◆导报记者 戴岳 济南报道
13日,国家计算机病毒应急处理中心在监测中发现,24款移动应用存在隐私不合规行为。其中,不乏知名企业的移动应用,如兴业银行、飞常准、山航掌尚飞等。国家计算机病毒应急处理中心对这24款App用户的提醒依然相当“严厉”:广大手机用户首先不要下载这些违法有害移动应用,避免手机操作系统受到不必要的安全威胁。 事实上,自2019年以来,公安部加大整治侵犯公民个人信息违法犯罪力度,此前已查处整改100款违法违规App及其运营的互联网企业。其中,银行和贷款类App是重灾区。此次通报的24款移动应用中,有6款是银行类App。
兴业银行等银行App被点名
经济导报记者看到,《兴业银行》(版本5.0.4)、《内蒙古农信》(版本2.4.6)、《内蒙古银行》(版本2.0.4)、《海峡银行》(版本2.4.8)、《鄂尔多斯银行》(版本3.1.0)等6款银行类App未向用户明示申请的全部隐私权限,涉嫌隐私不合规。 14日,经济导报记者下载兴业银行App后发现,安卓手机的应用超市里下载的兴业银行App为版本5.0.0,已非被国家计算机病毒应急处理中心提到的《兴业银行》(版本5.0.4)。登录页面打开后,会询问是否允许“兴业银行”访问您设备上的照片、媒体内容和文件。 “例行询问”过后,兴业银行用户隐私保护条款弹出,并明确写着“版本更新日期:2020年1月13日,版本发布日期:2020年1月13日。”可见,兴业银行未在官网上对自家App被“点名”事件作出回应,但快速下架了被“点名”的App版本,并在现运行版本中突出了“兴业银行用户隐私保护条款”。 从兴业银行用户隐私保护条款中可以看到,兴业银行App可能会需要用户提供或使用证件类型、证件号码、银行卡号、手机号、刷脸认证、指纹认证、面部图像(视频)、声音、手机相册、手机通讯录、地理位置、设备型号、操作系统、唯一设备标识符、登录Ip地址等。 兴业银行用户隐私保护条款还提到,可选择是否授权其收集、使用个人信息,包括基于麦克风的功能、基于相机(摄像头)的功能、基于相机(图片库)的功能、基于地理位置的功能、基于通讯录的功能、基于存储的功能、基于电话的功能、基于已安装应用类别的功能、基于网络通讯的功能等。 此外,该条款还提出,“如我行在使用您的个人信息,超出了与收集时所声称的目的及具有直接或合理关联的范围,我行将在使用您的个人信息前,再次向您告知并征得您的明示同意。” 经济导报记者发现,兴业银行一直宣称坚持加码金融科技,推进“安全银行、流程银行、开放银行、智慧银行”建设,强化“跳出银行做银行”理念。不过,吐槽、投诉兴业银行App的声音一直都存在。 兴业银行App在2019年7月的某项手机App评测中只获得76.25分(总分100),其中,性能安全这一项获得(13.20分/15分)。安全检测方面,兴业银行App7大类漏洞12个漏洞点中存在3项不同程度的风险点。 2019年还有消费者投诉,“兴业银行手机App转账强制使用人脸识别,反复识别无法通过,导致无法转账,还没有提供其他备选方案。要求兴业银行取消人脸识别功能。”此外,兴业银行App登录繁琐似乎也成了公众吐槽的热点。
个人隐私保护引起社会广泛关注
经济导报记者发现,最近两次被“点名”的违法违规App中,都有银行等金融机构类App。 确实,金融类App已是个人信息泄露的重灾区。据此前中国信息通信研究院发布的《2019金融行业移动App安全观测报告》显示,有70.22%的金融行业App存在高危漏洞,攻击者可利用这些漏洞窃取用户数据、进行App仿冒、植入恶意程序、攻击服务等,严重威胁App安全。 围绕金融服务安全工作,相关部门已有所行动,如央行要求银行自查手机App违法违规情况。一家股份行技术相关负责人向经济导报记者表示,目前自查已经结束,并已整改完,只是很多权限是正常需要,也不宜采取“一刀切”方式进行处理。 此次集中整治,重点针对无隐私协议、收集使用个人信息范围描述不清、超范围采集个人信息和非必要采集个人信息等情形,责令限期整改27款,处以警告处罚63款,处以罚款处罚10款,另有两款被立为刑事案件开展侦查,相关案件正在侦查。 在进行整顿的同时,国家多个部门还划定了App违法违规“红线”。2019年12月,国家网信办、工信部、公安部、国家市场监管总局联合发布《App违法违规收集使用个人信息行为认定方法》,明确了六大违规行为,为监督管理部门认定App违法违规收集使用个人信息行为提供参考。
|