活动 网贷 贷款 信用卡 产品 排名 专题
互联网理财 > 网贷快讯 >

200款金融APP评测:38%超范围搜集个人信息,56%存在密码安全隐患

时间:2020-04-16 13:47 来自: 点击:

 导语:

2019年以来,央行屡次发文要求金融APP整改。

2020年4月2日,央行发布《关于开展金融科技应用风险专项摸排工作的通知》,要求各地央行及相关监管机构,依据相关法律制度、标准规范,对移动金融客户端应用软件、应用程序编程接口、信息系统和《金融科技应用风险专项摸排列表》要求内容开展专项摸排工作。要求各分支监管机构形成书面报告,并于2020 年10月31日前报送人民银行总行。依据相关监管政策法规,零壹财经金融APP评测中心对200款金融APP进行专项评测,评测对象涵盖银行、保险、消费金融、支付、汽车金融等,评测内容包括隐私政策、密码安全、个人信息安全3个指标及41项细分标准。

评测发现金融APP存在的主要问题包括:超过38%的APP违反必要原则,超范围收集与其业务无关的个人信息;超过56%的APP修改登录密码时,存在安全隐患;超过45%的APP在用户不同意隐私政策时,强制退出,无法使用等。

针对这些突出问题,零壹财经金融APP测评中心根据相关政策法规提出整改建议,供业界参考。

出品 | 零壹智库

作者 | 金融APP评测中心

为规范金融APP信息收集和使用、加强个人信息保护,营造良好的金融环境,切实维护金融消费者合法权益,并依据相关监管政策法规,零壹财经金融APP评测中心于2020年3月2日启动零壹金融APP评测专项工作。中心相关评测工作得到了金融消费者、监管部门、相关企业、行业从业者等多方的广泛关注和支持。

一、200款金融APP评测结果:普遍存在不合规问题,银行类APP合规程度最高

通过对200款金融APP评测发现:

(1)所有被测金融APP都或多或少存在不合规问题;

(2)超过38%的APP违反必要原则,超范围收集与其业务无关的个人信息;

(3)超过56%的APP修改登录密码时,存在安全隐患;

(4)超过45%的APP在用户不同意隐私政策时,强制退出,无法使用;

(5)得分超70的APP有130款,占比65%;

(6)银行类APP合规程度最高,评测平均分达80分。

表1: 200款金融APP评测情况

200款金融APP评测:38%超范围搜集个人信息,56%存在密码安全隐患

数据来源:零壹财经·零壹智库

传统持牌金融机构:共评测81款,该类包含银行及保险APP,平均分为78分。其中:

银行类APP,有61款得分超70,比例为88%,相较其他类别合规率最高,平均分最高。

保险类APP,有5款得分超70,比例为42%。

新兴持牌金融机构:共评测33款,该类包含消费金融及支付APP,平均分为70分。其中:

消费金融类APP,仅有9款得分超70,比例仅为45%,相较其他类别存在问题较多,平均得分低。

支付类APP,有11款得分超70,比例为85%。

新金融平台:共计评测85款,该类包含综合金融平台、理财、借贷、汽车金融、供应链金融APP,平均分为68分。其中:

综合金融平台类APP,有13款得分超70,比例为54%。

理财平台类APP,有13款得分超70,比例为48%。

借贷平台类APP,有17款得分超70,比例为57%。

汽车金融类APP,1款得分超70,比例仅为25%。

二、传统持牌金融机构: 14款银行类APP得分超90,保险类存在问题较多

1、银行类APP

银行类APP主要存在的问题:

(1)96%的银行类APP在用户输入信息时,没有即时防护功能;

(2)52%的银行类APP未提供定向推送信息的选项;

(3)54%的银行类APP在用户进行身份认证时,无防截屏、录屏功能。

表2: 银行APP不合规情况

200款金融APP评测:38%超范围搜集个人信息,56%存在密码安全隐患

数据来源:零壹财经·零壹智库

所评测的69款银行APP相较其他类金融APP合规率最高,其中民生信用卡、江苏直销银行、光大惠生活等14款APP评测得分超90。

表3: 69款手机银行APP评测情况

200款金融APP评测:38%超范围搜集个人信息,56%存在密码安全隐患

数据来源:零壹财经·零壹智库

阜新银行、兴业银行、华夏银行、柳州银行4款APP在密码安全方面合规率100%。民生信用卡、建设银行、农业银行、招商银行4款APP在隐私政策方面合规率100%。

表4: 90分以上的手机银行APP评测明细

200款金融APP评测:38%超范围搜集个人信息,56%存在密码安全隐患

数据来源:零壹财经·零壹智库

2、保险类APP

在所评测的12款保险类APP中仅有阳光保险在线APP评测得分超过80,近6成保险类APP得分在70分以下。

表5: 12款保险类APP评测情况

200款金融APP评测:38%超范围搜集个人信息,56%存在密码安全隐患

数据来源:零壹财经·零壹智库

保险类APP主要存在的问题:

(1)所有保险类APP在用户输入信息时,无即时防护功能;

(2)泰康在线、信美相互、慧择保险、水滴保险商城、众安保险等11款保险类APP在修改登录密码时,存在安全隐患;

(3)掌上新华、太平洋保险等9款保险类APP未采取有效措施提醒客户避免设置与常用软件、网站相同或相似的户名和密码组合。

表6:保险类APP不合规情况

200款金融APP评测:38%超范围搜集个人信息,56%存在密码安全隐患

数据来源:零壹财经·零壹智库

三、新兴持牌金融机构:仅2家消费金融公司得分超过80

1、消费金融APP

在所评测的20家持牌消费金融APP中仅有苏宁消费金融、招联金融评测得分超过80,近6成得分在70分以下。

表7: 20款消费金融APP评测情况

200款金融APP评测:38%超范围搜集个人信息,56%存在密码安全隐患

数据来源:零壹财经·零壹智库

消费金融类APP主要存在的问题:

(1)易开花、杭银金融、包银消费金融等15款消金APP违反必要原则,收集与其业务无关的个人信息;

(2)幸福花、城一代、哈银消金等11款消金APP不支持用户撤回同意收集个人信息的途径和方式;

(3)中银消费金融、锦程消金、长银消金等14款消金APP未提供定向推送信息的选项。

表8: 消费金融APP不合规情况

200款金融APP评测:38%超范围搜集个人信息,56%存在密码安全隐患

数据来源:零壹财经·零壹智库

2、支付类APP

在所评测的13款支付类APP中,云闪付、和包支付、美付宝、平安壹钱包评测得分超80,超8成支付类APP得分在70以上。

表9: 13款支付类APP评测情况

200款金融APP评测:38%超范围搜集个人信息,56%存在密码安全隐患

数据来源:零壹财经·零壹智库

支付类APP主要存在的问题:

(1)PayPal、随行付等4款APP支付类无安全投诉、举报渠道,且没有在15日内受理并处理相关问题;

(2)翼支付、网易支付、微信钱包等7款支付类APP在密码重置时,没有使用短信验证码、用户注册信息校核等方式,对用户身份进行校验。

表10: 支付类APP不合规情况

200款金融APP评测:38%超范围搜集个人信息,56%存在密码安全隐患

数据来源:零壹财经·零壹智库

四、新金融平台:得分低于60占比较高

1、综合金融平台

所评测的24款综合金融平台类APP涵盖金融机构、电商、互联网、房地产、通信、物流、出行、旅游、制造业等10个行业,其中平安普惠、苏宁金融、理财通、度小满评测得分超过80分。新浪金融得分最低仅为48分。

表11: 24款综合金融平台类APP评测明细

200款金融APP评测:38%超范围搜集个人信息,56%存在密码安全隐患

数据来源:零壹财经·零壹智库

综合金融平台类APP主要存在的问题:

(1)所有综合金融平台类APP在用户输入信息时,没有即时防护功能;

(2)美团金融、滴滴金融、小米金融、恒大财富等14款综合金融平台类APP用户登录时,未采用2种以上方式对用户身份进行认证。

表12: 综合金融平台APP不合规情况

200款金融APP评测:38%超范围搜集个人信息,56%存在密码安全隐患

数据来源:零壹财经·零壹智库

2、理财平台类APP

所评测的27款理财平台类APP得分均未超过80,其中宜人财富、布谷农场、比财、万得理财评测得分在60分以下。

表13: 27款理财平台APP评测情况

200款金融APP评测:38%超范围搜集个人信息,56%存在密码安全隐患

数据来源:零壹财经·零壹智库

理财平台类APP主要存在的问题:

(1)玖富钱包、黄金钱包等5款理财平台类APP无密码复杂度校验功能且无法保证用户设置的支付/交易密码达到一定的强度(如用户可设置密码为123456);

(2)小赢理财、桔子理财、悟空理财等14款理财平台类APP未有安全措施,在用户长时间未响应后,重新对用户身份进行认证。

表14: 理财平台APP不合规情况

200款金融APP评测:38%超范围搜集个人信息,56%存在密码安全隐患

数据来源:零壹财经·零壹智库

3、借贷类平台类APP

在所评测的30款借贷平台类APP中,积木盒子、凤凰智信、众安小贷、我来数科4款APP评测得分超过80,而新橙优品、钱站评测得分在45分以下。

表15:30款借贷平台类APP评测情况

200款金融APP评测:38%超范围搜集个人信息,56%存在密码安全隐患

数据来源:零壹财经·零壹智库

借贷平台类APP主要存在的问题:

(1)人人贷借款、360借条、分期乐、你我贷借款等25款借贷类APP在修改登录密码时存在安全隐患;

(2)拉卡拉、大地时贷、维信卡卡贷等28款借贷类APP在用户输入信息时,没有即时防护功能。

五、突出问题政策解读及整改建议

零壹财经金融APP评测结果显示,在41项评测项目中,有4项不合规问题占比较高:

(1)38%的金融APP违反必要原则,收集与其业务无关的个人信息;

(2)35%的金融APP未向用户提供个人信息安全投诉和举报渠道;

(3)32%的APP在用户设置密码时,没有密码复杂度校验功能,允许用户将“123456”或“111111”等简单数字设置为交易密码,存在严重的安全隐患;

(4)54%的APP在用户进行身份认证输入密码时,没有防截屏、录屏功能。

表16: 4项金融APP不合规问题及占比情况

200款金融APP评测:38%超范围搜集个人信息,56%存在密码安全隐患

数据来源:零壹财经·零壹智库

针对这些突出问题,零壹财经金融APP评测中心提出如下整改建议

1、违反必要原则,收集与其业务无关的个人信息

根据零壹财经评测结果,有38%的金融APP并不支持用户注销账户:其中消费金融公司的APP不合规占比最低,在75%左右;保险和借贷APP的不合规占比为50%。

根据GB/T 35273-2020《信息安全技术个人信息安全规范》和JR/T 0092—2019《移动金融客户端应用软件安全管理规范》要求,金融APP应遵循最小权限原则,不得手机与所提供服务无关的个人信息;不得以改善服务质量、提升使用体验、研发新产品、增强安全性等为由,强制要求用户同意收集个人信息。

常见的不合规行为有:收集用户通讯录、通话记录、短信记录、APP安装列表;在用户注销账户时,收集用户手持身份证照片;在非网络安全和运营安全目的下,收集手机设备唯一标示。

整改建议:金融APP运营者应遵循最小权限原则,不收集与所提供服务无关的个人信息。

2、未提供个人信息安全投诉、举报渠道

根据评测结果,有35%的金融APP未向用户提供个人信息安全投诉、举报渠道:其中消费金融APP和理财APP不合规占比均超过50%。

根据GB/T 35273-2020《信息安全技术个人信息安全规范》和《关于开展App违法违规收集使用个人信息专项治理的公告》要求:金融运营者应向用户提供并公布个人信息安全投诉举报的渠道,并承诺在15个工作日内受理并处理。

整改建议:针对个人信息安全成立专项小组,并向用户提供电话、邮箱、智能客服等联系方式接受用户的投诉和举报;保证15个工作日内接受理并处理用户的投诉和举报;除此之外,还需提供外部投诉举报途径。

3、没有密码复杂度校验功能,允许用户设置“123456“等简单密码

根据评测结果,有36%的金融APP没有密码复杂度校验功能,允许用户设置“1234567“或”111111“等简单数字作为登陆密码或交易密码。

根据JR/T 0092—2019《移动金融客户端应用软件安全管理规范》基本要求:客户端应用软件应配合服务端提供密码复杂度校验功能,保证用户设置的密码达到一定的强度,避免采用简单交易密码或与客户个人信息相似度过高的密码。

整改建议:可要求用户设置数字、字母和符号最少2种格式组成的密码,并且避免使用姓名、生日等个人信息作为密码组成。

4、在用户进行身份认证时,没有防截屏、录屏功能

根据评测结果,有54%的金融APP在用户进行身份认证时,没有防截屏、录屏功能。

根据JR/T 0092—2019《移动金融客户端应用软件安全管理规范》数据防窃取增强要求:客户端应用软件应实现身份认证过程的防截屏、录屏,如:输入手势验证码、登录口令等。

整改建议:在用户登陆、修改、重置密码时,在交易时进行身份验证时,可通过技术手段,禁止手机截屏和录屏行为,避免用户个人信息和密码的泄露。

免责申明:

1、评测最终解释权归零壹财经APP评测中心所有。

2、本文不构成任何投资建议!

3、文中所涉及对于相关法律法规的注解已经过法律顾问确认。

附:

1、评测背景

自2019年1月开始,网信办、工信部、公安部、市场监管总局四部门成立了工作组,决定在全国范围内开展APP违法违规收集个人信息专项治理行动,同时,针对APP违法违规收集个人信息行为也明确了处罚标准。

涉嫌违法违规收集使用个人信息的,将责令APP运营者限期整改;对于逾期不改的,公开曝光;情节严重者,APP将予以下架、暂停相关业务、停业整顿、吊销相关业务许可证或吊销营业执照,将受到行政处罚的违规主体纳入电信业务经营不良名单或失信名单等。

2019年9月中国人民银行在发布了《移动金融客户端应用软件安全管理规范》(JR/T 0092-2019),针对APP个人信息安全、帐户安全、密码安全、数据安全、隐私政策等方面进行规范,并要求金融机构按照该标准对各自的金融APP进行整改。

为营造良好的金融环境,加强个人信息保护,切实维护金融消费者合法权益,零壹财经金融APP评测中心于2020年3月2日启动金融APP进行专项评测工作。

2、评分依据

依据央行发布的《移动金融客户端营业软件安全管理规范》,并结合网信办、工信部、公安部、市场监管总局发布的《关于开展APP违法违规收集使用个人信息专项治理的公告》和《App违法违规收集使用个人信息行为认定方法》,以及工信部发布的《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》。

具体内容:

200款金融APP评测:38%超范围搜集个人信息,56%存在密码安全隐患

3、评分标准

零壹财经金融APP评测中心通过下载、注册、使用等环节,结合相关政策、规范,确定隐私政策、密码安全、个人信息安全3个评测指标,41项细分标准对200款金融APP进行专项评测。

评测指标及权重构成如下:隐私政策(40%),密码安全(40%),个人信息安全(20%)。

200款金融APP评测:38%超范围搜集个人信息,56%存在密码安全隐患200款金融APP评测:38%超范围搜集个人信息,56%存在密码安全隐患200款金融APP评测:38%超范围搜集个人信息,56%存在密码安全隐患

新浪微博 QQ空间 用浏览器 豆瓣

相关文章

P2P网贷平台

理财产品