说到个人隐私保护的时候,业内人挠头,外行更挠头。
业内人觉得,我们做了这么多东西,你们普通用户根本看不到,我委屈。
外行人觉得,我买个车,一堆做汽车用品的打推销电话;生个孩子,一堆婴幼儿用品商家打电话,我号码都被你们卖了,不怨你们怨谁?
3月15日,南都个人信息保护研究中心与中国人民大学金融科技与互联网安全研究中心举办研讨会,会上发布《移动金融用户个人信息安全测评报告》(以下简称南都报告),报告对200个移动金融APP的隐私保护情况做出测评。
这些移动金融App都是大家耳熟能详的牌子,例如,中国银行、陆金所、趣店……
从评测结果看,这些大公司对用户的隐私保护,真是配不上他们的名气。
南方都市报编委虞伟表示,选择这些APP,对他们个人信息保护的合规程度做严格的测评,选择了315向大家发布,就是希望能够对于保护消费者权益起到推动作用。
根据测评,在200个App中,仅有18款App的得分在60分以上,并列95分的高标准APP仅有两个,分别是京东金融和支付宝。
换句话说,那就是182个网民每天在用的金融APP,隐私保护不及格。
不及格率高达91%
问题一:隐私政策更新缓慢,格式条款报告称,大部分APP 的隐私政策都存在言语模糊、更新缓慢、暗藏格式条款等弊病。从内容来看,描述企业权利以及可免除责任的居多,描述企业在保护用户个人信息时应尽义务的寥寥。
这段话看起来比较晦涩,我来举个例子大家就明白了。
1月初,支付宝举办了一个刷屏级的营销活动,“晒出你的支付宝账单”。这个活动本来很好,但在大家不注意的地方,隐藏了一行小字,“我同意《芝麻信用协议》”,并且前面进行了默认勾选。
而且黑奇士查询所谓的“芝麻信用协议”时,发现这份协议的更新时间为2015年12月25日。
“更新缓慢”、“暗藏格式条款”,这个活动被展现的淋漓尽致。
在本次测评中,支付宝App获得了不错的分数,看来也是吸取了两个月之前的教训吧。
问题二:95款App滥用短信读取功能国家标准规定,互联网产品收集用户个人信息应符合最小化原则,只有当用户的个人信息与产品的业务功能有直接关联时,产品才可以收集。
如果你选了始终,美团就能随时监控你位置
例如,地图产品收集GPS位置就是合理的,而金融产品也收集GPS信息,就有滥用之嫌。
南都报告指出,绝大多数移动金融 APP严重违反最小化收集原则,疯狂收集许多无关隐私信息。例如,在200个App中,有95款向系统申请了读取短信的权限,几乎达到半数。
虽然开放这个权限,当你接收验证码的时候,可以省掉一步手动输入的麻烦。但如果开放这个权限,就意味着所有的短信商家都有权限读取,甚至包括女友给你发送的暧昧短信。
更重要的是,用户的短信内容常常包含银行卡余额、改密验证码等敏感信息,一旦泄露后果严重。(如果这些大公司作恶,那后果真是让人不寒而栗)
问题三:隐私政策黑红榜,趣店拿了零分隐私政策不透明,收集隐私信息而不明示,是很多金融类App存在的通病。
南都报告公布了隐私政策的红黑榜。红榜APP在隐私透明政策上做的相对较好,例如京东金融和支付宝,分数打到了95分。
黑榜中知名公司更多,像中国建设银行、中国银行这样的传统银行存在问题还情有可原,可以被看成是思维僵化、用户保护机制落后。
而像趣店这样已经在美国上市,市值曾高达百亿美元的新兴巨头,在此项上获得零分,就显得有些让人惊讶。
德勤中国合伙人薛梓源在会上指出,海外的隐私政策要求比较严格,例如美国的针对医疗信息和数据的保护、金融现代法案中,对个人信息保护有严格要求,甚至有对儿童特殊保护的要求。如果你登陆国外的网站,网站收集什么信息,目的、用途一目了然,包括个人明示的同意。
他表示,从法规落地、监管检查等多方面综合考虑,国内个人信息的管理提升还需要一定的时间的。
原因和对策南都报告指出,APP获取敏感隐私权限和收集敏感信息时的合规程度较低,这一方面是由于应用开放商没有对于个人信息与个人敏感信息的区分意识,另一方面是由于与敏感权限相关的法律法规较少。
专家称,财产信息、实名身份信息都属于个人敏感信息,移动金融APP产品相比其他领域APP,会更频繁地使用这类信息,如果在收集时都不能做到合法合规,那么,其安全性与对个人敏感信息的重视程度都值得用户警惕。
