涉嫌超范围采集个人隐私信息,17款APP被病毒中心点名,这其中就包括13款券商APP。
此次被点名主要为证券投资、智能投顾等炒股类软件,13款被点名的证券APP包括:广发易淘金APP、西部证券APP、海通证券e海通财APP、国联证券尊宝APP、中国银河证券APP、万和手机证券APP、新时代证券APP、中邮证券APP、中山证券APP、东亚前海悦涨APP、国元智富APP、山西证券汇通启富APP、财通证券APP。除此之外大智慧等知名炒股软件也在列。
上述APP涉嫌隐私不合规违规的四项具体原因分别是:
未向用户明示申请的全部隐私权限;
APP在征得用户同意前就开始收集个人信息;
未提供有效的更正、删除个人信息及注销用户账号功能,或注销用户账号设置不合理条件;
未建立、公布个人信息安全投诉、举报渠道,或超过承诺处理回复时限等。
其中,未向用户明示申请的全部隐私权限是违规重灾区,涉及16款APP。
记者了解到,本次病毒中心发布的通报结果并非全行业的评测,主要是抽查的形式。根据多家被点名券商综合反馈,其背后原因也与不同测评机构的标准不一致,导致测评报告存在较大差异有关。但合规无小事,尽管被点名的券商APP只是少数,但该事件已在业内引发重视,有券商网金部门表示已第一时间展开自查。
13款券商APP隐私不合规被点名
国家计算机病毒应急处理中心互联网监测最新通报显示,近期,通过互联网监测发现17款移动APP存在隐私不合规行为,违反网络安全法、个人信息保护法等相关规定,涉嫌超范围采集个人隐私信息。记者注意到,这其中超过七成为券商APP,13款被点名的APP名单如下:
病毒中心同时指出上述APP四大违规事项,其中,未向用户明示申请的全部隐私权限是其中重灾区,涉及16款APP,其中就包括广发证券、西部证券、海通证券、国联证券、银河证券、万和证券、新时代证券、中邮证券、中山证券、东亚前海证券、国元证券、山西证券等12家来自不同应用商店的APP,知名炒股软件大智慧也在列。
9款APP涉嫌未提供有效的更正、删除个人信息及注销用户账号功能,或注销用户账号设置不合理条件也被点名。其中券商APP同样占多数,被点名的分别是广发证券、西部证券、海通证券、国联证券、万和证券、新时代证券、中邮证券、东亚前海证券等8家券商APP。
此外,财通证券APP在征得用户同意前就开始收集个人信息,中邮证券APP未建立、公布个人信息安全投诉、举报渠道,或超过承诺处理回复时限,同样被点名。
针对上述情况,国家计算机病毒应急处理中心提醒广大手机用户首先谨慎下载使用以上违法、违规移动APP,同时要注意认真阅读其用户协议和隐私政策说明,不随意开放和同意不必要的隐私权限,不随意输入个人隐私信息,定期维护和清理相关数据,避免个人隐私信息被泄露。
多家券商APP被点名是何原因?
记者注意到,上述被点名APP较多来自安卓应用市场,据了解,证券经营APP每年都会与专业的安全测评机构和安全咨询机构合作,发布重大版本前都会由专业机构进行安全测评。那么为何此次仍有多家券商APP被通报?
公开资料显示,本次发起通报的病毒中心是经公安部推荐,由原国信办于2001年批复成立的,是我国唯一的负责计算机病毒应急处理的专门机构,主要职责是快速发现和处置计算机病毒疫情与网络攻击事件,保卫我国计算机网络与重要信息系统的安全。
病毒中心每周定期通过中央电视台和新华网对外发布计算机病毒疫情预报,记者同时获悉,本次发布的通报结果并非全行业的评测,主要是抽查的形式。
根据多家被点名券商综合反馈,其背后原因也与不同测评机构的标准不一致,导致测评报告存在较大差异有关。有券商人士表示,此次检测存在提取检测的版本存在不是从机构官方正式发布的应用市场下载的情况。大部分经营机构将APP在主要的应用市场上发布,一些小的应用市场通过技术手段从其他应用市场上爬取,在这过程中存在爬取的版本过老、爬取信息丢失的情况。
券商APP在应用上架过程中,针对新版本会进行严格的安全监测,如果存在安全问题会驳回不允许上架,“这批17个APP都在主流应用市场成功,说明相关的应用市场是认可的,但也存在各监测机构和应用市场对监测标准存在认识不一致区间的问题。”上述业内人士称。
此外,本次被病毒中心点名的APP中也不乏月活百万甚至接近千万级别的软件。据易观千帆统计数据,大智慧APP今年一季度平均月活达到976.44万,在证券炒股类APP中排名第三,仅次于同花顺APP和东方财富APP;值得注意的是,在极端行情的催化下,大智慧APP 3月月活更是跃上千万大关,达到1002.51万。
被点名的券商中,海通证券e海通财APP一季度平均月活达535.82万,在券商APP中位列第5;广发证券易淘金APP一季度月活为529.94万,跻身行业前10;中国银河证券APP一季度月活为480.52万,同样排名靠前。此外,从华为应用商店的下载量来看,e海通财APP、易淘金APP、中国银河证券APP安装次数均已超过1亿次。
券商APP如何避免逾越合规红线?
近年来,证券公司在力推数字化转型的同时,个人信息保护的隐忧也随之浮现,其中超范围收集个人信息、强制授权、过度索权等是合规展业的重要雷区。
记者试图在应用商店下载上述被点名的券商APP时发现,不少APP被提示检测出超过10个敏感隐私权限,部分券商APP的权限提示甚至超过了20个,这其中就包括读取联系人、读取存储卡中的内容、拍摄权限、读取通话状态、访问大致位置信息等等。
有券商网金部资深人士向记者表示,券商数字化转型是个科技、管理和法律交织的领域,需要做好体验、合规、法规、底线之间的平衡,切忌游走在灰色地带。尽管目前在各应用市场上,关于个人信息保护的审核条件已越发严格,但产品经理和技术人员在设计产品的过程中就要充分注意数据运营的边界,这要求券商实事求是从业务出发,不能眉毛胡子一把抓,先拿了客户权限再说。
作为用户高频使用的炒股软件,APP在客户隐私的合规使用上有哪些容易触及红线的雷区?记者了解到,超范围收集用户隐私、未逐一列出APP收集使用个人信息的目的、方式、范围;利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项等都是违规重灾区。
有券商网金负责人认为,券商开户引流往往涉及与第三方平台的数据交互,这是个人信息保护的难点,其中申请用户权限最小化、做好用户解释工作等都是重中之重。
记者了解到,自去年11月《个人信息保护法》“下称个保法”正式施行以来,多家券商对用户隐私的重视程度更是与日俱增。
上述券商网金负责人向记者表示,自个保法施行以来,公司内部就已成立专项工作小组,一方面对个保法的条例进行仔细研究,另一方面也借助第三方平台的力量,有针对性地进行涉及用户数据采集等20多项整改,整改后的版本已于近期上线。
APP如何在加强客户隐私方面做好合规处理?某华南券商的做法是,一方面在管理机制上做了信息分级、隔离和加密,非相关人员无法接触到客户资料信息;二是对客户端做了加固加密,避免客户信息被破解和窃取;三是聘请了三方安全顾问机构,定期开展安全检测与用户个人隐私合规评估检测,发现问题及时修正;四是充分做好投资者教育。
上述华南券商相关负责人表示,对于证券公司而言,一是要认真研读隐私方面的政策法规条款,严格按照要求进行相关系统改造;二是在客户隐私信息采集和使用方面,需要建立相应的管理流程确保合理、最小化、透明、保密等等。
也有券商网金人士坦言,个人信息保护是一个需要长期摸索与改善的过程,“期待个保法细则尽快落地,未来会进一步借助内部合规、外部检测机构力量双管齐下,对APP进行有针对性地整改。”
本文源自财联社