个人信息安全报告发布:拍拍贷每分钟调用位置权限1468次

来源:QQ快报
责任编辑:鲁晓倩
字体:

12月5日,由南方都市报大数据研究院·南都个人信息保护研究中心主办的“2019啄木鸟数据治理论坛”在北京举行。在“个人信息保护”专场,南都个人信息保护研究中心发布《2019个人信息安全年度报告》(简称《报告》)。

《报告》指出,为实际考察App在个人信息收集使用方面的情况,南都个人信息保护研究中心从隐私政策透明度、移动金融类App权限获取情况等3方面展开测评。结果显示,在移动金融类App测评中,设备识别码被严重频繁调取,“招联金融”一分钟内调用了6109次,而“拍拍贷借款”一分钟调用1468次定位权限。

7成被测评的移动金融类App分数不及格

2019年的3·15晚会上,金融借贷领域“714”高炮(具有借款周期为7天或14天,年利率畸高、需要交纳砍头息及高额逾期费用的特点)问题被曝光;下半年,公安部门套路贷整治专项行动查处多家金融借贷平台。

针对公众关注度较高的移动金融类App,南都个人信息保护研究中心选取100款下载量较高的App,从是否超范围获取权限,尤其是危险权限、用户拒绝某权限后是否频繁申请等方面展开测评。

《报告》显示,超七成App得分不及格,过半分数集中在40分和50分。

100款移动金融App的得分分布

《信息安全技术 移动互联网应用(App)收集个人信息基本规范》(草案)指出,金融借贷类App保障服务正常运行所需要的最少权限范围只涉及存储权限。

而《报告》显示,22款App强制要求获取设备识别码、定位、相机等权限,用户不同意就不能使用App。

比如用户首次打开 “汇中网”时,APP要求授权摄像头、定位权限等。当用户拒绝时则弹出“为了给您更好的体验,汇中网需要您同意使用权限”的窗口,用户不同意授权则只能退出。

汇中网强制获取非必要权限

值得注意的是,强制获取权限、一次性过多获取权限都是监督者关注的重点问题。

今年7月,受网信办、工信部等四部委委托,由全国信安标委、消协等成立的App专项治理工作组曾通报20款App,这些App要求用户一次性同意开启多个可收集个人信息权限,且不同意则无法安装使用,涉及猎豹安全大师、探探等。

“拍拍贷借款”一分钟调用1468次定位权限

除了上述问题,默认获取隐私权限也是监督者重点关注的问题。2018年11月,上海市消保委测评18款App并邀请企业进行沟通,多款App被曝存在默认获取权限问题。

在南都个人信息保护研究中心测评的100款移动金融类App中,68款App存在默认获取非必要权限的行为。所谓默认获取,是指用户安装以后,打开权限设置面板,发现一些权限已经默认打开。比如“小米金融”App会默认获取读取(通知类)短信的权限,“天天基金”会默认获取通话状态、访问手机识别码权限。

小米金融(左)和天天基金默认获取非必要权限

在中国金融认证中心(CFCA)的技术支持下,此次测评还对移动金融类App一段时间调用危险权限的次数进行监测。《报告》显示,设备识别码被严重频繁调取,有59款App每分钟调用超过100次,其中“招联金融”一分钟内调用了6109次,“融360”调用了2586次,“51信用卡管家”、“51人品贷”、“还呗”、“国美易卡”、“360借条”调用超过1000次。

仅次于设备识别码、被频繁调用的是定位权限。共有44款App调用频率超过50次/分钟,其中“拍拍贷借款”调用了1468次,调用500次以上的有7款App,包括 “捷信金融”、“汇中网”等。

App调用各个隐私权限的频率分布

App注销时身份核验体验感显著提升

很长时间以来,App注销难一直被用户诟病。相比之下,注册时一个手机号、一条验证码即可完成,而注销时,有的App要求用户提供历史登录地点等信息,有的还要求消费完代金券,甚至需要提供手持身份证照片。

《信息安全技术 个人信息安全规范》规定,注销过程进行身份核验时,用户重新提供的个人信息不应多于注册、使用等环节收集的个人信息。

针对注销问题,南都个人信息保护研究中心选取了20款头部App进行测评,涉及“滴滴出行”、“QQ”、“淘宝”等。值得肯定的是,注销时身份核验的体验感显著提升,要求用户上传有效身份证件或手持身份证照的现象完全消失。

《报告》显示,19款App得分在70分或以上,且大部分支持在线注销,需满足的条件也控制在5条以内。

唯一一款不及格的App是“网易邮箱”,虽然该APP在隐私政策中提到用户可以注销,但App未提供明确的注销入口及注销指引,且在App内提交反馈也没有得到回复,注销条款形同虚设。

网易邮箱在《隐私声明》里的注销条款

《报告》指出,尽管App在注销功能整体得分较高,但仍有改进的地方。比如,只有一款App——“高德地图”允许用户导出、下载个人数据。

《信息安全技术 个人信息安全规范》指出,个人信息控制者宜为个人信息主题提供获取其基本资料、身份信息等个人信息副本的方法。

“悟空租车”、“悦跑圈”等5款App仍没有隐私政策

在隐私政策透明度方面,南都个人信息保护研究中心共检测100款App,涉及购物导购、移动金融、教育文化等十个行业。

《报告》显示,100款App中,有13款达到隐私政策透明度高的层级,其中“京东金融”以95分位居第一,“美团”和“饿了么”以一分之差并列第二,其他透明度高的包括“百度”、“淘宝”等。

十大行业排名靠前的App列表

值得注意的是,“悟空租车”、“悦跑圈”、“慢慢买”、“汽车头条”、“跳跳舞蹈”仍没有隐私政策。

2018年底,南都个人信息保护研究中心发布《2018年度常用App隐私政策透明度排行榜》。与去年相比,今年测评的App在隐私政策透明度上有明显提升,从41.1分提升到73.93分。但是,仍有需要提升的地方。

《信息安全技术 个人信息安全规范》规定,企业保存个人信息的期限为实现目的所必须的最短时间,超出期限应对个人信息进行删除或匿名化处理。然而,只有29%的App有上述表示,27%的App没有提到保存期限,其余则表达含糊。

比如“360借条”写道:“为保证您的合法权益,除法律法规另有规定外,您的个人信息保存期限将截止您注销账户之日后的5年。”

此外,先输入个人信息才能看到隐私政策的情况依然存在,还有的App在隐私政策里暗藏限制用户权利或减少企业的法定义务的条款。

完整报告:

《个人信息安全年度报告(2019)》

《人脸识别落地场景观察报告(2019)》

出品:南都个人信息保护研究中心

请注意:本文转载自QQ快报,并不代表本网赞同其观点,版权归原作者所有,本网不承担任何责任,特此声明。

根据您访问的内容,您可能还对以下内容感兴趣,希望对您有帮助:

个人信息安全及防护的心得体会2000

幸运飞艇人工计划在线网答:题目太大了,这个是写年终总结的节奏吗。 建议写一点具体的问题,再讨论。

信息安全风险评估包括哪些?

答:信息安全风险评估包括: A . 信息资源面临威胁 B . 信息资源的脆弱性 C . 需保护的信息资产 D . 存在的可能风险 信息安全风险评估是从风险管理的角度,运用科学的手段,系统的分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦...

谁能提供一个信息安全风险评估报告的范本?深圳市...

幸运飞艇人工计划在线网答:安全生产信息管理 (一)包括:收集和利用化工过程安全生产信息;风险辨识和控制;不断完善并严格执行操作规程;通过规范管理,确保装置安全运行;开展安全教育和操作技能培训;严格新装置试车和试生产的安全管理;保持设备设施完好性;作业安全...

“信息安全技术”课程报告

答:【案例推荐】 您好!很难有现成的课程报告,可以参考: 上海市重点课程建设项目“网络安全技术”,清华大学出版社,网络安全实用技术,贾铁军主编 上海市重点课程资源网站: http://kczx.sdju.edu.cn/G2S/Template/View.aspx?action=view&courseTy...

我上传的资料,会不会被盗用或被挪用呀?如何报告...

幸运飞艇人工计划在线网答:大部分公司按照国家工信部等主管部门要求,采用信息安全技术手段,识别、认证和存储用户资料,仅用于办理实名认证使用,不会做为其他用途,按照实名制要求激活并使用。 温馨提示:大部分公司历来重视用户信息的保密,都有制定《客户信息保密及留...

信息安全等级保护二级的认证(等保二级)的流程

答:具体备案流程如下: 确定对象 各行业主管部门、运营使用单位按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求,初步确定定级对象的安全保护等级。 备案材料准备 办理信息系统安全保护等级备案手续时,应当填写《信息...

信息安全等级保护测评机构是做什么的?

答:定级系统测评,出具系统合格检测报告。 工作实施流程: 1、定级备案: 测评机构人员协助客户填写备案资料,测评机构人员第一轮审核,测评机构最终审核。审核后客户提交到所属区公安局。 输出:合格的定级备案材料。 2、建设咨询 测评机构组织人...

ICP经营性许可证的信息安全保障措施的报告书怎么写

幸运飞艇人工计划在线网答:信息安全保障措施是申请ICP经营许可证时需要提交的材料之一,信息安全保障措施包含的内容很多,对内容的撰写和审核都很严,信息如下: 信息安全保障措施包括: (一)单位盖章、法人代表签署的信息安全责任书; (二)信息安全保密管理制度; (三)信息...

求一些信息安全大赛作品的设计报告

幸运飞艇人工计划在线网答:给你一个免费的专业信息安全网站(www.cangfengzhe.com)吧,你说的作品在它的论文板块里面有挺多,估计可以满足你的要求,谢谢。

信息安全评估报告怎么写?求模板

答:首先要有评估的过程,评估原则、手段、方法,发现那些问题,以及可能造成的威胁。。。。 可以参考信息安全产业部的相关文件

声明:以上内容由用户提供,并不代表本网赞同其观点。如有任何不妥,请与不良与违法信息举报中心联系:513175919@qq.com

www.top10cq.com true http://www.top10cq.com/q/20191205/20191205A0MO4X00.html report 87733
娱乐时尚
科技资讯
历史文化
真视界
旅游美食
精彩图文
我爱我车
母婴健康
关于本站 | 广告服务 | | 商务合作 | 免责申明 | 招聘信息 | 联系我们
Copyright © 2004-2018 top10cq.com All Rights Reserved. 布客网 版权所有
京ICP备10044368号-1 京公网安备11010802011102号