說到個人隱私保護的時候,業內人撓頭,外行更撓頭。
業內人覺得,我們做了這麼多東西,你們普通用戶根本看不到,我委屈。
外行人覺得,我買個車,一堆做汽車用品的打推銷電話;生個孩子,一堆嬰幼兒用品商家打電話,我號碼都被你們賣了,不怨你們怨誰?
3月15日,南都個人信息保護研究中心與中國人民大學金融科技與互聯網安全研究中心舉辦研討會,會上發佈《移動金融用戶個人信息安全測評報告》(以下簡稱南都報告),報告對200個移動金融APP的隱私保護情況做出測評。
這些移動金融App都是大家耳熟能詳的牌子,例如,中國銀行、陸金所、趣店……
從評測結果看,這些大公司對用戶的隱私保護,真是配不上他們的名氣。
虞偉
南方都市報編委虞偉表示,選擇這些APP,對他們個人信息保護的合規程度做嚴格的測評,選擇了315向大家發佈,就是希望能夠對於保護消費者權益起到推動作用。
根據測評,在200個App中,僅有18款App的得分在60分以上,並列95分的高標準APP僅有兩個,分別是京東金融和支付寶。
換句話說,那就是182個網民每天在用的金融APP,隱私保護不及格。
不及格率高達91%
問題一:隱私政策更新緩慢,格式條款
報告稱,大部分APP 的隱私政策都存在言語模糊、更新緩慢、暗藏格式條款等弊病。從內容來看,描述企業權利以及可免除責任的居多,描述企業在保護用戶個人信息時應盡義務的寥寥。
這段話看起來比較晦澀,我來舉個例子大家就明白了。
1月初,支付寶舉辦了一個刷屏級的營銷活動,“曬出你的支付寶賬單”。這個活動本來很好,但在大家不注意的地方,隱藏了一行小字,“我同意《芝麻信用協議》”,並且前面進行了默認勾選。
而且黑奇士查詢所謂的“芝麻信用協議”時,發現這份協議的更新時間為2015年12月25日。
“更新緩慢”、“暗藏格式條款”,這個活動被展現的淋漓盡致。
在本次測評中,支付寶App獲得了不錯的分數,看來也是吸取了兩個月之前的教訓吧。
問題二:95款App濫用短信讀取功能
國家標準規定,互聯網產品收集用戶個人信息應符合最小化原則,只有當用戶的個人信息與產品的業務功能有直接關聯時,產品才可以收集。
如果你選了始終,美團就能隨時監控你位置
例如,地圖產品收集GPS位置就是合理的,而金融產品也收集GPS信息,就有濫用之嫌。
南都報告指出,絕大多數移動金融 APP嚴重違反最小化收集原則,瘋狂收集許多無關隱私信息。例如,在200個App中,有95款向系統申請了讀取短信的權限,幾乎達到半數。
雖然開放這個權限,當你接收驗證碼的時候,可以省掉一步手動輸入的麻煩。但如果開放這個權限,就意味著所有的短信商家都有權限讀取,甚至包括女友給你發送的曖昧短信。
更重要的是,用戶的短信內容常常包含銀行卡餘額、改密驗證碼等敏感信息,一旦洩露後果嚴重。(如果這些大公司作惡,那後果真是讓人不寒而慄)
問題三:隱私政策黑紅榜,趣店拿了零分
隱私政策不透明,收集隱私信息而不明示,是很多金融類App存在的通病。
南都報告公佈了隱私政策的紅黑榜。紅榜APP在隱私透明政策上做的相對較好,例如京東金融和支付寶,分數打到了95分。
黑榜中知名公司更多,像中國建設銀行、中國銀行這樣的傳統銀行存在問題還情有可原,可以被看成是思維僵化、用戶保護機制落後。
而像趣店這樣已經在美國上市,市值曾高達百億美元的新興巨頭,在此項上獲得零分,就顯得有些讓人驚訝。
德勤中國合夥人薛梓源在會上指出,海外的隱私政策要求比較嚴格,例如美國的針對醫療信息和數據的保護、金融現代法案中,對個人信息保護有嚴格要求,甚至有對兒童特殊保護的要求。如果你登陸國外的網站,網站收集什麼信息,目的、用途一目瞭然,包括個人明示的同意。
他表示,從法規落地、監管檢查等多方面綜合考慮,國內個人信息的管理提升還需要一定的時間的。
原因和對策
南都報告指出,APP獲取敏感隱私權限和收集敏感信息時的合規程度較低,這一方面是由於應用開放商沒有對於個人信息與個人敏感信息的區分意識,另一方面是由於與敏感權限相關的法律法規較少。
專家稱,財產信息、實名身份信息都屬於個人敏感信息,移動金融APP產品相比其他領域APP,會更頻繁地使用這類信息,如果在收集時都不能做到合法合規,那麼,其安全性與對個人敏感信息的重視程度都值得用戶警惕。
閱讀更多 黑奇士 的文章
