20款金融类APP隐私安全测试（附表格）

发布时间：2019.12.11 作者：探长读财阅读：

随着现金贷行业的野蛮发展，大数据风控服务需求旺盛。为了抢占市场，数据公司获取信息的方式不设边界。在踩上了数据来源违法、滥用的红线后，魔蝎科技、新颜科技高管相继被警方带走调查。与此同时，白骑士、天机数据、立木征信、聚信立等纷纷宣布暂停爬虫业务。

数据行业由此从风口变成了“封口”，个人信息安全也被公众重视起来。

12月4日，国家网络安全通报中心通报，2019年11月以来，100款违法违规App被下架整改，房天下、晋江小说阅读、考拉海购、光大银行、天津银行、猪八戒网、樊登读书等在列。

12月5日，南方都市报发布《2019个人信息安全年度报告》显示，100款APP中，有13款达到隐私政策透明度高的层级，其中“京东金融”以95分位居第一，“美团”和“饿了么”以一分之差并列第二，其他透明度高的包括“百度”、“淘宝”等。报告指出，招联金融、360借条严重频繁调取设备识别码，拍拍贷、汇中网频繁调用定位权限。

为了进一步测试金融类APP的隐私安全情况，探长读财实测20款金融类APP，根据页面提示第一项授权、第二项授权、第三项授权、第四项授权，以及默认授权，以拒绝(×)或允许(√)的方式，测试能否正常使用APP(注：因读写存储为正常运行需要授权，其余请求授权一律选择拒绝)。

测试金融类APP涵盖5家银行类(中国银行、广发银行、微众银行、南京银行、北京农商银行)、5家保险类(太平洋保险、平安保险商城、慧择保险、小雨伞保险、水滴筹)、5家理财类(蚂蚁财富、南方基金、微诺亚、宜人财富、富途牛牛)、5家持牌消金(招联金融、中邮钱包、浪小花、借蛙、消邦)、5家现金贷(360借条、万达贷、金山贷款、豆豆钱、国美易卡)。

根据《信息安全技术移动互联网应用(App)收集个人信息基本规范》(草案)，金融借贷类App保障服务正常运行所需要的最少权限范围只涉及存储权限。

然而，很多APP都习惯提前获得更多授权。

例如，首次打开蚂蚁财富(蚂蚁金服旗下)，页面提示允许蚂蚁财富获取手机号码、IMEI、IMSI权限吗？点击拒绝之后，页面再提示开启允许蚂蚁财富访问您设备上的照片、媒体内容和文件吗？再次点击拒绝之后，页面会弹出获取存储空间的提示：“我们需要获取存储空间，为你存储个人信息;否则，你将无法正常使用蚂蚁财富。”点击确定，页面再次提示开启上述两项授权。

不过，当探长在设置中将蚂蚁财富“读写手机存储”开启后，重新打开蚂蚁财富，页面直接跳过授权提示，进入使用支付宝授权登录/密码登录。

此外，也有APP会以“风险”、“安全”等理由收集用户脸部图像、位置信息，以及通话记录。

探长注意到，360借条隐私条款显示，为了完成实名制管理、客户身份识别，也为了防范欺诈风险，保障账号安全，您需要完成人脸识别认证，我们会手机您的脸部图像，您可以通过开启相机权限，完成身份认证及人脸识别认证。为了有效识别短时异地登录等账户异常情况，我们需要手机您的位置信息，需要您授权开始“位置权限”。另外，为准确评估您的信贷资格，也为了维护您及其他客户的合法权益，防止您的贷款资金被不法分子获取，保障您的账户资金安全，我们将收集您的通话记录。

当然，也有通过开启授权或隐私政策，规避APP收集信息带来的风险。

例如，借蛙(晋商消金旗下)隐私政策显示，当您通过我们提供的产品或服务获得借款时，我们将收集您的亲戚朋友、联系人及其手机号码，请您确保您在我们提供该信息时已经获得您的亲戚朋友、联系人的同意。如您向我们提供的亲戚朋友、联系人及其手机号码的行为未经过其本人同意，我们与您的亲戚朋友、联系人进行联系所发生的风险及责任由您承担。

事实上，使用APP并非需要所有授权，只有使用某项功能时，才需要开启相关授权。

探长注意到，平安保险商城一开始只需要获取手机号码、IMEI、IMSI授权，并未直接提示开通照片、媒体内容和文件，也没提示开通定位授权。不过，平安保险商城隐私条款显示，在您使用图片上传功能时，我们会申请使用您的相机/相册权限，如您不同意提供信息，我们将无法为您提供相机相关服务，但不影响您使用其他功能。当您开启设备定位功能并使用我们的LBS时，我们可能会收集和使用您的位置信息，以实现我们为您提供本地周边服务的目的。

此外，还有一些授权对用户来说几乎没有用，但APP商家却用来做统计和分析。

例如，20款APP全部默认开启“读取应用列表”授权，根据应用商店提示，此权限可让该应用了解设备上运行了哪些应用。事实上，包括微信、支付宝在内，几乎所有安卓APP都默认开启该授权，但关闭该授权却并不影响使用。探长尝试关闭微信“读取应用列表”授权之后，并不影响发送文字及语音功能(语音功能需开启录音授权)。显然，“读取应用列表”并非必须授权选项。

金山贷款隐私政策显示，为了向您提供更为方便、快捷、顺畅、个性化的服务，我们通过Cookie等技术为您提供包括记住账户和密码(省去重复输入账户和密码)、分析您使用金山金融服务的情况(我们通过Cookie、web beacon等技术了解您使用金融金融服务的具体用途，以及哪些网页或服务受您欢迎)、广告优化(Cookie、web beacon等技术有助于我们根据您的信息，向您提供与您相关的广告而非普通广告投放)。

附20款金融类APP隐私安全测试结果