零壹财经持牌消费金融APP专项评测：近6成得分70以下

互联网+ 零壹财经APP评测中心零壹财经 2020-04-07 阅读：16202

关键词：零壹金融APP评测榜 消费金融APP专项评测 晋享钱包

在22家消费金融公司当中，金美信金融等16家公司违反必要原则，收集与业务无关的个人信息。

导语

零壹财经金融APP评测中心综合隐私政策、密码安全、个人信息安全3个评测指标，41项细分标准对24家持牌金融APP进行专项评测。

评测显示比较突出的问题包括：

1）违反必要原则，超范围或收集与业务无关的个人信息。存在该问题的APP有晋享钱包、哈银消金、城一代APP（长银五八消金）等；

2）频繁索权，在用户明确表示不同意收集后，每次重新打开APP时或48小时内又重复向用户索要权限。存在这些问题的APP有易开花（北银消金）、长银消费金融APP等；

3）未向用户提供投诉举报途径。幸福花（幸福消金）、空手到APP（兴业消金）等APP均存在这些问题；

4）修改密码前没有身份验证。包括包银消费金融、金美信金融APP等APP均存在该问题；

5）允许设置简单密码（例如“123456”或“111111”等简单数字）。尚诚消费金融APP，杭银金融APP等APP均存在这些问题；

6）没有防截屏、录屏功能。招联金融、中银消费金融APP等APP均存在这些问题。

出品 | 零壹智库
作者 | 金融APP评测中心

为规范金融APP信息收集和使用、加强个人信息保护，营造良好的金融环境，切实维护金融消费者合法权益，零壹财经金融APP评测中心于3月2日正式发布零壹金融APP评测榜，截至上周评测中心已对150款金融APP开展专项评测。

榜单发布后，中心相关评测工作得到了金融消费者、监管部门、相关企业、行业从业者等多方的广泛关注、支持及好评。

近日零壹金融APP评测中心针对24款持牌消费金融APP从隐私政策、密码安全、个人信息安全方面进行合规专项评测（其中两家无APP，实际评测22家）。

表1：零壹财经金融APP评测持牌消费金融榜单

数据来源：零壹智库

从评测得分区间看：

24家持牌消金公司无一超过90分；2款APP得分区间在80～89分；7款APP得分区间在70～79分；6款APP得分区间在60～69分；5款APP得分区间在50～59分；2款APP得分区间在49分以下。

一、不合规案例

表2：22款持牌消费金融公司App中的不合规案例

数据来源：零壹智库

1. 违反必要原则，超范围收集或收集与业务无关的个人信息

国家市场监督管理总局和中国国家标准化管理委员会在2020年1月联合发布的《信息安全技术移动互联网应用程序（App）收集个人信息基本规范》（征求意见稿）第4条规定：APP运营者不应收集与所提供的服务无关的个人信息；不应收集不可变更的设备唯一标示（如IMEI号、MAC地址等），用于保障网络安全或运营安全的除外。

同时《App违法违规收集使用个人信息行为认定方法》将收集与现有业务无关的个人信息认定为“违反必要原则，收集与其提供的服务无关的个人信息”。

在这22家消费金融公司当中，有16家公司违反必要原则，收集与业务无关的个人信息。

其中，出现次数最多的是收集手机应用列表，如金美信金融、锦囊贷APP（）等均将该数据作为收集范围；

部分APP将通讯录、通话详单、短信记录等个人信息作为信贷业务信息收集范围，如晋享钱包APP；

一些金融APP以改善产品和服务的名义，收集MAC地址等设备唯一标示，如锦囊贷APP；

除此之外，一些APP在用户注销账户时还会收集用户手持身份证照片，如哈银消金、城一代APP（长银五八消金）。

2. 在用户明确拒绝后，仍继续向用户索要权限

《信息安全技术移动互联网应用程序（App）收集个人信息基本规范》（征求意见稿）第4条规定：个人信息主体明确拒绝使用某服务类型后，APP运营者不应频繁（如每48h超过一次）征求个人信息主体同意使用该类型服务。存在该问题的APP有：易开花（北银消金）、长银消费金融APP等。

根据全国信息安全标准化技术委员会给出的建议，APP运营者不应在每次打开APP、或使用某一业务功能时，向用户频繁询问是否同意收集个人信息，频繁的标准为48小时内。

3. 没有建立并公开个人信息安全投诉举报渠道

《APP违法违规收集使用个人信息行为认定方法》规定，以下行为可被认定为“未公布投诉、举报方式等信息”，未建立并公布个人信息安全投诉、举报渠道，或未在承诺时限内(承诺时限不得超过15个工作日，无承诺时限的，以15个工作日为限)受理并处理的。

根据GB/T 35273-2020《信息安全技术个人信息安全规范》以及《移动互联网应用程序（App）收集使用个人信息自评估指南》要求，APP运营者需要明确给出处理个人信息安全问题相关反馈、投诉渠道，如个人信息安全责任部门的联系方式、地址、电子邮件等方式。

在这22款APP中，有12款APP没有提供个人信息安全投诉举报渠道，例如幸福花（幸福消金）、空手到APP（兴业消金）。

4. 在修改密码前，未对用户身份进行身份验证

央行 JR/T 0092—2019《移动金融客户端应用软件安全管理规范》第5.1.4要求，用户在修改密码前，应对用户身份进行验证，以确保用户真实身份和财产安全。这些验证要素包括登陆/支付密码、手势密码、短信验证码、生物特征等信息。

在测试过程中，一些APP 在没有经任何身份验证的情况下，用户可直接进行密码修改，例如包银消费金融、金美信金融APP。

5. 没有密码复杂度校验功能，允许用户设置简单密码

在央行JR/T 0092—2019《移动金融客户端应用软件安全管理规范》中规定，客户端应用软件应配合服务端提供密码复杂度校验功能，保证用户设置的密码达到一定的强度，避免采用简单交易密码或与客户个人信息相似度过高的交易密码。

在测试过程中发现，有8款APP竟然可以设置“123456”或“111111”等简单数字作为登陆密码、交易密码和支付密码，例如尚诚消费金融、杭银金融APP。

6. 在用户进行身份验证时，没有防截屏、录屏功能

根据央行 JR/T 0092—2019《移动金融客户端应用软件安全管理规范》增强要求:客户端应用软件应实现身份认证过程的防截屏、录屏，如:输入手势验证码、登录口令等。

根据测试结果，22款APP中，有10款APP缺乏该项功能，如招联金融、中银消费金融APP。

二、评分标准

零壹财经金融APP评测中心通过下载、注册、使用等环节，结合相关政策、规范，确定隐私政策、密码安全、个人信息安全3个评测指标，41项细分标准对50款金融APP进行专项评测。

评测指标及权重构成如下：隐私政策（40%），密码安全（40%），个人信息安全（20%）。