零壹财经金融APP评测榜(第一期50家)发布：隐私政策、密码安全、个人信息安全行至何处？

摘要：零壹财经金融APP评测中心综合隐私政策、密码安全、个人信息安全3个评测指标，41项细分标准对50款金融APP进行专项评测。

3月2日零壹财经金融APP评测中心对50款金融APP进行安全合规专项评测。此次评测覆盖银行、保险、第三方支付、消费金融、新金融平台、互联网金融等行业。

银行方面，13款银行APP评测得分在87～94分之间，这些APP主要存在的问题有：没有关闭定向推送信息的选项；在用户输入信息时，没有防护功能。

保险方面，评测的众安保险、太平洋保险两款APP普遍得分较低，分别为60分、54分，问题主要集中在隐私政策、密码安全2个方面。例如，在隐私政策方面，用户难以找到隐私政策，没有关闭定向推送信息选项；在用户修改密码时，即没有进行身份验证，也没有对新密码进行限制。

新金融平台，在隐私政策、密码安全、个人信息安全等方面存在多项不合规问题。例如，京东金融、美团金融、新浪金融、宜人财富、平安金融管家、小米金融、小赢理财、桔子理财、分期乐等APP违法必要原则，收集与业务无关的个人信息，包括手持身份证照片、通讯录、Wi-Fi名称信息、已安装应用列表、通话短信记录、学校信息等。

一、评测背景

自2019年1月开始，网信办、工信部、公安部、市场监管总局四部门成立了工作组，决定在全国范围内开展APP违法违规收集个人信息专项治理行动，同时，针对APP违法违规收集个人信息行为也明确了处罚标准。

涉嫌违法违规收集使用个人信息的，将责令APP运营者限期整改；对于逾期不改的，公开曝光；情节严重者，APP将予以下架、暂停相关业务、停业整顿、吊销相关业务许可证或吊销营业执照，将受到行政处罚的违规主体纳入电信业务经营不良名单或失信名单等。

2019年9月中国人民银行在发布了《移动金融客户端应用软件安全管理规范》（JR/T 0092-2019），针对APP个人信息安全、帐户安全、密码安全、数据安全、隐私政策等方面进行规范，并要求金融机构按照该标准对各自的金融APP进行整改。

为营造良好的金融环境，加强个人信息保护，切实维护金融消费者合法权益，零壹财经金融APP评测中心于3月2日启动金融APP进行专项评测工作。

二、评分依据

依据央行发布的《移动金融客户端营业软件安全管理规范》，并结合网信办、工信部、公安部、市场监管总局发布的《关于开展APP违法违规收集使用个人信息专项治理的公告》和《App违法违规收集使用个人信息行为认定方法》，以及工信部发布的《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》。

具体内容：

三、评分标准

零壹财经金融APP评测中心通过下载、注册、使用等环节，结合相关政策、规范，确定隐私政策、密码安全、个人信息安全3个评测指标，41项细分标准对首批50款金融APP进行专项评测。

评测指标及权重构成如下：隐私政策（40%），密码安全（40%），个人信息安全（20%）。

四、点评

案例1：小米金融

在新金融领域，共计有27款APP被列入评测范围，这些APP在隐私政策方面问题比较突出，其中收集与其业务无关的个人信息问题比较明显。

以“小米金融”APP为例，在其《隐私政策》第一章、第（一）节、第（5）条“与贷款服务相关的个人信息”中提到，其贷款业务还会收集已安装应用列表，并且还未提及其收集该信息的目的。

根据《信息安全技术 移动互联网应用（App）收集个人信息基本规范（草案）》和《信息安全技术-个人信息告知同意指南》均未提及金融借贷业务收集用户已安装应用列表的目的和原因。

案例2：京东金融

根据零壹财经APP评测中心评测的41项中，京东金融有14项不满足，这些问题主要集中在隐私政策和密码安全方面。例如：

违反必要原则，收集与其业务无关的个人信息。在其隐私政策“资格、信用及偿付能力审核功能”，存在收集的个人信息类型与现有业务功能无关的问题。

未建立个人信息安全投诉举报渠道，同时也未承诺时限内处理。根据网信办、工信部等四部委发布的《App违法违规收集使用个人信息行为认定方法》，该行为被认定为“未公布投诉、举报方式等信息”。根据相关文件指示，用户向网信、电信、公安及工商等监管部门进行投诉举报，并未列为有效的投诉举报机制。

除此之外，在密码安全方面，用户在登录、修改登录密码和支付密码时，也缺乏有效的保护机制。
 

案例3：拉卡拉

“拉卡拉”APP，在其《隐私政策》中显示：信贷业务，需要位置信息、设备信息和其他必要信息，以完成交易。很显然，位置信息和设备信息，与信贷业务并没有业务关联关系，即使参照《信息安全技术-个人信息告知同意指南》反洗钱要求，也未提到这些信息。

除了以上情况，还有大量的金融APP在密码安全和个人信息安全展示方面，存在严重的安全隐患。例如，关于密码安全，有的金融APP竟可以设置“123456”作为登录密码和支付密码，有的从未限制错误登录次。

为保障用户的个人信息安全，零壹财经APP评测中心鼓励并提倡大家，将违法违规收集使用个人信息行为的APP告知我们，我们将会对这些APP出具测评并出具相关测评报告。

邮箱：zhaohuili@01caijing.com

免责申明：本评测数据日期为2020年3月2日～3月9日。评测最终解释权归零壹财经APP评测中心所有。本文不构成任何投资建议！