银行App隐私权限测评| 隐私权限申请要么同意要么弃用?

南方都市报APP • 奥一新闻
原创2021-07-06 06:51

“一键即达”的便利,使越来越多民众倾向于使用移动客户端来满足个人金融需求,各大银行纷纷顺势而为,将多项日常业务由线下向线上转移,实现数字化运营。但在这过程中,伴随而来的则是用户个人信息泄露与防护关系的对立。

近年随着互联网技术的迅猛发展

信息壁垒不断被攻破

银行客户信息泄露、数据勒索等问题频发

有时一个电话、一条短信

都可能使个人财产付之东流

于是有人调侃

“在这个信息泄漏的时代,谁不是在裸奔?”

国家工信部接连公布违规收集使用个人信息的APP名单,但在大数据背景下,基于复杂逻辑结构的信息系统,在运作过程中如何保证个人信息得到有效保护,成为了各相关部门尚待攻克的难题。

有相关人士透露,2016年至2020年,全国各级人民法院一审审结涉侵害个人信息犯罪且裁判文书已公开的案件中,从所涉个人信息数据来源行业来看,金融行业占比为39.1%,位列第一

针对个人信息的收集与使用问题,奥一新闻将重点围绕“是否违规收集用户个人信息、有无不合理索取用户权限、有无为用户账号注销设置障碍”三个维度,在我国国有银行以及股份制银行中,分别挑选六家银行进行测评,借此督促企业对用户个人信息的保护提起更高重视,也希望为读者提供有效参考。

本期测评对象:

中国工商银行、中国农业银行、中国银行、中国建设银行、交通银行、中国邮政储蓄银行

640.png用户如拒绝接受《隐私政策》

APP自动闪退

在测评过程中,当奥一新闻记者首次打开工行、农行、中行、建行、交行、邮储银行这六家银行APP时,系统均会弹出该银行的相关隐私政策说明。基本上六家银行的隐私政策都大同小异,用的是相同的模板。

根据目录显示,内容主要包括八大项:

1、如何收集和使用用户个人信息

2、如何使用Cookie和同类技术

3、如何共享、转让和公开披露用户个人信息

4、如何存储和保护用户的个人信息

5、如何使用户拥有管理个人信息的权利

6、如何处理未成年人信息

7、隐私政策的适用以及更新

8、如何联系本银行。交行的目录则多了“引言”和“处理用户个人信息的法律依据”两项内容。

经测试,如拒绝接受交行、农行的《隐私政策》,系统会自动闪退,无法继续使用该APP;工行、建行、中行则会提示“只有同意《隐私政策》方可使用软件中的产品和服务”;仅邮储银行在用户拒绝同意《隐私政策》后,仍可进入软件进行简单的搜索、浏览操作,但使用服务时仍需同意该行隐私政策。

依次退出APP后再次进入,只有中行把《隐私政策》放在了较为容易找到的位置,其他银行APP则放在了“关于我们”或“设置”位置。

值得一提的是,中国银行APP此前曾因没有《隐私政策》而被通报批评并责令改正。从目前情况来看,在评测范围内的几家银行隐私政策内容已经非常详实,但从近两年的发展情况来看,金融类APP仍处在规范化阶段。

作为影响用户体验度的重要因素之一,隐私政策的式编排也被纳入了监管范围。根据《App违法违规收集使用个人信息行为认定方法》规定,隐私政策等收集使用规则难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文等,可被认定为“未公开收集使用规则”。

中行、农行隐私政策页面存在文字过小过密、颜色过淡的问题,影响用户观感体验。

640 (1).png

相比之下,交行虽整体使用的也是浅灰色字体,但对于需收集的信息内容,则以加粗字体的形式着重显示,便于用户快速获取有用信息。

640.png

式编排观感整体较好的是工行、建行和邮储银行,未存在文字过小过浅的情况,易读性较强。

个人信息收集范围存在差异

部分银行APP频繁弹窗索取权限

首次进入APP,部分银行页面会立即弹出权限申请窗口,其中出现最多的是存储权限、获取手机信息权限以及位置权限。

此外,六家银行的隐私政策中均以优化服务体验、保障个人信息或账号安全为由,须在同意隐私政策的同时,收集以下用户设备信息(包括但不限于以下内容):

设备型号、操作系统、唯一设备标识符、电子银行软件本号、登录IP地址、接入网络的方式、类型和状态、网络质量数据、操作日志、系统参数、服务日志信息等。

进入APP服务页面,中行在用户每次登录时都会弹出“开通人脸登录”窗口;工行以保证信息安全为由,要求登录时需进行人脸识别验证,索取摄像头权限;建行在用户每次进入软件时,页面上方均会提示开启麦克风和位置权限;邮储银行则频繁弹窗要求开启位置权限。

640 (1).png根据《常见类型移动互联网应用程序必要个人信息范围规定》,要求从事个人信息处理活动的移动互联网应用程序(APP),应遵循最小必要原则,其中手机银行类APP可收集的必要个人信息范围包括:1.注册用户移动电话号码;2.用户姓名、证件类型和号码、证件有效期限、证件影印件、银行卡号码、银行预留移动电话号码;3.转账时需提供收款人姓名、银行卡号码、开户银行信息。

本次测评的银行APP中,用户在未使用相关业务服务时,部分银行就频繁试图索取无关的权限,试图超范围索取个人信息。

有网友无奈表示——

“有些服务要么同意弹出的权限申请,要么只能弃用整个APP了。”

给用户注销账号设置阻碍

未告知个人信息具体保存期限

个人账号信息注销方面,据《App违法违规收集使用个人信息行为认定方法》第六条规定:“为更正、删除个人信息或注销用户账号设置不必要或不合理条件”可被认定为“未按法律规定提供删除或更正个人信息功能”。

中国工商银行在用户注销时,建议用户使用关闭登录权限功能,并表明关闭后账号将无法登录手机银行,但用户在该行的权益信息将继续保留。在用户坚持要注销账户时,还需要进行人脸验证才可以注销账户。

中国银行在用户没有注册时,使用手机号和验证码也可进入APP进行简单的浏览、搜索操作,但当记者想要注销手机信息时,却找不到入口,只能通过实名验证,提供手机号、验证码、姓名、证件号、银行卡号、身份证照片、职业、人脸识别等相关信息后,才可以走注销流程。这些流程相较于其他银行,实属非必要。

640.png

中国建设银行在用户注销账户时,则需发送短信获取授权码才可以继续操作。

相比之下,中国农业银行、中国邮政储蓄银行账户注销时只需要手机号和验证码,交通银行则无任何门槛。

而注销后的个人信息会在APP后台保存期限多久?各大行隐私政策中仅出现“会及时”或“将”删除注册用户信息等说法,对于具体何时删除,均未告知。

总的来说

个人信息安全不仅需要企业和个人发挥自觉性

还需要详尽的法律管理制度来强力加持

从而建立起良好的网络安全生态

不断推动数字经济健康发展

下期奥一新闻将对六家银行App进行深度测评

请大家持续关注!

编辑:王泽权

5
南都新闻,未经授权不得转载。授权联系方式:
banquan@nandu.cc,020-87006626。
文中提及