2019个人信息安全年度报告：拍拍贷每分钟调用位置权限1468次

发布时间：2019.12.10 作者： zxl 阅读：

12月5日，由南方都市报大数据研究院·南都个人信息保护研究中心主办的“2019啄木鸟数据治理论坛”在北京举行。在“个人信息保护”专场，南都个人信息保护研究中心发布《2019个人信息安全年度报告》（简称《报告》）。

《报告》指出，为实际考察App在个人信息收集使用方面的情况，南都个人信息保护研究中心从隐私政策透明度、移动金融类App权限获取情况等3方面展开测评。结果显示，在移动金融类App测评中，设备识别码被严重频繁调取，“招联金融”一分钟内调用了6109次，而“拍拍贷借款”一分钟调用1468次定位权限。

七成被测评的移动金融类App分数不及格

2019年的3·15晚会上，金融借贷领域“714”高炮（具有借款周期为7天或14天，年利率畸高、需要交纳砍头息及高额逾期费用的特点）问题被曝光；下半年，公安部门套路贷整治专项行动查处多家金融借贷平台。

针对公众关注度较高的移动金融类App，南都个人信息保护研究中心选取100款下载量较高的App，从是否超范围获取权限，尤其是危险权限、用户拒绝某权限后是否频繁申请等方面展开测评。

《报告》显示，超七成App得分不及格，过半分数集中在40分和50分。

100款移动金融App的得分分布

《信息安全技术 移动互联网应用（App）收集个人信息基本规范》（草案）指出，金融借贷类App保障服务正常运行所需要的最少权限范围只涉及存储权限。

而《报告》显示，22款App强制要求获取设备识别码、定位、相机等权限，用户不同意就不能使用App。

比如用户首次打开 “汇中网”时，App要求授权摄像头、定位权限等。当用户拒绝时则弹出“为了给您更好的体验，汇中网需要您同意使用权限”的窗口，用户不同意授权则只能退出。

汇中网强制获取非必要权限

值得注意的是，强制获取权限、一次性过多获取权限都是监督者关注的重点问题。

今年7月，受网信办、工信部等四部委委托，由全国信安标委、消协等成立的App专项治理工作组曾通报20款App，这些App要求用户一次性同意开启多个可收集个人信息权限，且不同意则无法安装使用，涉及猎豹安全大师、探探等。

“拍拍贷借款”一分钟调用1468次定位权限

除了上述问题，默认获取隐私权限也是监督者重点关注的问题。2018年11月，上海市消保委测评18款App并邀请企业进行沟通，多款App被曝存在默认获取权限问题。

在南都个人信息保护研究中心测评的100款移动金融类App中，68款App存在默认获取非必要权限的行为。所谓默认获取，是指用户安装以后，打开权限设置面板，发现一些权限已经默认打开。比如“小米金融”App会默认获取读取（通知类）短信的权限，“天天基金”会默认获取通话状态、访问手机识别码权限。

小米金融（左）和天天基金默认获取非必要权限

在中国金融认证中心（CFCA）的技术支持下，此次测评还对移动金融类App一段时间调用危险权限的次数进行监测。《报告》显示，设备识别码被严重频繁调取，有59款App每分钟内调用超过100次，其中“招联金融”一分钟内调用了6109次，“融360”调用了2586次，“51信用卡管家”、“51人品贷”、“还呗”、“国美易卡”、“360借条”调用超过1000次。

仅次于设备识别码、被频繁调用的是定位权限。共有44款App调用频率超过50次/分钟，其中“拍拍贷借款”调用了1468次，调用500次以上的有7款App，包括 “捷信金融”、“汇中网”等。

App调用各个隐私权限的频率分布

App注销时身份核验体验感显著提升

很长时间以来，App注销难一直被用户诟病。相比之下，注册时一个手机号、一条验证码即可完成，而注销时，有的App要求用户提供历史登录地点等信息，甚至需要提供手持身份证照片。

《信息安全技术 个人信息安全规范》最新修订草案（下称《个人信息安全规范》）规定，注销过程进行身份核验时，用户重新提供的个人信息不应多于注册、使用等环节收集的个人信息。

针对注销问题，南都个人信息保护研究中心选取了20款头部App进行测评，涉及“滴滴出行”、“QQ”、“淘宝”等。值得肯定的是，注销时身份核验的体验感显著提升，要求用户上传有效身份证件或手持身份证照的现象完全消失。

《报告》显示，19款App得分在70分或以上，且大部分支持在线注销，需满足的条件控制在5条以内。

唯一一款不及格的App是“网易邮箱”，虽然该APP在隐私政策中提到用户可以注销，但App未提供明确的注销入口及注销指引，且在App内提交反馈也没有得到回复，注销条款形同虚设。

网易邮箱在《隐私声明》里的注销条款

《报告》指出，尽管App在注销功能整体得分较高，但仍有改进的地方。比如，只有一款App——“高德地图”允许用户导出、下载个人数据。

《个人信息安全规范》指出，个人信息控制者宜为个人信息主体提供获取其基本资料、身份信息等个人信息副本的方法。

“悟空租车”、“悦跑圈”等5款App仍没有隐私政策

在隐私政策透明度方面，南都个人信息保护研究中心共检测100款App，涉及购物导购、移动金融、教育文化等十个行业。

《报告》显示，100款App中，有13款达到隐私政策透明度高的层级，其中“京东金融”以95分位居第一，“美团”和“饿了么”以一分之差并列第二，其他透明度高的包括“百度”、“淘宝”等。

十大行业排名靠前的App列表

值得注意的是，“悟空租车”、“悦跑圈”、“慢慢买”、“汽车头条”、“跳跳舞蹈”仍没有隐私政策。

2018年底，南都个人信息保护研究中心发布《2018年度常用App隐私政策透明度排行榜》。与去年相比，今年测评的App在隐私政策透明度上有明显提升，从41.1分提升到73.93分。但是，仍有需要提升的地方。

《个人信息安全规范》规定，企业保存个人信息的期限为实现目的所必须的最短时间，超出期限应对个人信息进行删除或匿名化处理。然而，只有29%的App有上述表述，27%的App没有提到保存期限，其余则表达含糊。

比如“360借条”写道：“为保证您的合法权益，除法律法规另有规定外，您的个人信息保存期限将截止您注销账户之日后的5年。”

此外，先输入个人信息才能看到隐私政策的情况依然存在，还有的App在隐私政策里暗藏限制用户权利或减少企业的法定义务的条款。

来源：隐私护卫队