1. IT帮首页
  2. 互联网

周观察|金融类APP侵害用户权益何时休

周观察|金融类APP侵害用户权益何时休

来源 | 周观新金融 作者 | 周公子

提高个人信息保护觉悟靠大家。

数据安全问题,自去年到现在都是大家热议的焦点。7月24日,工信部再次通报了一批侵害用户权益的APP名单,这已经是自5月来通报的第三批了,其中不乏天弘基金、小鹅花钱(微众银行小程序)、华夏基金管家、博时基金、买单吧(交通银行信用卡APP)等知名金融企业的APP。根据工信部要求,这些APP必须在7月30日之前完成整改,否则将开展相关处置工作。

值得一提的是,稍微留意这些APP所涉及的问题,我们会发现这几乎是各类APP应用的“通病”:超范围收集个人信息、私自手机个人信息、账号注销难、私自共享信息给第三方、不给权限不让用、强制用户使用定向推送功能、过度索取权限……

是不是似曾相识?是不是也曾深受其扰?

相信工信部通报的这批名单,只是第三批,而不是最后一批。有此类问题的APP实在是太多了。

很多APP是在你安装的时候,就给你选项授权采集包括地理位置、安装列表,金融类则通常还涉及通讯录、通话记录等敏感信息。此前,关于数据采集边界的问题,我们也曾在历史文章中探讨过,多数业内人士都认为,现有的APP数据采集其实并非全出于本身服务需要,这些APP背后的企业之所以想方设法采集有关无关的数据,主要目的是为了业务延伸。

借用一位数据安全行业资深从业者的话:有的APP,不仅超范围采集数据,还需要强制授权抓取相关数据,用户不同意就无法使用,这其实比PC时代的强制弹窗还流氓。

这种行业乱象何时休?所幸,从去年始于魔蝎科技等企业的大数据行业风波,到今年315被央视点名的SDK问题,再到近期工信部分批点名通报,数据安全乱象终于被推至台前,真正引起大家重视。

01

积极信号与监督难点

7月24日,与第三批侵害用户权益APP通报同日下发的,还有《工业和信用化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》(下简称《通知》),列出了明确的整治目标:加强监督检查,督促相关企业强化APP个人信息保护,及时整改消除违规收集、使用用户个人信息和骚扰用户、欺骗误导用户、应用分发平台管理责任落实不到位等突出问题,净化APP应用空间。2020年8月底前,上线运行全国APP技术检测平台管理系统,12月10日前完成覆盖40万款主流APP检测工作。

《通知》明确的整治人物也非常全面,包括APP、SDK违规处理用户个人信息方面;设置障碍、频繁骚扰用户方面;欺骗误导用户方面;应用分发平台责任落实不到位方面。

虽然《通知》给了消费者一剂强心针,但从实际操作层面来看,数据安全管理涉及的“边界”问题,往往难以精准把握,这也是为何近年来安全计算迅速在业内走红的原因。

举个人话版例子:

根据《信息安全技术 移动互联网应用(APP)手机个人信息基本规范》(草案),企业收集个人信息应遵循“最少信息”原则,但具体到操作层面,什么才是“最少”?

周观察|金融类APP侵害用户权益何时休

以金融借贷类的最少信息收集范围为例,很多企业的收集范围显然是超出上述范围的。经过工信部这一轮专项整治后,不少企业应该会有所收敛,但不少企业条款依然有“概括性”表述,消费者对这类偏向概括授权的条款防不胜防,陷入被动。如某些APP“可获得您联系人的相关信息”的表述,即属于概括性表述。具体是指多少相关联系人?是包含整个通讯录的联系人,还是仅仅是两个紧急联系人?这里的差距就很大了。

‍再举个更行业的例子:

SDK厂商放在过去,是一个很吃香的所谓“大数据厂商”,这些服务大体上包括:通知类SDK、埋点日志类SDK、游戏语音类SDK、驱动类SDK、智能识别类SDK、设备指纹SDK、支付SDK等。

APP应用的迅速铺开,SDK有不小贡献。但是,SDK厂商如果只靠卖SDK,盈利能力是有限的,所以很多SDK厂商都会有关联的大数据公司,做数据类的增值业务。

这就涉及中间截留数据的问题,而SDK厂商能不能中间截留数据?这在业内看来,一直没有太明确的界限。SDK本身并不是一个完整的软件服务,用户更多的情况下其实对此是未知和陌生的。

举例来说,用户下载了应用市场上的某个APP,提示授权抓取地理位置等数据,对用户来说,只会意识到自己的手机数据被这个APP抓取。但是实际情况则是,这个APP采集数据用的很可能是第三方的SDK,比如埋点用A的、PUSH用B的、设备指纹用C的……

那么,问题就来了,ABC三者是否有权限来缓存这个过程中抓取的用户数据呢?如果缓存了,是否在授权协议里面有明示?如果授权明示缓存了,是否可以用于该APP服务范围的其他用途,这个过程又该如何规范管理?

02

你我都该提高警惕

罗马总不是一天建成的,行业的规范发展也一样,都是边发展边规范。

从《网络安全法》到去年的《信息安全技术 移动互联网应用(APP)手机个人信息基本规范》(草案)公开征求意见,再到各部位联合下发的《APP违法违规收集使用个人信息行为认定方法》、《移动互联网应用程序(APP)收集使用个人信息评估指南》等文件来看,足见监管规范行业发展的决心。

工信部在近日挂出的整治通知,还有个细节不容忽视:提醒消费者关于个人信息保护的投诉,也有明确投诉路径:中国互联网协会应通过互联网信息服务投诉平台(https://ts.isc.org.cn/)或12321举报中心接受群众投诉,及时汇总处理用户反映的相关问题。

正所谓,信息化时代是我家,环境靠大家。

原创文章,作者:镭射财经,如若转载,请注明出处:https://www.it-bound.com/archives/101774

发表评论

电子邮件地址不会被公开。 必填项已用*标注

联系我们

在线咨询:点击这里给我发消息

邮件:itbound@sina.com

工作时间:周一至周五,9:30-18:30,节假日休息