中消协百款APP安全测评结果出炉：金融理财类垫底

本篇文章5022字，读完约13分钟

中国消费者协会最近花了两个月时间评估了100款应用的个人信息收集和隐私政策。在被评价的10个类别中，令人惊讶的是，经常使用安全、诚信等口号的财务管理在本次评价中排名垫底，甚至与第九名相比，综合得分也相差甚远。

在这100款应用中，有59款被怀疑过度收集“位置信息”，过度收集或使用个人信息更为常见。此外，“通讯录信息”、“身份信息”和“手机号码”也是过度收集或使用用户个人信息的内容。在测试的应用程序中，分别有28个、23个和22个被怀疑有这种情况。此外，用户的个人照片、个人财产信息、生物特征信息、工作信息、交易账户信息、交易记录、在线浏览记录、教育信息、车辆信息和短消息信息被过度使用或收集。

随着移动互联网的发展和各种手机应用的兴起，手机已经成为人们日常生活中不可或缺的工具。在各种应用给用户带来便利的同时，随着近年来网络安全事件的爆发，其背后的访问权限和隐私问题也逐渐引起了消费者的关注。

今年年初，百度董事长兼首席执行官李彦宏发表了一篇颇具争议的演讲，也反映了用户的无奈、企业的强势和法律的缺失。

李彦宏说:“中国人更开放，对隐私问题相对不敏感。”如果他们能以隐私换取便利、安全或效率。在许多情况下，他们愿意这样做。当然，我们也应该遵循一些原则。如果这些数据能够让用户受益，并且他们愿意为我们使用这些数据，我们将会使用这些数据。我认为这是衡量我们能做什么和不能做什么的基本标准。”

财务管理应用的总平均分是28.91

根据评估结果，新闻阅读、网上购物和交易支付等应用的总平均分相对较高，而财务管理应用的平均分相对较低，只有28.91分。

不难发现，除了财务管理应用之外，其他九种应用的平均得分都高于50分，即使与第九种电子邮件云磁盘应用相比，财务管理应用仍然远远落后。

中国消费者协会将100款应用分为两类:消费者应用和小企业应用。评估显示，两类应用的平均得分差异较大，中小企业应用的平均得分均低于各类应用的平均水平，这表明中小企业应用的个人信息保护问题更加突出，隐私政策缺失或设计明显不足。其中，财务管理应用的得分相对较低，为15.60分。

八款财务管理应用被评为“一星不良评论”

根据星级评定标准，得分在60分以下的为一星，61-70分为二星，71-80分为三星，81-85分为三星半，86-90分为四星，91-95分为四星半，96-100分为五星。

在评估的10款理财应用中，只有两款达到三星及以上，即网易彩票和中国建设银行，而胜算在握的有小额贷款网、中国工商银行、吉藏快贷、手写、同花顺和即时到位。贷款的评估，吴空的财务管理都是一星半点，包括小额贷款网和中国工商银行

收集了什么信息

理财应用收集的个人信息有10种，其中收集最多的是手机号码，占100%，其次是通讯信息、位置信息、身份信息和个人基本数据。

收集个人信息的五大问题之一是，10种应用程序通常被怀疑过度收集或使用个人信息。

在10个类别的100个应用中，多达91个应用列出了被怀疑“越界”的权限，也就是说，存在过度收集用户个人信息的问题。其中，旅游导航、财务管理、拍摄美化、交流社交和视听回放等五类应用都涉嫌过度收集或使用用户信息；其次，在住宿旅游、网上购物、新闻阅读和电子邮件云盘等四类应用中，有32种应用涉嫌过度收集或使用个人信息；然而，交易支付类别中有7个应用程序被怀疑被过度收集或使用。

第二，位置信息、地址簿信息和手机号码等个人信息是过度收集或使用的主要内容。

在这100款应用中，有59款被怀疑过度收集“位置信息”，过度收集或使用个人信息更为常见。此外，“通讯录信息”、“身份信息”和“手机号码”也是过度收集或使用用户个人信息的内容。在测试的应用程序中，分别有28个、23个和22个被怀疑有这种情况。此外，用户的个人照片、个人财产信息、生物特征信息、工作信息、交易账户信息、交易记录、在线浏览记录、教育信息、车辆信息和短消息信息被过度使用或收集。

例如，在网易彩票应用中，个人财产证明、个人在线记录、通信信息、位置信息(包括旅行和住宿)等信息被怀疑被过度收集或使用。

第三，通信、社交网络、视频和音频广播以及拍摄美化等应用程序被怀疑过度收集或使用用户位置信息是很常见的。

根据对除电子邮件云盘、交易支付和旅游导航应用之外的10类应用的分析，其他7类应用中超过一半存在过度收集或使用用户位置信息的问题。其中，通信、社交网络以及视频和音频广播应用的问题更为突出，多达10至9个应用被怀疑过度收集用户位置信息。

旅游导航、旅游住宿和网上购物应用对基于用户个人位置信息的定位信息提供产品和服务有合理的需求，但对于大多数社交、视听广播、摄影美化、新闻阅读和财务管理应用来说，呼叫用户的位置信息被怀疑被过度收集或用于为这些服务提供不必要的信息。

第四，过度收集个人身份信息，如地址簿信息和手机号码值得注意。

通讯录信息和手机号码关系到用户的个人隐私，属于个人敏感信息，具有很高的商业价值。有些只提供手机号码登记，方便手机权限打开，方便收集手机号码和通讯录信息。以通讯录收集为例，在10种应用中，有4种财务管理应用和3种音视频播放应用收集用户通讯录信息。手机号码信息收集在财务管理和旅行导航应用中很常见。十款理财应用收集手机号码，而八款旅行导航应用要求用户注册时使用手机号码。

中国消费者协会认为，吉藏快贷收集工作信息、通讯录、个人信用信息和教育背景信息涉嫌过度收集，各类信息对应的业务功能没有明确说明。

第五，一些应用被怀疑过度收集敏感信息，如个人财产信息和生物特征信息。

敏感的个人信息一旦泄露，将导致个人信息主体以及收集和使用个人信息的组织和机构失去控制个人信息的能力，导致个人信息的扩散范围和使用无法控制，可能给个人信息主体的人身和财产带来重大风险。评估发现，所有10种应用程序都收集了这些信息，但有些应用程序未能向用户清楚地告知收集的财产信息和可识别的生物信息，而且原因含糊不清，涉嫌多收费。其中，11款应用涉嫌多收财产信息，10款应用涉嫌多收生物特征信息。

隐私政策有9个主要漏洞

我从没想到隐私条款中隐藏了这么多秘密，值得消费者关注。

漏洞1:47个应用的隐私条款内容不符合标准，34个应用没有隐私条款。

据报道，本次评估中隐私条款各项指标的总得分为70分，其中超过三分之一(34项)的得分为0分，即个人信息的隐私条款尚未向用户公布。

目前，隐私条款的典型问题主要集中在四个方面:

第一，隐私条款含糊不清，没有明确说明收集和使用个人信息的目的、方法、范围、保存期限和地点；

其次，它没有主动向用户显示隐私条款，或者显示内容冗长；

第三，在寻求用户的授权和同意时，用户没有得到足够的选择；

第四，用户无法访问、更正和删除个人信息；第五，收集了大量与所提供的服务没有直接关系的个人信息，未能遵守个人信息收集最低标准。

如果工行应用程序没有单独的隐私政策，链接中只提供隐私声明。

漏洞2: 59个应用程序没有明确告知收集的个人信息的类型，也没有明确告知用户收集敏感信息的目的。

在个人信息收集规则中，有两个方面:

首先，是否明确告知用户所收集的个人信息的类型；

第二，在收集敏感信息时是否明确告知用户，并告知用户拒绝提供的影响。

评估结果显示，从是否明确告知用户收集个人信息的规则来看，从10类应用的角度来看，理财应用在该项目中得分相对较低，只有0.9分，有8款理财应用处于隐私状态。用户未被告知条款中收集的个人信息的类型；在线购物和新闻阅读应用在该选项中得分较高，分别为4.3和3.9分。

对于“是否告知用户收集敏感信息的目的以及拒绝提供的影响”的规则，它也未能通过评分。财务管理应用在敏感信息披露方面得分相对较低，网上购物和新闻阅读应用表现良好。

例如，支付宝应用不在收集的信息类别中指明个人敏感信息，也不区分核心功能和附加功能，这导致用户认为收集的信息是必要的。

中国建设银行的应用程序在收集个人敏感信息时，通常会告诉用户敏感信息的类型和使用方法，但不会告诉用户拒绝提供这些信息会影响哪些功能。

漏洞3: 70个应用程序没有明确告知用户个人信息的保留期和停止运行的情况。

在个人信息保存规则中，《个人信息安全规范》规定了四个方面，即告知用户数据保存期限、告知用户数据保存区域、告知用户安全事件的应急措施以及告知用户停止操作的情况。

为了通知个人信息的保留期，从该选项中扣除70个应用程序。从不同的类别来看，电子邮件云盘应用在这个项目中得分相对较低，为0.5分；新闻阅读和拍摄美化应用表现良好，得分为1.9。在100个经过评估的应用中，有48个隐私条款没有明确提及信息保留期。一些应用程序的其他隐私条款对个人信息存储期限模糊不清。其中一些应用提到，它们会在服务期间存储信息，并在用户注销后删除信息，但没有给出具体时间。

在通知个人信息存储区方面，交易支付应用得分相对较低，而视频和音频播放、旅行导航和新闻阅读应用得分较高，得分为1.8。

关于通知个人信息安全事件的紧急措施，金融管理应用在这一类别中得分相对较低，而新闻阅读和网上购物应用得分较高。

在通知用户停止操作的情况下，100个被评估的应用中有66个在该项中得分为0，并且没有明确提到用户停止操作的情况。

漏洞4: 57应用程序没有明确告诉用户如何使用个人信息。

在个人信息使用规则方面，“告知个人信息使用规则”的规则有57个应用扣分。其中，财务管理应用的得分相对较低，只有0.8分，大多数财务管理应用没有明确告知用户使用个人信息的规则。

漏洞5: 42应用程序在提供个人信息时不会单独通知和获得用户同意。

关于在向他人提供个人信息时是否要明确告知用户，有42个条款没有明确提到该条款的分数为0，另外有57个条款确实提到但没有明确说明，只有一个条款在该条款中得了满分。

当个人信息控制器改变时，是否明确通知用户并获得同意是一个选项。超过一半的应用得分为0，也就是说，隐私条款没有提到相关内容。从各种类别来看，财务管理应用和摄影美化应用的得分相对较低。

漏洞6: 57个应用程序和96个应用程序没有明确告知用户如何更正个人信息和撤回同意。

就用户权利而言，有五个评价内容，即通知用户访问信息的方式、删除个人信息的方式、更正个人信息的方式、通知用户撤回同意的方式和注销其账户的方式。

根据评估数据，这五个分数都没有达到及格分数。从各种类别来看，财务管理应用在用户权限方面表现相对较差，而在“通知和更正个人信息”项目中得分相对较高的是交易支付应用。

漏洞7:41个应用的隐私条款没有在明显的位置公布，当52个应用的条款发生变化时，没有及时通知用户。

关于是否披露隐私条款，网购应用在披露隐私条款方面表现相对较好，得分为2.7，而财务管理应用得分相对较低，得分为0.6。

关于条款生效和通知用户变更的要求，从该项目中扣除52项。就类别而言，新闻阅读应用得分相对较高，而财务管理应用得分相对较低。

漏洞8: 79应用程序隐私政策存在诸如默认同意或无提示阅读等问题。

关于是否获得用户同意，只有21个隐私条款在明确获得用户同意后收集相关信息，而大多数应用默认同意隐私条款，无需获得用户同意。

就类别而言，理财和交易支付应用默认同意隐私条款的现象较为严重，网购应用在获得用户同意方面得分较高。

漏洞9:一些应用有不合理的免责条款，比如“自己承担风险”。

除了社交、视听广播和交易支付，其他应用的隐私条款中也存在不合理的免责条款，其中财务管理和邮件云盘应用的不合理条款更为突出。例如，一些金融和财富管理应用有“自愿承担风险，个人承担全部责任”的条款，而一些电子邮件应用有“不对外部链接负责”和“免费赠送产品”等不合理的免责条款。

如务空金融应用有不合理的免责条款，如“使用本网站提供的服务时，您必须对自己的所有行为和行动(无论是否故意)承担全部责任。”

中国消费者协会表示:“在评估活动中，一方面，基于评估的相关规范的法律水平较低，另一方面，相关部门发布的相关管理规定不具有可操作性，评估反映出各种应用的隐私条款执行存在较大差异，隐私条款存在严重的不完善或缺失。建议相关部门综合考虑当前应用隐私保护的严峻形势，加强隐私保护立法，落实具体措施，提高立法和法规水平，为消费者个人信息安全提供更好的法律和制度保障。"

来源：搜狐微门户