六家银行App被点名隐私不合规:某银行要求读取通讯录

民生银行、兴业银行、内蒙古银行等六家银行被监管警示涉嫌隐私不合规。这是中国在治理App数据安全的最新进展。

1月13日,国家计算机病毒应急处理中心近期在“净网2020”专项行动中通过互联网监测发现,多款违法、违规有害移动应用存在隐私不合规行为,违反《网络安全法》相关规定,涉嫌超范围采集个人隐私信息。

国家计算机病毒应急处理中心点名25款应用,其中22款“未向用户明示申请的全部隐私权限,涉嫌隐私不合规”。在金融领域有6款应用被点名,民生银行、兴业银行两家股份制银行,以及内蒙古三家银行和海峡银行。

在被点名后,21世纪经济报道记者实测发现,兴业银行、内蒙古银行和鄂尔多斯银行于1月13日当日立刻更新其用户隐私政策。

兴业当日更新协议

国家计算机病毒应急处理中心点名的六个银行App分别是:《民生银行》(版本5.12)、《兴业银行》(版本5.0.4)、《内蒙古农信》(版本2.4.6)、《内蒙古银行》(版本2.0.4)、《海峡银行》(版本2.4.8)、《鄂尔多斯银行》(版本3.1.0)。

21世纪经济报道记者实测发现,就在1月13日当日,兴业银行已经即刻更新其手机银行用户隐私保护条款。

兴业银行表示,其收集的个人信息包括:证件类型、证件号码、银行卡号、手机号等。

此外,该行用户隐私保护条款显示,该行会使用证件类型、证件号码、手机号、设备型号、操作系统、唯一设备标识符、登录IP地址、操作日志、位置信息、面部图像(视频)、声音用于风险防范和诈骗监测等。收集用户手机银行的频率、总体使用情况、性能数据以便改善使用体验。

该行称,用户可选择是否授权其收集、使用个人信息,包括11项内容。

具体为:(1)基于麦克风的功能:使用圏子对话、语音搜索、语音转账等服务。(2)基于相机(摄像头)的功能:使用银行卡识别、身份证识别、扫码取款等服务。(3)基于相机(图片库)的功能:使用用户头像上传、身份证识别、子对话等服务。(4)基于地理位置的功能:开启定位服务,以便进行网点住洵、获取当前所在地区本行分支机构信息、向圈子好友分享位置、获取当前所在地区生活商 城服务、获取当前所在地区热门营销活动信息等。(5)基于通讯录的功能:使用添加圏子好友、手机号转账、通知转账收款人等服务。

此外还包括:(6)基于存储的功能:保存服务预约的二维码、外汇汇款的电子回单,使用圈子、消息中心功能。(7)基于电话的功能:使用拨打电话给客户经理等服务。(8)基于已安装应用类别的功能:向好友分享本行相关信息。(9)基于网络通讯的功能:开通手机银行的网络通讯功能后,才能通过手机银行客户端获取服务端系统提供的各类服务。(10)基于通知的功能:开通手机银行的通知权限后,可以接受手机银行的消息中心提醒服务。(11)基于NFC的功能:使用云闪付服务。

民生要求必须读取权限

对于国家计算机病毒应急处理中心点名,1月14日,民生银行发布《关于手机银行客户隐私保护的声明》。

民生银行在声明中称,“高度重视客户隐私信息保护,采取了合理的安全措施,同时在手机银行向客户展示了隐私政策条款,并为保护客户隐私而不懈努力。”另外,“将根据有关方面最新要求不断完善客户隐私政策,持续强化客户隐私保护措施。”

21世纪经济报道记者实测发现,民生银行App要求必须读取手机设备信息、存储权限,否则不可使用其App。

民生银行的隐私政策指定于2019年3月12日,该行在协议中披露,会收集用户在使用服务过程中产生的相关信息,以判断账户风险以及控制信贷风险、保障正常提供服务、对于我行系统问题进行分析、统计流量,并在发送异常信息时予以排查。

这些信息包括:(1)日志信息:收集使用服务的详细情况,并作为网络日志进行保存,包括但不限于使用的语言、访问的日期和时间以及您请求网页记录、操作系统、软件信息、登录IP信息。

(2)设备信息:根据在软件安装及使用中的具体权限,接收并记录相关设备信息,设备型号、唯一设备标识符、操作系统、分辨率、电信运营商的信息及使用情况。

(3)搜索记录:使用站内搜索服务时,会收集您的搜索记录。(4)位置信息:推荐便捷的服务网点,便于使用网点查询、网点预约功能,收集位置信息。

城商行App要求读取通讯录

其余四家被点名的城商行App,普遍存在过度索取用户权限,甚至要求读取用户手机通讯录等问题。

例如,内蒙古农信App要求读取用户手机通讯录、拍摄照片和视频、获取位置信息、访问手机照片和内容文件、读取通话状态、发送和查看短信等权限,否则不可使用该行App。该农信社《个人信息保护政策》仅说明采集用户姓名、身份证号等内容,没有详细说明其采集的隐私信息范围。

内蒙古银行、鄂尔多斯银行App也要求必须读取用户照片和文件、读取通话状态等手机权限,否则不可使用。这两家银行也于1月13日当日立刻更新其用户隐私政策。其采集的个人信息包括:姓名、出生日期、身份证件信息(身份证、护照)等、个人生物识别信息、通信通讯联系方式、住址、账户信息、财产情况、位置信息等。

此外,内蒙古银行1月13日更新的用户隐私政策显示,其采集设备型号、操作系统、唯一设备标识符、App版本号、登录IP地址、接入网络方式类型和状态、网络质量数据、操作日志和服务日志相关的信息地理数据,如不同意采集,可能无法完成风控认证。

海峡银行App也要求必须读取存储手机通话状态、位置信息和相机权限,否则不可使用其App。

去年9月,央行发布了《中国人民银行关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》,明确要求了金融全行业需要加强个人金融信息保护。

去年12月,央行科技司司长李伟在公开论坛时表示,“前段时间,多部委在对App的整治过程中,下架了100多个App,其中金融类App是重灾区。后续,中国互联网金融协会要加快推动备案注册制度,加强对这些金融App的测评、认证工作,同时也会联合相关部委,对软件商店采取联动措施,对于不符合规定、有重大风险隐患的App,我们会及时采取下架的措施”。