江苏龙网

  1. 首页 > 资讯 > 资讯 > >

App|超半数消金App获取权限未告知目的 平安消金、马上金融等强制获取权限( 二 )


《数据安全管理办法》明确指出 , “不得因个人信息主体拒绝或者撤销同意收集上述信息以外的其他信息 , 而拒绝提供核心业务功能服务” , 而课题组监测发现 , 本轮被测App强制获取授权的表现就是当用户拒绝授权后 , 无法使用App 。 比如中邮钱包 , 拒绝授权后立马闪退 , 必须要开启要求的权限后 , 才能使用App 。 而幸福花则是拒绝授权后App功能几乎完全不能使用 , 需要同时打开手机设备、位置和存储后 , App才恢复正常运行 。 晋享钱包虽然没有在拒绝权限时禁止用户进入App , 但是在当需要激活额度时 , 强制获取设备位置信息、访问通讯录和访问手机通话记录权限 , 用户必须同意上述几项授权 , 否则就进入不了下一步 。
《自评估指南》要求 , 当App打开系统权限时(不包括用户自行在系统设置中打开权限的情况) , App应当说明该权限将收集个人信息的目的 。 但测评中我们发现 , 被测App往往只在隐私政策中有说明 , 并未在App中以弹窗等方式明确告知用户需要打开某一权限的目的 , 也未解释清晰所对应的是使用哪一个业务功能 。 这一方面可参考马上金融、安逸花App , 对所需获取的权限在开屏时就进行弹窗提示 , 或参考招联金融、招联好期贷两个App的做法 , 在用户拒绝授权后弹窗提示用户 , 根据何种条款的要求、根据何种业务功能的需求 , 需要获取该项授权 。
中原消金等收集个人信息规则模糊不清
获取权限之外 , 收集个人信息也是消金类App问题较为严重的部分 。 有近一半App未清晰说明第三方代码插件(含SDK)的使用情况 , 涉及App包括中原消费金融、幸福花、金美信金融、易开花、消邦、包银消费金融、华融消费金融、长银消费金融、盛银消费金融、晋享钱包、嗨袋 。 其中有82%的App完全没有提及任何关于第三方插件或SDK包的使用情况 。 而最新的《网络安全标准实践指南——移动互联网应用程序(App)个人信息安全防范指引》(征求意见稿)中规定 , 需要对嵌入的收集用户个人信息的第三方SDK进行披露 , 告知第三方SDK类型 , 及收集使用的个人信息的目的、方式和范围 , 如存在第三方SDK将个人信息传输至境外的 , 也需说明跨境传输个人信息的目的、类型和接收方等 。
而马上金融、安逸花、招联金融、招联好期贷、海尔消费金融、够花和空手到等App在第三方SDK的披露上做得比较好 , 以表格形式将设备类型、嵌入SDK名称、第三方机构名称、场景描述、个人信息类型、个人信息字段和数据是否去标识化传输等信息一一对应地披露给用户 , 易读性也较强 。 但值得注意的是 , 海尔消费金融在使用SDK表格中披露 , 使用了魔蝎科技提供的SDK技术获得公积金信息 。 据公开报道显示 , 2019年9月起 , 公安机关在“净网2019”行动中重点打击了一批大数据风控公司 , 这些公司运用爬虫技术为银行、消费金融公司、网贷平台提供用户的个人信息数据 , 其中就包括魔蝎科技 。 据业内人士介绍 , 目前大数据风控公司的公积金数据基本上都是利用爬虫技术从公积金网站上抓取 , 实际上并不合规 。
此外 , 还有超四成的App未清晰说明收集个人信息的业务功能、目的、方式和范围 。 比如中原消费金融并未按照核心业务功能来说明需要用户提供的个人信息 , 而是以“提升服务体验、改进服务质量、防范风险”为由 , 请用户同意“收集您的通讯录列表、通讯记录、相机/相册权限”等重要个人信息 。 华融消费金融在隐私政策中的表述也十分笼统 , 各项业务范围不清晰 , 使用“产品/服务”来大范围概括业务内容 , 其描述称:“您在使用我们的产品与/或服务时 , 我们会使用您的个人信息及其他在具体业务开展过程中基于您的同意而采集的信息进行资格审核、风险管理及控制 , 检测、预防及/或修复欺诈或其他潜在的非法活动 。 ”
测评标准说明
本次测评 , 设定了手机权限获取、隐私政策文本和收集使用个人信息行为3个一级维度 。 满分100分 , 计分权重分别占比20%、50%和30% 。
在“手机权限获取”维度中 , 涉及用户进入App时 , 是否弹窗申请权限、是否强制获取权限、是否默认获取权限、申请权限是否明示目的等12个具体指标 。 其中 , 南都金融合规研究课题组重点考查了App在强制获取权限、申请权限是否明示目的、在隐私政策中是否明确告知申请权限涉及的功能等情况 。
在“隐私政策文本”维度下设隐私政策的独立性、易读性 , 清晰说明各项业务功能及所收集个人信息类型 , 清晰说明个人信息处理规则及用户权益保障 , 隐私政策等文件是否存在免责等不合理条款4个二级维度、26个具体指标 , 计分权重分别占比10%、50%、30%和10% 。 按一级维度权重算 , 满分50分 。 南都金融合规研究课题组重点考查了隐私政策中对个人信息收集规则、第三方代码插件和权限申请的相关问题 。
在“收集使用个人信息行为”维度中 , 主要测评了个人信息传输至第三方服务器时 , 是否通过弹窗提示等方式明确告知用户、收集个人信息前是否提供由用户主动选择同意或不同意的选项 , 是否由用户主动填写、点击、勾选等自主行为作为产品或服务的业务功能开启或开始收集个人信息的条件等10个具体指标 。


推荐阅读


上一篇:河南大学|报告文学丨烽火壮歌

下一篇:数字化|联结与增长:京东数科“纵横一体”的数字化新生态