现代市场经济体制,数据成为最重要的资产,其中,用户的个人信息又成为重中之重。但谁才是信息的主体,商业公司又应该如何把握使用的边界,在提供服务的时候需要注意哪些问题?成为发展中的“必答题”。
保险行业作为个人信息密集行业,其展业过程离不开对客户个人信息的收集、使用、存储、传输。由此,引导行业重视消费者个人隐私保护,规范行业对消费者个人信息收集方式,具有重要意义。
11月22日,在我国《个人信息保护法》正式实施一周年之际,复旦大学大数据研究院大数据内生安全研究所与网络与数字安全保险研究所联合发布了《保险 App 用户隐私与个人信息保护的若干隐患》(以下简称《报告》)研究报告,聚焦保险APP对于用户隐私以及个人信息保护的情况。
《报告》选取52家保险业协会发布的保险公司、保险中介和部分参与惠民保业务健康管理公司主要使用的App作为测试样本,采用复旦大学金融消费者App用户隐私保护分析框架,检视当前保险App对用户隐私与消费者个人信息保护的现状与问题。
根据保险业协会披露的相关数据,统计结果显示,目前有18%的财险公司、46%的寿险公司应用App开展业务。
复旦大学将市面上所有的主流保险行业App都进行了测试,共52家。其中,寿险公司占比最多,达35%,经纪公司、财险公司及惠民保健康管理公司分别占比25%、20%、20%。检测覆盖首次注册App, 到后台运行,及关闭App后再次进入等多个阶段。
测试结果显示,保险行业不同的运行主体间具有相似的隐私保护问题,行业整体的消费者隐私保护意识均有待加强。其中,相比大公司,中小型公司暴露出的用户隐私保护问题更多。而相比财险公司,寿险公司暴露出的用户隐私保护问题更多。
测试结果显示,人保、国寿、太平、太保、平安、泰康及新华保险等老七家头部公司,暴露出的隐私保护问题平均约6项,其他公司平均约为9项,远高于头部公司。
相比财险公司,寿险公司暴露出的隐私保护问题更多。测试发现,寿险公司暴露出的隐私保护问题平均约10项,财险公司暴露出的平均约9项。
除保险公司外,保险经纪公司和参与惠民保业务的健康管理公司也存在一定的隐私保护问题, 比如App频繁使用剪切板、App隐私政策文本对关键信息表述不清晰等。
此外,需要说明的是,研究团队进行App隐私测试过程中,由于部分大型公司自身的技术能力较强,设置了防火墙等机制,导致部分App的测试结果并未得到呈现。
另外,保险公司可能会在与App开发外包公司、广告类公司、分析服务类公司、供应商等第三方产生数据交互,从而可能造成第三方对隐私数据保护不到位,消费者隐私信息被不法分析利用,严重危害消费者合法权益。
根据测试结果,《报告》共得出六项主要观点与发现,下文即为详细内容(欲获取完整报告请于公众号首页回复“保险APP”):
主要观点与发现一
保险公司App在用户隐私与信息保护方面存在诸多不足,共性存在15大问题,部分头部保险公司同样存在相关问题
保险公司App触犯的用户主要隐私保护问题有App频繁使用剪切板、App在获取用户同意前收集设备及环境信息、App申请权限未说明原因或未在必要场景下、App隐私政策文本对关键信息表述不清晰等。以上这些隐私保护问题大多为App在用户不知情的情况下采集了用户的设备信息,或频繁调用剪切板收集用户的个人敏感信息,显然这些都是不符合个人隐私保护政策的。保险公司的运营过程难免要与客户频繁交流并收集客户信息,作为个人信息密集行业,保险乃至金融行业都应取之有道,用之有度,时刻敲响客户个人信息保护的警钟。表1列出了本报告进行App隐私测试过程中完成全流程检测的保险公司App名称及其版本号,并举例列举相关App存在的用户隐私保护问题(中国人寿财险APP所属公司系国寿财险)
表1 保险公司App侵犯用户隐私保护问题一览表
编辑
主要观点与发现二
除保险公司外,保险经纪公司与参与城市定制型商业医疗保险(惠民保)的健康管理公司同样存在类似的App用户隐私保护问题
在App用户隐私测试过程中,保险公司App中频繁出现的用户隐私保护问题,比如App频繁使用剪切板、App隐私政策文本对关键信息表述不清晰等也出现在测试的保险经纪公司和参与城市定制型商业医疗保险,即惠民保业务的健康管理公司的App中。可见,保险行业不同的运行主体间具有相似的App隐私保护问题,行业整体的个人消费者隐私保护意识均有待加强。表2和表3列出了本次App隐私测试的经纪公司以及参与惠民保的若干健康管理公司的主要隐私保护问题。
表2:经纪公司App侵犯用户隐私保护问题一览表
表3:参与惠民保的健康管理公司App侵犯隐私保护问题一览表
编辑
主要观点与发现三:
中小型保险公司相比头部保险公司的消费者隐私保护问题更加突出,寿险公司相比财险公司暴露的隐私保护问题更多
相比大公司,中小型公司暴露出的消费者隐私保护问题更多。考虑到公司综合实力、保费规模等因素,我们将人保、人寿、太平、太保、平安、泰康及新华保险(老七家)定义为头部公司。测试结果显示,头部公司暴露出的隐私保护问题平均约6项,其他公司暴露出的隐私保护问题平均约为9项,远高于头部公司。
相比财险公司,寿险公司暴露出的隐私保护问题更多。此外,健康管理公司和保险经纪公司也存在一定的隐私保护问题。我们还发现,测试样本中,寿险公司暴露出的隐私保护问题略高于财险公司:寿险公司暴露出的隐私保护问题平均约10项,财险公司暴露出的隐私保护问题平均约9项。
主要观点与发现四
目前我国金融消费者App用户隐私保护尚缺完整的分析框架,《复旦大学金融消费者App用户隐私保护分析框架》涵盖了用户使用App全流程中可能遇到的隐私保护问题,可作为监管部门与金融行业未来检视金融消费者App用户隐私保护的参考分析框架
本报告从保护金融消费者在网络空间的合法权益,规范金融行业对消费者个人信息收集方式的角度出发,参考《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、国信办秘字〔2019〕191号和工信部信管函〔2020〕164号等法律法规,提出了复旦大学金融消费者App用户隐私保护分析框架,以期对行业之后的隐私安全研究有所助力。图1列出了分析框架的主要分析流程,详细内容请参考本报告的第二部分。
编辑
图1 复旦大学金融消费者App用户隐私保护分析框架简介
主要观点与发现五
报告基于分析框架对保险行业App展开了用户隐私保护问题的测试并分析总结出常见的15项问题
本报告发现保险公司App测试结果中存在15项问题,基于分析框架将测试结果分为两类,如图2所示:
一类与App隐私政策相关,按照隐私政策文本内容与用户获取隐私政策文本的难易程度再次细分;其中,隐私政策文本内容共有6项问题,用户获取隐私政策文本的难易程度共有3项问题。
一类与App申请权限相关,按照申请权限的条件要求和不同时间节点下申请权限的规定再次细分;其中申请权限的条件要求共有3项问题,不同时间节点下申请权限的规定要求共有3项问题。
编辑
图2 保险行业App用户隐私保护15项问题分类
(一)App 隐私政策相关问题
隐私政策相关问题可以分为两部分内容:
1.根据分析框架下的隐私政策文本类,App隐私政策文本应该内容清晰完整,方便用户阅读和理解,如实披露相关信息,而大多App隐私政策内容都存在表述不规范的问题。共有以下6项问题:
问题一:App隐私政策文本未对个人信息进行显著标识
问题二:App隐私政策文本未披露其发布、生效日期
问题三:App隐私政策文本未指明其对用户个人信息操作的反馈时间
问题四:App隐私政策文本未列明各项业务功能收集的信息及权限
问题五:App隐私政策文本未说明Cookie等技术的使用机制
问题六:App隐私政策文本未披露第三方SDK相关信息
2.根据分析框架下的使用主体功能前的隐私政策文本类,本报告新增了用户获取隐私政策文本的难易程度问题。该问题主要是指用户难以便捷、清晰地获取隐私政策,小部分App存在此类问题,例如App在注册登录处可能并未展示隐私政策,App隐私政策难以阅读、难以访问等。共有以下3项问题:
问题七:App在注册和登录处未提供隐私政策或隐私政策强制用户同意
问题八:App隐私政策内容未主动弹出
问题九:App隐私政策内容难以阅读和访问
(二)App申请权限相关问题
申请权限相关问题可以分为两部分内容:
1.根据分析框架下的使用主体功能中收集个人信息和申请用户权限类,申请权限需要遵循提前告知原则和最小必要原则,且必须经过用户授权。提前告知原则是指App收集个人信息时应该提前告知用户使用原因,不得强制要求用户同意。最小必要原则是指App收集个人信息需要在必要场景下进行,申请权限必须要和现有业务功能相关,不能超出实际业务需要。本次测试发现大部分App并未经过用户同意便擅自调用相关函数收集用户权限,主要集中在“设备信息搜集”和“定位服务”方面。共有以下3项问题:
问题十:App申请权限未说明使用原因
问题十一:App申请权限未在必要场景下
问题十二:App申请权限未获得用户授权
2.由于App收集用户信息会贯穿整个App使用流程,无论在用户同意隐私政策之前、之后还是App进入后台运行时,用户隐私均有可能受到侵犯。因此,根据分析框架下的使用主体功能中收集个人信息和申请用户权限类,本报告新增了不同时间节点下申请权限的规定要求,利用测试工具,从系统底层监测不同时间节点下的App运行情况。本次测试发现部分App会在使用过程中频繁收集设备信息,擅自使用设备剪贴板和传感器,在后台运行时仍会读取设备信息等问题。本报告将App使用过程分为以下三个时间节点,根据不同时间节点下的政策规定分别阐述App使用过程中存在的问题。共有以下3项问题:
问题十三:用户同意隐私政策之前App未按规定申请权限
问题十四:用户同意隐私政策之后App未按规定申请权限
问题十五:App后台运行时未按规定申请权限
主要观点与发现六
保险行业个人信息密集,部分大型公司设置防火墙等机制,中小型公司使用小程序、公众号等作为展业平台,因此不包含在本次测试范围内,但其涉及的用户隐私保护问题同样值得关注,并需要各方主体的共同维护
在现代市场经济体制下,个人信息尤为重要。因为个人信息的收集与企业的客户资源、业务规模和工作收入等都有紧密联系。保险行业作为个人信息密集行业,其展业过程离不开对客户个人信息的收集、使用、存储、传输等环节。近期,保险行业个人信息泄漏乱象频发,银保监会在业内下发《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》(以下简称《通知》),督促银行保险机构建立健全消费者个人信息保护工作,完善个人信息收集、使用、存储、传输、删除等各环节的操作规范。
相比于一般的产品服务,保险公司 APP 收集的个人信息更为详细。保险的目的是实现损失均摊,大量信息和数据的收集符合大数法则,有利于保险公司定价和展业,因此,在投保阶段,用户需要向保险公司提供详细的个人信息,包括但不限于健康状况、工作状况和资产状况等,这些敏感个人信息都需要更加周密的保护。
本报告进行App隐私测试过程中,由于部分大型公司自身的技术能力较强,设置了防火墙等机制,导致部分App的测试结果并未得到呈现;此外,中小型公司除了使用App作为自己的展业平台外,还有大量公司选择使用小程序、公众号等,虽然小程序和公众号等不在本报告的测试范围内,但其涉及的用户隐私保护问题同样值得行业关注。此外,保险公司可能会在与第三方(如App开发外包公司、广告类公司、分析服务类公司、供应商等)产生数据交互,从而可能造成第三方对隐私数据保护不到位,消费者隐私信息被不法分析利用,严重危害消费者合法权益。
本报告所发现的问题是基于保险公司特定的App版本进行测试,所呈现出的问题也是相关的App在用户隐私保护与个人信息采集上客观存在的问题,本报告旨在如实地呈现测试结果,并不代表相关机构存在故意或恶意采集App用户个人信息行为及侵犯消费者隐私。
消费者隐私保护问题需要监管、行业、科技公司和消费者来共同维护。监管部门的政策法规支持可以约束行业侵犯消费者隐私的行为,督促行业逐步实现高度自律;保险公司对消费者权益保护和注重数据管理有利于行业转型与高质量发展;科技公司的技术支持和消费者自我隐私保护意识的提升可以助力行业早日实现全方位的隐私保护,共同构建消费者隐私保护的良好生态。
< END >