100款APP测评:京东金融透明度第一,招联金融疯狂调取设备识别码

100款移动金融应用的评分分布

《信息安全技术 移动互联网应用(App)收集个人信息基本规范》(草稿)指出,金融借贷应用安全服务正常运行所需的最低权限范围仅涉及存储权限。

但是,《报告》显示,22种类型的应用程序需要强制访问设备识别码、位置、摄像机等。未经用户同意,用户不能使用应用程序。

例如,当用户第一次打开钟会网络时,应用程序需要摄像机和定位权限等的授权。当用户拒绝时,将弹出窗口“为了给你更好的体验,钟会需要你的许可才能使用”。如果用户不同意授权,他只能退出。

钟会网络强行获取不必要的权限

值得注意的是,强制获取权限和一次性过度获取权限是监管人员关注的关键问题。

今年7月,由国家信息安全委员会和消费者协会成立的应用特别治理工作组,在互联网信息办公室和工业和信息化部的委托下,通知了20个应用项目。这些应用项目要求用户同意一次打开多个权限来收集个人信息,如果他们不同意,就不能安装和使用,涉及猎豹安全大师、探险等。

除了上述问题之外,默认情况下获取隐私权也是监管人员关注的一个关键问题。2018年11月,上海消费者保护委员会评估了18种应用,并邀请企业相互沟通。默认情况下,发现几个应用程序在获取权限方面存在问题。

在杜南个人信息保护研究中心评估的100款移动金融应用中,默认情况下有68款应用具有获取不必要权限的行为。所谓默认获取是指用户在安装后打开权限设置面板,发现默认情况下已经打开了一些权限。例如,“小米金融”应用默认将获得阅读(通知)短信的权利,“每日基金”默认将获得通话状态和访问手机识别码的权利。

小米金融(左)和田甜基金默认获取不必要的权限

在中国金融认证中心(CFCA)的技术支持下,该评估还监控一段时间内移动金融应用调用危险权限的次数。《报告》显示,设备识别码被认真频繁地检索,59个应用每分钟被调用100次以上,其中“兆联金融”被调用6109次,“国美易卡”和“360借据”在一分钟内被调用1000次以上。

在设备识别码旁边,是经常被调用的位置许可。共有44种应用每分钟被调用50次以上,其中1468种被“拍卖贷款”调用,7种应用被调用500次以上,包括“杰克森金融”和“钟会网络”。

应用程序调用每个隐私权

的频率分布长期以来一直受到用户的批评。相比之下,注册时可以完成手机号码和验证码,而取消时,有些应用要求用户提供历史登录位置等信息,有些要求用户完成消费凭证,甚至需要提供手持身份证照片。

《信息安全技术 个人信息安全规范》规定,在注销过程中进行身份验证时,用户不得提供比注册和使用过程中收集的个人信息更多的个人信息。

针对注销问题,杜南个人信息保护研究中心选择了20款头应用进行评估,涉及“滴滴出行”、“QQ”和“淘宝”。诚然,注销时的身份验证经验有了显着改善,要求用户上传有效身份证件或持有身份证的现象已经完全消失。

《报告》显示19个应用的得分在70分以上,大部分支持在线注销,要满足的条件也控制在5分以内。

唯一失败的应用是“网易邮箱”。虽然隐私政策中提到了用户可以注销的应用程序,但该应用程序没有提供明确的注销条目和注销指南,并且在该应用程序中提交的反馈也没有收到回复。取消条款没有用。

网易邮箱

《隐私声明》中的取消条款

《报告》指出,虽然应用程序在整体取消功能上得分较高,但仍有改进的空间。例如,只有打开

值得注意的是,“悟空租车”、“月宝”、“慢买”、“汽车头条”和“跳舞”仍然没有隐私政策。

2018年底,杜南个人信息保护研究中心发布《信息安全技术 个人信息安全规范》。与去年相比,今年评估的应用显着提高了隐私政策的透明度,从41.1分提高到73.93分。然而,仍有改进的余地。

《报告》规定,企业保存个人信息的期限是达到目的所需的最短时间,超过期限的个人信息应删除或匿名。然而,只有29%的应用程序有上述表达,27%的应用程序没有提到保质期,其余的都很模糊。

例如,“360借记卡”写道:“为确保您的合法权益,除非法律法规另有规定,您的个人信息将在您的账户注销之日后保留5年。”

此外,隐私政策只有在输入个人信息后才能看到的情况依然存在,隐私政策中仍然存在一些应用程序的隐藏条款,限制了用户的权利或减少了企业的法律义务。回到搜狐看更多

http://anzhuo.junlat.cn