有问题搜一下~
下载APP
资讯 > 头条

2019个人信息安全年度报告:拍拍贷每分钟调用位置权限1468次

发布时间:2019.12.10 作者: zxl 阅读:

12月5日,由南方都市报大数据研究院·南都个人信息保护研究中心主办的“2019啄木鸟数据治理论坛”在北京举行。在“个人信息保护”专场,南都个人信息保护研究中心发布《2019个人信息安全年度报告》(简称《报告》)。

《报告》指出,为实际考察App在个人信息收集使用方面的情况,南都个人信息保护研究中心从隐私政策透明度、移动金融类App权限获取情况等3方面展开测评。结果显示,在移动金融类App测评中,设备识别码被严重频繁调取,“招联金融”一分钟内调用了6109次,而“拍拍贷借款”一分钟调用1468次定位权限。

七成被测评的移动金融类App分数不及格

2019年的3·15晚会上,金融借贷领域“714”高炮(具有借款周期为7天或14天,年利率畸高、需要交纳砍头息及高额逾期费用的特点)问题被曝光;下半年,公安部门套路贷整治专项行动查处多家金融借贷平台。

针对公众关注度较高的移动金融类App,南都个人信息保护研究中心选取100款下载量较高的App,从是否超范围获取权限,尤其是危险权限、用户拒绝某权限后是否频繁申请等方面展开测评。

《报告》显示,超七成App得分不及格,过半分数集中在40分和50分。

74666_700x20000.jpg

100款移动金融App的得分分布

《信息安全技术 移动互联网应用(App)收集个人信息基本规范》(草案)指出,金融借贷类App保障服务正常运行所需要的最少权限范围只涉及存储权限。

而《报告》显示,22款App强制要求获取设备识别码、定位、相机等权限,用户不同意就不能使用App。

比如用户首次打开 “汇中网”时,App要求授权摄像头、定位权限等。当用户拒绝时则弹出“为了给您更好的体验,汇中网需要您同意使用权限”的窗口,用户不同意授权则只能退出。

74660.jpg

汇中网强制获取非必要权限

值得注意的是,强制获取权限、一次性过多获取权限都是监督者关注的重点问题。

今年7月,受网信办、工信部等四部委委托,由全国信安标委、消协等成立的App专项治理工作组曾通报20款App,这些App要求用户一次性同意开启多个可收集个人信息权限,且不同意则无法安装使用,涉及猎豹安全大师、探探等。

“拍拍贷借款”一分钟调用1468次定位权限

除了上述问题,默认获取隐私权限也是监督者重点关注的问题。2018年11月,上海市消保委测评18款App并邀请企业进行沟通,多款App被曝存在默认获取权限问题。

在南都个人信息保护研究中心测评的100款移动金融类App中,68款App存在默认获取非必要权限的行为。所谓默认获取,是指用户安装以后,打开权限设置面板,发现一些权限已经默认打开。比如“小米金融”App会默认获取读取(通知类)短信的权限,“天天基金”会默认获取通话状态、访问手机识别码权限。

74661_700x20000.jpg

小米金融(左)和天天基金默认获取非必要权限

在中国金融认证中心(CFCA)的技术支持下,此次测评还对移动金融类App一段时间调用危险权限的次数进行监测。《报告》显示,设备识别码被严重频繁调取,有59款App每分钟内调用超过100次,其中“招联金融”一分钟内调用了6109次,“融360”调用了2586次,“51信用卡管家”、“51人品贷”、“还呗”、“国美易卡”、“360借条”调用超过1000次。

仅次于设备识别码、被频繁调用的是定位权限。共有44款App调用频率超过50次/分钟,其中“拍拍贷借款”调用了1468次,调用500次以上的有7款App,包括 “捷信金融”、“汇中网”等。

74665_700x20000.jpg

App调用各个隐私权限的频率分布

App注销时身份核验体验感显著提升

很长时间以来,App注销难一直被用户诟病。相比之下,注册时一个手机号、一条验证码即可完成,而注销时,有的App要求用户提供历史登录地点等信息,甚至需要提供手持身份证照片。

《信息安全技术 个人信息安全规范》最新修订草案(下称《个人信息安全规范》)规定,注销过程进行身份核验时,用户重新提供的个人信息不应多于注册、使用等环节收集的个人信息。

针对注销问题,南都个人信息保护研究中心选取了20款头部App进行测评,涉及“滴滴出行”、“QQ”、“淘宝”等。值得肯定的是,注销时身份核验的体验感显著提升,要求用户上传有效身份证件或手持身份证照的现象完全消失。

《报告》显示,19款App得分在70分或以上,且大部分支持在线注销,需满足的条件控制在5条以内。

唯一一款不及格的App是“网易邮箱”,虽然该APP在隐私政策中提到用户可以注销,但App未提供明确的注销入口及注销指引,且在App内提交反馈也没有得到回复,注销条款形同虚设。

74663.jpg

网易邮箱在《隐私声明》里的注销条款

《报告》指出,尽管App在注销功能整体得分较高,但仍有改进的地方。比如,只有一款App——“高德地图”允许用户导出、下载个人数据。

《个人信息安全规范》指出,个人信息控制者宜为个人信息主体提供获取其基本资料、身份信息等个人信息副本的方法。

“悟空租车”、“悦跑圈”等5款App仍没有隐私政策

在隐私政策透明度方面,南都个人信息保护研究中心共检测100款App,涉及购物导购、移动金融、教育文化等十个行业。

《报告》显示,100款App中,有13款达到隐私政策透明度高的层级,其中“京东金融”以95分位居第一,“美团”和“饿了么”以一分之差并列第二,其他透明度高的包括“百度”、“淘宝”等。

74664_700x20000.jpg

十大行业排名靠前的App列表

值得注意的是,“悟空租车”、“悦跑圈”、“慢慢买”、“汽车头条”、“跳跳舞蹈”仍没有隐私政策。

2018年底,南都个人信息保护研究中心发布《2018年度常用App隐私政策透明度排行榜》。与去年相比,今年测评的App在隐私政策透明度上有明显提升,从41.1分提升到73.93分。但是,仍有需要提升的地方。

《个人信息安全规范》规定,企业保存个人信息的期限为实现目的所必须的最短时间,超出期限应对个人信息进行删除或匿名化处理。然而,只有29%的App有上述表述,27%的App没有提到保存期限,其余则表达含糊。

比如“360借条”写道:“为保证您的合法权益,除法律法规另有规定外,您的个人信息保存期限将截止您注销账户之日后的5年。”

此外,先输入个人信息才能看到隐私政策的情况依然存在,还有的App在隐私政策里暗藏限制用户权利或减少企业的法定义务的条款。

来源:隐私护卫队

点击阅读全文

收起阅读全文

【特别声明】
凡注明 “我爱卡”来源的作品,媒体和个人进行全部或者部分转载,请注明出处(我爱卡)。 非“我爱卡”来源的作品,观点仅代表作者本人,我爱卡系信息发布平台,仅提供信息存储空间服务,版权归原作者所有。

卡片推荐 更多

换一批

贷款推荐 更多

换一批

我爱卡App

关于信用卡、贷款的高质量交流社区

相关文章更多

交行周周刷最强攻略!送华为Mate30快上车 4146 二次元用户注意 交行B站联名信用卡权益大调整 5856 印度数字钱包Mobikwik要转型做“信用卡”发行商 287 月入1万,欠款59万的上班族,我的人生还有希望吗? 1824 信用卡销卡?这些雷区千万不要踩! 1529 为还信用卡把裸拍视频传给陌生男子,结果……噩梦才刚刚开始! 1108 再当征信小白你就危险了!知道这些关键时刻能拿出钱来 1166 银行是如何用信用卡挣钱的?原来能挣这么多! 3822 亲测秒批!免年费的民生88VIP精英白金卡有多值得申? 58373 苹果Apple Card已接入美国信用系统!影响信用评分 1180

卡友还看过 更多

打造科技人才高地,渝企校招技术类岗位受青睐 3071 马上消费2025届校招万余份简历涌入 ,硕士以上学历占比超过80% 5948 智慧新农人:马上消费金融用科技点亮乡村 1488 马上消费携手重庆师范大学,科技创新项目获重庆市自然科学基金支持 2175 销卡已亏麻!现在快去退钱 3912

最新资讯 更多

又一则大利好!当大促碰上放水秒批 12659 重磅!逾期结清,就能修复征信!假的 2588 神逆袭,交行小神卡正式上线~ 4165 披露!非银支付机构投诉之战~ 1670 权益升级!大行神卡更强了 2927