...App個人信息安全方面違規被通報,中郵消金、順豐金融、嘉聯支付...

來源：藍鯨財經

11月23日，廣東省通信管理局發布App監管情況通報，涉及經核驗出現問題的App共88款，包括嘉聯支付、中郵消金、順豐金融、恆大財富、全民錢包等多家金融科技企業。

通報顯示，被查處的App主要存在兩方面問題，一是App及其後臺伺服器存在「明文存儲密碼」「反編譯」「SQL注入」等數據安全隱患問題；二是違反用戶個人信息保護規定，包括「未公開明示收集規則」「默認勾選同意隱私協議」「未列明所集成SDK及其採集信息」「為註銷帳號、刪除個人信息設置障礙」「未經用戶同意共享給第三方」等侵犯用戶對其個人信息處理享有的知情權、決定權，以及違反最小必要原則超前、超需、超頻索取權限或採集信息，甚至不給必需權限不讓用等強迫行為。

嘉聯支付有限公司（下稱「嘉聯支付」）運營的兩款App「立刷」、「立刷商戶版」均被監管點名。兩家公司均存在未明確告知收集使用麥克風權限的目的、方式、範圍；應用內集成多個可收集個人信息的第三方SDK，且未在隱私政策逐一說明以及是否向第三方共享信息等2個侵害用戶權益的問題，並存在Java代碼反編譯風險的安全隱患。此外，立刷App還存在應用備份風險。

值得關注的是，就在一周前，立刷App剛被網信辦通報存在四大違規行為。包括在申請打開電話、位置、存儲等可收集個人信息的權限，以及收集用戶身份證號、銀行卡號等個人敏感信息時，未同步告知用戶其目的；因用戶不同意打開非必要的相機權限，拒絕提供更換頭像的功能；未明示收集的用戶支付寶帳號、微信帳號、QQ帳號等個人信息的目的、方式和範圍；因用戶不同意打開非必要的位置權限，拒絕提供所有業務功能等。

嘉聯支付成立於2009年5月，於2012年6月27日獲得全國範圍內銀行卡收單業務的支付牌照，並於2017年6月27日成功獲批續展至2022年。嘉聯支付主要通過向商戶布放POS機具，提供銀行卡收單及增值服務，以獲取機具銷售或租賃及手續費收入。目前新國都董事石曉冬在嘉聯支付擔任法定代表人、董事兼總經理。

今年9月，嘉聯支付存在違法行為被央行深圳市中心支行罰款941萬元。涉及違規行為包括「因未按規定建立有關制度辦法或風險管理措施；與身份不明的客戶進行交易；未按照規定履行客戶身份識別義務；未按規定報送大額交易報告或者可疑交易報告」。

自2017年被收購後，嘉聯支付成為上市公司新國都（SZ:300130）全資控股的子公司。新國都2020年半年報數據顯示，上半年嘉聯支付累計處理交易流水約5778.6億，同比增長27.5%，實現營業收入7.94億元，淨利潤6095.9萬元。儘管2019年上半年的財務數據並未披露，但從全年來看，2019年全年實現淨利潤2.44億元，是今年上半年淨利潤的三倍。

中郵消費金融有限公司（下稱「中郵消金」）運營的「中郵錢包」則被指出「App存在未明確告知收集使用麥克風權限的目的、方式、範圍」。

中郵消金成立於2015年11月，註冊資本為30億元，郵儲銀行（SH:601658）持股70.5%為第一大股東。除郵儲銀行外，中郵消費金融股東還包括星展銀行有限公司、廣東三正集團有限公司、渤海國際信託股份有限公司、廣州市廣百股份有限公司、拉卡拉網絡技術有限公司以及廣東海印集團股份有限公司。

郵儲銀行2020年半年度報告顯示，截至2020年6月末，中郵消金總資產286.72億元，較年初下降6.47%，淨資產34.83億元，上半年實現淨利潤0.49億元，同比下降64.75%。

此外，還有多家行業巨頭旗下的金融App產品被點名。

深圳市順恆融豐投資有限公司運營的順豐金融App存在：App未明確告知收集使用簡訊和日曆權限的目的、方式、範圍；應用內集成多個可收集個人信息的第三方SDK，且未在隱私政策逐一說明以及是否向第三方共享信息；未經用戶閱讀隱私政策，應用就申請獲取位置信息、相機、存儲、麥克風和電話狀態信息權限等3項侵害用戶權益問題，還存在Java代碼反編譯風險的安全隱患。

今年4月，順豐金融App的運營主體由「深圳市順恆融豐投資有限公司」更名為「深圳市順恆融豐供應鏈科技有限公司」。目前順豐金融網頁版官網介紹其是依託順豐集團資源為基礎，將大數據、移動網際網路、區塊鏈、雲計算、神經網絡等技術與工具引入產品及服務流程，主要為客戶提供數位化技術解決方案、信息安全技術解決方案。

目前順豐集團旗下金融牌照包括保險經紀、商業保理、融資租賃、網際網路小貸、第三方支付等。

由恆大網際網路金融服務（深圳）有限公司運營的恆大財富App也被指出存在應用內集成多個可收集個人信息的第三方SDK，但未在隱私政策逐一說明是否向第三方共享信息的問題。

「恆大財富」原名「恆大金服」，在去年5月品牌升級為「恆大財富」。目前其APP與盈米基金合作，提供基金銷售服務。恆大集團在2015年11月成立恆大金融控股集團（深圳）有限公司，並作價39.39億元收購中新大東方人壽50%股權成為第一大股東，並將其更名為恆大人壽保險有限公司，由此進軍金融業務。此後，恆大通過入股、增持成為盛京銀行第一大股東，又通過盛京銀行控股盛銀消費金融，曲線獲得消費金融牌照。

截至目前，恆大在金融領域的布局包括保險、銀行、消費金融、第三方支付、融資租賃、小額貸款、商業保理、基金銷售、私募基金、保險經紀等。

在諸多被通報的企業中，還有一家消費分期平臺「全民錢包」被點名。

據悉，全民錢包的運營主體為廣州市全民錢包科技有限公司。存在應用內集成多個可收集個人信息的第三方SDK，但未在隱私政策逐一說明是否向第三方共享信息的問題。

全民錢包官網顯示，其成立於2017年7月，是集信用風險評估與管理、信用數據整合服務、小額貸款諮詢服務為一體的綜合性金融科技服務公司。據其App顯示，全民錢包提供消費分期和貸款申請服務。

據「全民錢包」App《個人信息查詢及使用授權書》顯示，用戶在申請貸款時需授權重慶兩江新區寶升小額貸款股份有限公司（下稱「寶升小貸」）及其直接或間接控股公司按規定使用信用信息。

儘管全民錢包與寶升小貸並無直接股權關聯，但寶升小貸目前仍是失信被執行人。天眼查信息顯示，因有履行能力而拒不履行生效法律文書確定義務，寶升小貸在2019年10月被列為失信被執行人，關聯執行標的約50萬元。從2017年10月到2019年4月間，因多起借款合同糾紛，寶升小貸及其股東李浩、董事長兼法定代表人鄭偉京陸續收到多份限制消費令。

此前藍鯨財經曾報導過微信朋友圈廣告導流小貸公司的情況，寶升小貸就曾出現在記者的朋友圈廣告中。從寶升小貸官網介紹來看，其主要提供裝修貸款服務，與重慶當地多家裝修企業、房企展開合作。