近年来,由于个人信息的泄露,连续引发“校园贷”、“套路贷”、“杀猪盘”等社会事件,对金融环境造成恶劣影响。其中,APP是个人信息泄露的重灾区,一些公司利用APP违法违规收集个人信息。例如,“$ s 5 h H a暴风金融”、“51人品贷”和“融360”3款金融APP曾因涉嫌违法违规收集使用个人信息,被工信部m : Q !点名。
为遏制这些违法乱纪行为,营e E 2造安全健康的金融环境,中国人民银行在2019年发布了《中国人民银行关于发布金融行; e p | w )业标准加强移动金融客户端应用软件安全管理的通知》,针对APP个人信息安全、帐户安全、密码安全、数据安全、隐私政策等方面进行规范,并要求金融机构按照该标准对各自的金融APP进行整改。
为鼓励金融机构、金融科技公司、互联网金{ ) : f融公司积极主动参与APP整改,规范个人信息收集、使用等行为,零壹智库整理了3大类、37& 1 * e # [ , D个评测标准,通过下载、注册、使用等# ! d n T环节,对各公司的金融APP进行评测。
出品 | 零壹智库
作者| 任万盛
此次零壹财经对“小米金融”AP~ J | _P进行了评测。根据评测结果,在46个评测标准中,小米金融APP有30项符合标准,有16项不符合。
一、零壹金融APP判断流程及标准
1. 评测流程:该评测主要分为3个阶段
使用前:首先判断隐私政策是否满足要求。是否公开收集使用个人信息规则;是否明示收集使用个人信息的目的、方式和范围;是否未经用户同意收集使用个人信息;是否提供删除或更正个人信息功能;是否公布投诉、举报方式等信息。
注册时:判断密码是否存在安全漏洞。例如,登陆密码和交易密码是否f = e 8 Z独立;密码是否明文显示;是否具有密码即时防护功能;] Z a # q d ;是否具有密码复杂度校验功能等。
使用时:判断个人信息是否存在泄露风险。例如,个人信息是否明文展示;是否具有即时防护功能等。
2. 评测标准:该评测报告除了依据央行发布的《移动金融客户端营业软件安全管理规范》,还包括工信部发布的《关于开展App违法违规收集使用个人信息专项治理的公告》、《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》以及《App违法违规收集使用个人信息行为认定方法》。
二、金融APP评测:小米金融
1. 使用前:隐私政策是否满足要求
1)违反最小必要原则,收集与其提供的服务无关的个人信息。
以支付业务为例,小米金融支付业务所收集的个人信息包括:姓名、国籍、性别、职业、住址、联系方式、身份证件的种类、号码和有效期、开户行、银行卡号、银行预留手机号、银行卡有效期外,还会收集订单信息、交易记录、转账记录、红包记录。如用户不提供上述信息,可能无法提供相关支付服务或功能@ $ v ,。
根据2019年8月全国信息安全标准化技术委员会秘书处组织起草的《信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)》,网络支付业务包括支付、提现、转账、账单等功能。其最小信息收集范围包括24项,即网络访问日志;手机号码;身份基本信息;身份证信息;国际移动设备识别码;客户操作行为;交易信息7 L X M;账号、口令;银行账户信息;j a V B m p J交易身份验证信息;客服通话记录和聊天消息。
按照该《基本规范》,订单信息、y ) 8 G B : 1 C K转账记录、红包记c % #录并不再该范围= a o j n S内。
2)未建立并公布有效的个人信息安全投诉、举报渠道,同时并未承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理的。
在小米金融APP隐私政策中,关于个人信息安全投诉和举报内容“如果您对收到的答复不满意,您可以将投诉移交给所I J _ B _ X ,在司法辖区的相关监管机构。如果您咨询我们q / A H b + 6,我们会根据您的实际情况,提供可能适用的y d # C k 7 x相关投诉途径的信息。”而有关公司的联系方式,仅公司地址和邮箱。
根Q D s W 据网信办h Q p N c [ b、工信部、公安部和市场监督管理总局发布的《App违法违规收集d B & ] d 5使用个人信息J g c 3 C B k行为认定方法》,要求APP运营商建立并公布个人信息安全投诉、举报渠道,同时在承诺时限内受3 * f理并处理。
在小米的隐G ; # Y Y q i私政策中,关于个人信息安全的投诉和举报渠道,并未有提及,| 3 i ( U ]用户需要通过联系公司获取投诉途径。
3)以欺诈、诱骗等不正当a } X 8 2 C方式误导用户同意收集个人 信息或打开可收集个人信息的权限。
当用户申请修改支付密码时,需要提交身份证照片和手持身份证照片进行身份认证。
App专项治理工作组对此表示,由于A9 3 }pp运营者没有事先掌握手机号与“人证合一”照片之间的关联关系,这种所谓的核验毫无逻辑,属于典型的7 ] p w z以 7 C 1 g U “欺骗”等方式收集个人v Q G敏感信息。
注:根据《关于开展App违法违规收集使用个人信息专项治理的公告》,受中央网信办、工信部、公安部、市场监管总局委托,全国信息安J * j *全标准i e m ` I k化x A p技术委员会、中国消费者协会、中国互联网协会、中i | a ( ; ) t 2 k国网络空间安全协会成立App专项治理工作组。
2. 注册时,判断密码是Y P 9否存在安全漏洞
4)在用户身份认证后,超过4小时以上,并未采取措施对用户身份重新认证
评测依据:《移动金融客户端营业软件安全管理 R j j a {规范》在用户身份认证后,超过设定时限后,应采取措施对用户身份重新认证。
评测结果:小米金融会出e o C 7 F z h现以下情况,1)如果用户设置了手势密码或面容ID,用户在退出APP之后,再次打开APP需要验证手势密码或面容ID;用户如果在选择“退出登录”操作之后,需重置验证手势密码和面容ID;2)如果用户A ^ P q未设置了手势密码和面容ID,在退出APP之后,在超过4个小时以上重新打开APP时,并没有采取任何措施对用户身7 W _ i 9 ! O %份进行重新认证;B c k E - 1 ) H3)用户在选择“退出登录”操9 ( d [ U作之后,只能通过手机验证码或登陆密码2中方式进行身份验证。
5)用户登录APP时,仅采用一种要素对用户身份进行认证。
评测依据:《移动金融客户端营业软件安全管理规范》关于身份认证增: | ) s q强要求,客户端应用软件登录应采用两种或两种以上的要素对用户身份进行认证。
评测结果:用户= i ] U i ( F = 7登录只需要通过登陆密码或手S u % = } 6 O t机验证码登X [ e / # D录小米金融APP。
修改登录密码前,小米金融App未对用户身份进行重新验证。
评测依据:《移动金融客户端营业软件安全管理规范》关于密码的设定与重置,修改登码前,应对用户身份进行重新验证;同时,要求在进行修改登录密码时,应采用两种或两种以上要素进行身份认证,如:数字证书、生物特征信息等。
评测结果:用户无需进行任何身份验证,可直接修改登录密码。
6)APP明文显示登录密码,未采取即时防护功能。
评测依据:《移动金融客户端营业软件安全管理规范》客户端应用软件的口令框应默认屏蔽显示,屏蔽显示时应使用同一+ d 3 n * l特殊字符(例如*或•)代替3 g I ^ W c n ? K。
评测结果:当用户重新设置登录密码时,密码在没有任何防护措施的情况下,被明显显示。
7)未限制用户~ W l j 3 P 3使用初始: ^ o n 8登录密码与初始交易密码。
评测依据:《移动金融客户端营业软件安全管理规范》应严格限制使用初始登录密码与初始交易密码,若设置初始密码,应强制用户在首次登录后修改初始密码。
评测结果:在使用小米金融APP时,并没有对用户进行要求修改初始登录密码和交易密码。
8)未采取有效措施提醒客户避免设置与n K A Q T常用软件、网站相同或相似的用户名和密码组合,并采取有效措施引导客户c : C C设置独立的支付密码。
评测m U c J 9 L Z V ?依据:《移动金融客户端营业软件安全管理规范》应采取有效措施J C ` @提醒客户避免设置与常用软件、网站相同或相似的用户名和密码组合,并采取有效措施引导客户设置独立的支付密码。
评测结果:用户可使用小米和简单的数字组合作为登录密码。
9)客户端应用软件应实现身份认证过程的防截屏、录屏,如:输入手势验证码、登x O d I q录口令等。
评测依据:《移动金融客户端营业软件安全管理规范》客户端应用软件应实现身份认证过程的防截屏、录屏,如:输入手势验证码、登录口令等。
评测结果:用户可在打开录屏的情况下,可输入登录密码、输入交易密码,并修改登录密码。
3. 个人信息安全
10)客户在输入信息时,未采取即时防护功能。
评测标准:《移动金融客户端= ` ! s m 2 n G营业软件v = 9 H ?安全管理规范》客户端应用软件应提供客户输入信息的即时防护功能m y 9 7 8 ? ? B B,如:卡片验证码、卡片有效期、银行卡账号、身份证号码、手机号码等信息。
评测结果:用户在输入银行卡、身份证号码、手机y g H G v l V p 号码时,均未对个人信息进行屏蔽。
11)APP未屏蔽显示个人信息。
评测标准:《移动金融客户端营业软件安全管理规范》除交易对账、转账收款方确认等必须由用户确认的情况外,客户端应用软件在显示个人信息,如: 银行账号、身份证号码、手机号码、姓名等时应屏蔽关键字段。
评测结果:在个人信息展示界面,个人信息U ; {均在未屏蔽的情况下进行展示。
12 t ^)APP处于已登录状态时,个人金融信息展示,未做任何屏蔽,直接进行展示,同时也没有屏蔽展示功能,由用户选择n f O I b e f { L是否屏蔽展示。
评测标准;《移动金融客户端营业软件安全管理规范》处于已登录状态时,个人金融信息展示 ,对于银行卡号、客户法定名称、手机号码、证件类或其他识别标识信息等可以直接或组合后确定信息主体的信息应进行屏蔽展示,或由用户选择是否屏蔽展示。
评测结R 3 ?果:在使用小米金融APPb w u I v r d A ^时,并没有屏蔽选项可以供用户是否展示个人信息。
