对用户数据,要根据相关原则合理收集、使用、保管,优化自身算法、算力,在减少用户数据搜集的同时提高自身数据分析能力;

五是加入相关联盟并遵守相关行业标准,如“软件绿色联盟”、“统一推送联盟”, 主动遵守软件绿色联盟在2019发布的《软件绿色联盟安全体验标准3.0》、App违法违规收集使用个人信息专项治理工作组制定的“App违法违规收集使用个人信息自评估指南”,App开发者可参照相关标准、指南对其收集使用个人信息的情况进行自查自纠,主动提升个人信息保护水平。

2019年12月30日,人民银行金融科技委员会召开会议研究部署2020年重点工作中也指出,将“推动金融APP备案全覆盖,规范开放应用程序接口管理,提升线上金融服务渠道安全应用水平。”

中国互联网金融协会已经在京召开移动金融App备案管理工作试点启动会议。会议明确,各试点机构应于2019年底前完成首批试点备案申请。首批参与移动金融App备案申请的有来自银行、证券、基金、保险、支付等领域的23家试点机构。

责任编辑:ERM523

相关阅读