​200款金融APP評測:38%超範圍搜集個人信息,56%存在密碼安全隱患

編者按：本文來自微信公眾號「零壹財經」（ID:Finance_01），作者 金融APP評測中心，36氪經授權發布。

導語

2019年以來，央行屢次發文要求金融APP整改。

2020年4月2日，央行發布《關於開展金融科技應用風險專項摸排工作的通知》，要求各地央行及相關監管機構，依據相關法律制度、標準規範，對移動金融客戶端應用軟體、應用程式編程接口、信息系統和《金融科技應用風險專項摸排列表》要求內容開展專項摸排工作。要求各分支監管機構形成書面報告，並於2020 年10月31日前報送人民銀行總行。

依據相關監管政策法規，零壹財經金融APP評測中心對200款金融APP進行專項評測，評測對象涵蓋銀行、保險、消費金融、支付、汽車金融等，評測內容包括隱私政策、密碼安全、個人信息安全3個指標及41項細分標準。

評測發現金融APP存在的主要問題包括：超過38%的APP違反必要原則，超範圍收集與其業務無關的個人信息；超過56%的APP修改登錄密碼時，存在安全隱患；超過45%的APP在用戶不同意隱私政策時，強制退出，無法使用等。

針對這些突出問題，零壹財經金融APP測評中心根據相關政策法規提出整改建議，供業界參考。註：點擊閱讀全文，可查看金融APP評測完整榜單！

出品 | 零壹智庫

作者 | 金融APP評測中心

為規範金融APP信息收集和使用、加強個人信息保護，營造良好的金融環境，切實維護金融消費者合法權益，並依據相關監管政策法規，零壹財經金融APP評測中心於2020年3月2日啟動零壹金融APP評測專項工作。

中心相關評測工作得到了金融消費者、監管部門、相關企業、行業從業者等多方的廣泛關注和支持。

一、200款金融APP評測結果：普遍存在不合規問題，銀行類APP合規程度最高

通過對200款金融APP評測發現：

1. 所有被測金融APP都或多或少存在不合規問題

2. 超過38%的APP違反必要原則，超範圍收集與其業務無關的個人信息；

3. 超過56%的APP修改登錄密碼時，存在安全隱患；

4. 超過45%的APP在用戶不同意隱私政策時，強制退出，無法使用；

5. 得分超70的APP有130款，佔比65%；

6. 銀行類APP合規程度最高，評測平均分達80分。

表1: 200款金融APP評測情況

數據來源：零壹智庫

傳統持牌金融機構：共評測81款，該類包含銀行及保險APP，平均分為78分。

其中：銀行類APP，有61款得分超70，比例為88%，相較其他類別合規率最高，平均分最高。保險類APP，有5款得分超70，比例為42%。

新興持牌金融機構：共評測33款，該類包含消費金融及支付APP，平均分為70分。

其中：消費金融類APP，僅有9款得分超70，比例僅為45%，相較其他類別存在問題較多，平均得分低。支付類APP，有11款得分超70，比例為85%。

新金融平臺：共計評測85款，該類包含綜合金融平臺、理財、借貸、汽車金融、供應鏈金融APP，平均分為68分。

其中：綜合金融平臺類APP，有13款得分超70，比例為54%。理財平臺類APP，有13款得分超70，比例為48%。借貸平臺類APP，有17款得分超70，比例為57%。汽車金融類APP，1款得分超70，比例僅為25%。

二、傳統持牌金融機構：14款銀行類APP得分超90，保險類存在問題較多

1、銀行類APP

銀行類APP主要存在的問題： 

1）96%的銀行類APP在用戶輸入信息時，沒有即時防護功能；

2）52%的銀行類APP未提供定向推送信息的選項；

3）54%的銀行類APP在用戶進行身份認證時，無防截屏、錄屏功能。

表2：銀行APP不合規情況

數據來源：零壹智庫

所評測的69款銀行APP相較其他類金融APP合規率最高，其中民生信用卡、江蘇直銷銀行、光大惠生活等14款APP評測得分超90。

表3：69款手機銀行APP評測情況

數據來源：零壹智庫

阜新銀行、興業銀行、華夏銀行、柳州銀行4款APP在密碼安全方面合規率100%。民生信用卡、建設銀行、農業銀行、招商銀行4款APP在隱私政策方面合規率100%。

表4: 90分以上的手機銀行APP評測明細

數據來源：零壹智庫

2、保險類APP

在所評測的12款保險類APP中僅有陽光保險在線APP評測得分超過80，近6成保險類APP得分在70分以下。

表5: 12款保險類APP評測情況

數據來源：零壹智庫

保險類APP主要存在的問題：

1）所有保險類APP在用戶輸入信息時，無即時防護功能；

2）泰康在線、信美相互、慧擇保險、水滴保險商城、眾安保險等11款保險類；

3）APP在修改登錄密碼時，存在安全隱患；

4）掌上新華、太平洋保險等9款保險類APP未採取有效措施提醒客戶避免設置與常用軟體、網站相同或相似的戶名和密碼組合。

表6：保險類APP不合規情況

數據來源：零壹智庫

三、新興持牌金融機構：僅2家消費金融公司得分超過80

1、消費金融APP

在所評測的20家持牌消費金融APP中僅有蘇寧消費金融、招聯金融評測得分超過80，近6成得分在70分以下。

表7: 20款消費金融APP評測情況

數據來源：零壹智庫

消費金融類APP主要存在的問題：

1）易開花、杭銀金融、包銀消費金融等15款消金APP違反必要原則，收集與其業務無關的個人信息；

2）幸福花、城一代、哈銀消金等11款消金APP不支持用戶撤回同意收集個人信息的途徑和方式；

3）中銀消費金融、錦程消金、長銀消金等14款消金APP未提供定向推送信息的選項。

表8: 消費金融APP不合規情況

數據來源：零壹智庫

2、支付類APP

在所評測的13款支付類APP中，雲閃付、和包支付、美付寶、平安壹錢包評測得分超80，超8成支付類APP得分在70以上。

表9：13款支付類APP評測情況

數據來源：零壹財經·零壹智庫

支付類APP主要存在的問題：

1）PayPal、隨行付等4款APP支付類無安全投訴、舉報渠道，且沒有在15日內受理並處理相關問題；

2）翼支付、網易支付、微信錢包等7款支付類APP在密碼重置時，沒有使用簡訊驗證碼、用戶註冊信息校核等方式，對用戶身份進行校驗。

表10：支付類APP不合規情況

數據來源：零壹智庫

四、新金融平臺：得分低於60佔比較高

1、綜合金融平臺

所評測的24款綜合金融平臺類APP涵蓋金融機構、電商、網際網路、房地產、通信、物流、出行、旅遊、製造業等10個行業，其中平安普惠、蘇寧金融、理財通、度小滿評測得分超過80分。新浪金融得分最低僅為48分。

表11: 24款綜合金融平臺類APP評測明細

數據來源：零壹智庫

綜合金融平臺類APP主要存在的問題：

1）所有綜合金融平臺類APP在用戶輸入信息時，沒有即時防護功能；

2）美團金融、滴滴金融、小米金融、恆大財富等14款綜合金融平臺類APP用戶登錄時，未採用2種以上方式對用戶身份進行認證。

表12：綜合金融平臺APP不合規情況

數據來源：零壹智庫

2、理財平臺類APP

所評測的27款理財平臺類APP得分均未超過80，其中宜人財富、布穀農場、比財、萬得理財評測得分在60分以下。

表13: 27款理財平臺APP評測情況

數據來源：零壹智庫

理財平臺類APP主要存在的問題：

1）玖富錢包、黃金錢包等5款理財平臺類APP無密碼複雜度校驗功能且無法保證用戶設置的支付/交易密碼達到一定的強度（如用戶可設置密碼為123456）；

2）小贏理財、桔子理財、悟空理財等14款理財平臺類APP未有安全措施，在用戶長時間未響應後，重新對用戶身份進行認證。

表14: 理財平臺APP不合規情況

數據來源：零壹財經·零壹智庫

3、借貸類平臺類APP

在所評測的30款借貸平臺類APP中，積木盒子、鳳凰智信、眾安小貸、我來數科4款APP評測得分超過80，而新橙優品、錢站評測得分在45分以下。

表15：30款借貸平臺類APP評測情況

數據來源：零壹智庫

借貸平臺類APP主要存在的問題：

1）人人貸借款、360借條、分期樂、你我貸借款等25款借貸類APP在修改登錄密碼時存在安全隱患；

2）拉卡拉、大地時貸、維信卡卡貸等28款借貸類APP在用戶輸入信息時，沒有即時防護功能。

五、突出問題政策解讀及整改建議

零壹財經金融APP評測結果顯示，在41項評測項目中，有5項不合規問題佔比較高：

（1）38%的金融APP違反必要原則，收集與其業務無關的個人信息；

（2）35%的金融APP未向用戶提供個人信息安全投訴和舉報渠道；

（3）32%的APP在用戶設置密碼時，沒有密碼複雜度校驗功能，允許用戶將「123456」或「111111」等簡單數字設置為交易密碼，存在嚴重的安全隱患；

（4）54%的APP在用戶進行身份認證輸入密碼時，沒有防截屏、錄屏功能。

表16：4項金融APP不合規問題及佔比情況

數據來源：零壹智庫

針對這些突出問題，零壹財經金融APP評測中心提出如下整改建議：

1. 違反必要原則，收集與其業務無關的個人信息

根據零壹財經評測結果，有38%的金融APP並不支持用戶註銷帳戶：其中消費金融公司的APP不合規佔比最低，在75%左右；保險和借貸APP的不合規佔比為50%。

根據GB/T 35273-2020《信息安全技術個人信息安全規範》和JR/T 0092—2019《移動金融客戶端應用軟體安全管理規範》要求，金融APP應遵循最小權限原則，不得收集與所提供服務無關的個人信息；不得以改善服務質量、提升使用體驗、研發新產品、增強安全性等為由，強制要求用戶同意收集個人信息。

常見的不合規行為有：收集用戶通訊錄、通話記錄、簡訊記錄、APP安裝列表；在用戶註銷帳戶時，收集用戶手持身份證照片；在非網絡安全和運營安全目的下，收集手機設備唯一標示。

整改建議：金融APP運營者應遵循最小權限原則，不收集與所提供服務無關的個人信息。

2. 未提供個人信息安全投訴、舉報渠道

根據評測結果，有35%的金融APP未向用戶提供個人信息安全投訴、舉報渠道：其中消費金融APP和理財APP不合規佔比均超過50%。

根據GB/T 35273-2020《信息安全技術個人信息安全規範》和《關於開展App違法違規收集使用個人信息專項治理的公告》要求：金融運營者應向用戶提供並公布個人信息安全投訴舉報的渠道，並承諾在15個工作日內受理並處理。

整改建議：針對個人信息安全成立專項小組，並向用戶提供電話、郵箱、智能客服等聯繫方式接受用戶的投訴和舉報；保證15個工作日內接受理並處理用戶的投訴和舉報；除此之外，還需提供外部投訴舉報途徑。

3. 沒有密碼複雜度校驗功能，允許用戶設置「123456「等簡單密碼

根據評測結果，有36%的金融APP沒有密碼複雜度校驗功能，允許用戶設置「1234567「或」111111「等簡單數字作為登陸密碼或交易密碼。

根據JR/T 0092—2019《移動金融客戶端應用軟體安全管理規範》基本要求：客戶端應用軟體應配合服務端提供密碼複雜度校驗功能，保證用戶設置的密碼達到一定的強度，避免採用簡單交易密碼或與客戶個人信息相似度過高的密碼。

整改建議：可要求用戶設置數字、字母和符號最少2種格式組成的密碼，並且避免使用姓名、生日等個人信息作為密碼組成。

4. 在用戶進行身份認證時，沒有防截屏、錄屏功能

根據評測結果，有54%的金融APP在用戶進行身份認證時，沒有防截屏、錄屏功能。

根據JR/T 0092—2019《移動金融客戶端應用軟體安全管理規範》數據防竊取增強要求：客戶端應用軟體應實現身份認證過程的防截屏、錄屏，如:輸入手勢驗證碼、登錄口令等。

整改建議：在用戶登陸、修改、重置密碼時，在交易時進行身份驗證時，可通過技術手段，禁止手機截屏和錄屏行為，避免用戶個人信息和密碼的洩露。

免責申明：

1、評測最終解釋權歸零壹財經APP評測中心所有。

2、本文不構成任何投資建議！

3、文中所涉及對於相關法律法規的註解已經過法律顧問確認。