中消協百款APP安全測評結果出爐:金融理財類墊底
中國消費者協會新近花了兩個月時間,對100款APP的個人資訊收集與隱私政策情況進行了測評,在被評測的10個類別中,令人出乎意料地是,常以安全、可信賴等宣傳語示人的金融理財,卻在此次測評中排名墊底,即便與第9名相比,綜合評分也相差甚遠。
100款APP中,59款APP涉嫌過度收集了“位置資訊”,過度收集或使用個人資訊的情況較多,另外“通訊錄資訊”、“身份資訊”、“手機號碼”也是使用者個人資訊過度收集或使用較多的內容,在受測評中分別有28款、23款、22款APP涉嫌存在此類情況。除此之外,使用者的個人照片、個人財產資訊、生物識別資訊、工作資訊、交易賬號資訊、交易記錄、上網瀏覽記錄、教育資訊、車輛資訊以及簡訊資訊等均存在被過度使用或收集的現象。
隨著移動網際網路發展以及各類手機應用程式的興起,手機已成為國民日常生活中不可或缺的工具,各類應用程式在給使用者帶來便利的同時,背後的使用許可權和隱私問題,也隨著近年來網際網路安全事件的陸續爆發而逐漸引起消費者的密切關注。
今年年初百度董事長兼CEO李彥巨集發表的一段頗受爭議的講話,也折射出了使用者的無奈、商家的強勢及法律的缺失。
李彥巨集表示,“中國人對隱私問題的態度更開放,也相對來說沒那麼敏感。如果他們可以用隱私換取便利、安全或者效率。在很多情況下,他們就願意這麼做。當然我們也要遵循一些原則,如果這個資料能讓使用者受益,他們又願意給我們用,我們就會去使用它的。我想這就是我們能做什麼和不能做什麼的基本標準。”
金融理財APP總平均分28.91
根據測評結果,新聞閱讀、網上購物和交易支付等型別APP為總平均分相對較高的APP類別,而金融理財類APP得分相對較低,僅為28.91分。
不難發現,除了金融理財類APP,其他9個型別APP的總平均分都高於50分,即便與第九名郵箱雲盤類APP相比,金融理財類依然相差甚遠。
中消協將100款APP劃分為了消費者常用APP和小企業APP兩類,測評發現,兩類的平均分差距很大,中小企業APP的平均得分均在各類APP平均水平以下,說明目前中小企業APP在個人資訊保護方面問題較為突出,隱私政策缺失或設計存在明顯不足。其中金融理財類APP得分相對較低,為15.60分。
8款金融理財APP被授予“一星差評”
根據評星標準,測評中得分60分及以下為一星,61-70分為二星,71-80分為三星,81-85分為三星半,86-90分為四星,91-95分為四星半,96-100分為五星。
被測評的10款金融理財APP中,只有兩款達到了三星及以上,分別是網易彩票和中國建設銀行,而勝算在握、微貸網、中國 ofollow,noindex" target="_blank">工商銀行 ( 601398 , 診股 )、捷信快貸、隨手記、 同花順 ( 300033 , 診股 )、馬上到賬貸款、悟空理財的評價均為一星,其中微貸網、中國工商銀行、同花順為上市公司。
哪些資訊被收集
金融理財類APP收集的個人資訊共計有10類,其中收集最多的是手機號,佔比達100%,其次是通訊資訊、位置資訊、身份資訊和個人基本資料。
收集個人資訊方面的五大問題一是10類APP普遍存在涉嫌過度收集或使用個人資訊的情況。
10類100款APP中,多達91款APP列出的許可權存在涉嫌“越界”,即存在過度收集使用者個人資訊的問題。其中,出行導航、金融理財、拍攝美化、通訊社交和影音播放等5類APP中,每一款都涉嫌存在過度收集或使用使用者資訊的情況;其次是住宿旅遊、網上購物、新聞閱讀和郵箱雲盤等4類APP中,32款APP涉嫌存在過度收集或使用個人資訊情形;而交易支付類APP中有7款涉嫌存在過度收集或使用現象。
二是位置資訊、通訊錄資訊、手機號碼等個人資訊是過度收集或使用的主要內容。
100款APP中,59款APP涉嫌過度收集了“位置資訊”,過度收集或使用個人資訊的情況較多,另外“通訊錄資訊”、“身份資訊”、“手機號碼”也是使用者個人資訊過度收集或使用較多的內容,在受測評中分別有28款、23款、22款APP涉嫌存在此類情況。除此之外,使用者的個人照片、個人財產資訊、生物識別資訊、工作資訊、交易賬號資訊、交易記錄、上網瀏覽記錄、教育資訊、車輛資訊以及簡訊資訊等均存在被過度使用或收集的現象。
如在網易彩票APP中,收集個人財產證明、個人上網記錄、通訊資訊、位置資訊(包括行程、住宿)等資訊涉嫌過度收集或使用。
三是通訊社交、影音播放和拍攝美化類APP涉嫌過度收集或使用使用者位置資訊的問題較普遍。
從10大類APP分析,除郵箱雲盤、交易支付和出行導航類APP外,其他七大類APP均有超過一半的APP存在過度收集或使用使用者位置資訊的問題。其中,通訊社交和影音播放類APP產生此類問題更為突出,多達10款和9款APP涉嫌存在過度收集使用者位置資訊的現象。
出行導航、旅遊住宿、網上購物類APP對於使用者個人位置資訊具有根據定位資訊提供產品和服務的合理訴求,但是對於大部分社交類、影音播放類、拍攝美化類、新聞閱讀以及金融理財類APP來說,呼叫使用者的位置資訊對於這些服務的提供非必需資訊,存在過度收集或使用的嫌疑。
四是通訊錄資訊、手機號碼等個人身份資訊過度收集現象值得注意。
通訊錄資訊、手機號碼涉及使用者的個人隱私,屬於個人敏感資訊,存在較高的商業價值,部分僅提供手機號註冊方式,藉助手機許可權開放的便利,很容易收集手機號碼及通訊錄資訊。以收集通訊錄為例,10類APP中,4款金融理財類APP與3款影音播放類APP收集使用者通訊錄資訊。手機號碼資訊收集現象在金融理財類與出行導航類APP中較為普遍,10款金融理財類APP均收集手機號碼,8款出行導航類APP在使用者註冊時要求必須用手機號註冊。
中消協認為捷信快貸收集工作資訊、通訊錄、個人徵信資訊、學歷資訊涉嫌過度收集,各類資訊對應的業務功能未明確說明。
五是部分APP涉嫌過度收集個人財產資訊、生物識別資訊等敏感資訊。
個人敏感資訊一旦洩露,將導致個人資訊主體及收集、使用個人資訊的組織和機構喪失對個人資訊的控制能力,造成個人資訊擴散範圍和用途的不可控,可能對個人資訊主體人身和財產帶來重大風險。測評發現,10類APP均存在收集這些資訊的情況,但部分APP對財產資訊、可識別生物資訊的收集未能向用戶明確重點告知,理由含糊不清,涉嫌過度收集,其中11款APP涉嫌過度收集財產資訊,10款APP涉嫌過度收集生物識別資訊。
隱私條款存在9大漏洞
萬萬沒想到一個隱私條款暗藏這麼多玄機,值得消費者高度關注。
漏洞一:47款APP隱私條款內容不達標,34款APP沒有隱私條款。
據悉本次測評中隱私條款各指標總分為70分,其中有超過三分之一(34款)的隱私條款得分為0,即未對使用者公佈個人資訊隱私條款。
當前有關隱私條款存在的典型問題主要集中在四方面:
一是隱私條款籠統不清,對收集、使用個人資訊的目的、方式、範圍、儲存期限、和地點等沒有明確說明;
二是不主動向使用者展示隱私條款,或展示內容晦澀冗長;
三是徵求使用者授權同意時,未給使用者足夠選擇權;
四是沒有為使用者提供訪問、更正、刪除個人資訊的途徑;五是大量收集與所提供服務無直接關聯的個人資訊,未遵守標準中最小化收集個人資訊的規定。
如工商銀行APP沒有單獨的隱私政策,連結中僅提供隱私保密宣告。
漏洞二:59款APP未明確告知收集個人資訊型別,且收集敏感資訊時未明確告知使用者資訊的用途。
在個人資訊收集規則中,包括兩方面內容:
一是是否明確告知使用者收集的個人資訊型別;
二是收集敏感資訊時是否明確告知使用者,並告知使用者拒絕提供將帶來的影響。
測評結果顯示,針對是否明確告知使用者收集個人資訊的這一規則,從10類APP來看,金融理財類APP在本項中得分相對較低,僅得0.9分,有8款金融理財類APP在隱私條款中未告知使用者收集個人資訊的型別;網上購物和新聞閱讀類APP在此選項得分較高,分別為4.3和3.9分。
針對“是否告知使用者收集敏感資訊的用途及拒絕提供的影響”這一規則,也未達及格分。對於敏感資訊的告知情況得分相對較差的仍為金融理財類APP,表現較好的同樣是網購和新聞閱讀類APP。
比如支付寶APP未在收集的資訊種類中註明個人敏感資訊,且未對核心和附加功能進行區分,導致使用者易認為所收集的資訊均為必需項。
而中國建設銀行APP收集個人敏感資訊時,雖然概括性地告知了敏感資訊的種類和使用的方式,但未告知拒絕提供將具體影響哪些功能。
漏洞三:70款APP未明確告知使用者個人資訊的儲存期限和停止運營的情形。
在個人資訊儲存規則裡,《個人資訊保安規範》規定了四方面的內容,分別為告知使用者資料儲存期限、告知用書資料儲存地域、告知使用者安全事件應急處理措施、告知使用者停止運營的情形。
對於告知個人資訊的儲存期限,其中有70款APP在此選項扣分。從不同類別來看,郵箱雲盤類APP在此項得分相對較低,為0.5分;新聞閱讀和拍攝美化類APP表現較好,得分均為1.9分。在被測評的100款APP中,有48款隱私條款中未明確提及有關資訊儲存期限的相關事宜,另有部分APP隱私條款對個人資訊儲存期限的表達是含糊的,這些APP有的提到會在服務期間儲存資訊,在使用者登出後刪除資訊,但沒有給出具體的時間。
對於告知個人資訊的存放地域,交易支付類APP得分相對較低,影音播放、出行導航和新聞閱讀類APP得分較高,得分都為1.8分。
對於告知個人資訊保安事件應急處理措施,從大類看,金融理財類APP在此項得分相對較低,新聞閱讀和網上購物類APP得分較高。
對於告知使用者停止運營的情形,其中100款受測評APP中有66款在此項得分為0,未明確提到使用者停止運營的情形。
漏洞四:57款APP未明確告知使用者個人資訊使用方式。
在個人資訊使用規則方面,“告知使用個人資訊的規則”這一規則有57款APP扣分。其中,金融理財類APP得分相對較低,僅為0.8分,大部分金融理財類APP未明確告知使用使用者個人資訊的規則。
漏洞五:42款APP對外提供個人資訊時不會單獨告知並徵得使用者同意。
針對向他人提供使用者個人資訊時是否明確告知使用者這一打分項,有42款未明確提到此項條款得分為0,另有57款雖然提到但未明確說明,僅有1款在此項得分為滿分。
針對個人資訊控制者發生變更時,是否明確告知使用者並獲得同意這一選項,超過一半的APP此項得分為0,即隱私條款中未提及相關內容。從各類看,金融理財類APP和拍攝美化類APP此項得分相對較低。
漏洞六:57款和96款APP未明確告知使用者如何更正個人資訊和撤回同意。
在使用者權利方面,共包括五方面的測評內容,一是告知使用者訪問資訊的方式,二是告知刪除個人資訊的方式,三是告知更正個人資訊的方式,四是告知使用者撤回同意的方式,五是告知使用者登出賬號的方式。
測評資料顯示,這五項得分均未達到及格分。從各大類看,金融理財類APP在使用者權利方面表現相對較差,在“告知更正個人資訊方式”項中得分相對較高的為交易支付類APP。
漏洞七:41款APP隱私條款未在明顯位置公示,52款APP的條款變更時未及時通知使用者。
針對是否公開隱私條款這一打分項,網上購物類APP公開隱私條款方面表現相對較好,得分為2.7分,金融理財類APP得分相對較低,得分為0.6分。
對於條款生效和變更通知使用者這一要求,有52款在此項扣分。從類別來看,新聞閱讀類APP得分相對較高,金融理財類APP得分相對較低。
漏洞八:79款APP隱私政策存在默認同意或未提示閱讀等問題。
針對是否徵得使用者同意這一打分項,僅有21款的隱私條款是在明確徵得使用者同意後收集相關資訊,而大部分APP存在默認同意隱私條款的現象,並未徵得使用者同意。
從類別來看,金融理財和交易支付類APP默認同意隱私條款的現象相對較嚴重,網購類APP在徵得使用者同意方面得分相對較高。
漏洞九:部分APP存在“自行承擔風險”等不合理免責條款。
除通訊社交、影音播放和交易支付三類APP外,其他類APP中的隱私條款均存在不合理免責條款的現象,其中金融理財類和郵箱雲盤類APP不合理條款問題較突出。如,金融理財類APP某些有出現“自願承擔風險,個人承擔一切責任”的條款,郵箱類APP某些有出現“對於外部連結不承擔責任”、“附贈產品免責”等不合理的免責條款。
如悟空理財APP存在“您須對您本人在使用本網站所提供的服務時的一切行為、行動(不論是否故意)負全部責任”等不合理免責條款。
中消協表示,“在測評活動中,一方面測評所依據的相關規範的法律層級較低,另一方面有關部門出臺的相關管理規定可操作性不強,測評反映出各類APP落實隱私條款要求方面存在較大差異,隱私條款不完善或缺失情況嚴重。建議有關部門綜合考慮當前APP隱私保護方面的嚴峻形勢,加強隱私保護立法,落實具體措施,提高立法立規水平,為消費者個人資訊保安提供更好的法律和制度保護。”