数字化时代,企业数据合规和个人隐私信息保护的重要性日益凸显,信息资源已成为重要的生产要素和社会财富。近年来,国家网络安全法律体系逐渐完备,数据保护、个人隐私信息保护等有关规定法律法规密集出台,民众网络安全感满意度有所提升。移动应用App作为服务提供的主阵地,更是个人信息保护的前沿战场与核心区域。
手机银行App,凭借其卓越的即时响应速度、极致便捷的操作体验以及一站式综合服务能力,已深深融入公众的日常生活,成为不可或缺的金融工具。它们不仅极大地拓宽了金融服务的边界,提升了服务获取的便捷性与效率,还深刻重塑了金融服务的质量标准。鉴于手机银行App深度依赖于大数据驱动,其在保障用户个人信息合规的角色上更显关键。
中国电子银行网联合中金金融认证中心有限公司(CFCA)信息安全服务部移动安全团队,对48款手机银行App,包括六大国有行,12家股份制银行,部分城商行、农商行、农信社以及民营银行的个人信息合规进行了测评。测试共分为隐私政策透明度与合理性、用户权利保障、用户授权过程的合理性等三部分。
本次手机银行App个人信息合规测评工作,旨在提高银行业金融机构对个人信息保护的重视程度,提升其对个人信息保护的能力,减少和防范对用户信息侵害事件的发生,推动中国银行业手机银行App合规高质量发展,为践行“金融为民”贡献力量。
本文主要为“总体测评指标及结果”和“手机银行App隐私政策透明度与合理性测评”两部分。后续还将连续推出“手机银行App用户权利保障测评”和“手机银行App用户授权过程的合理性测评”,敬请持续关注。
本次测评对象为48款手机银行App,通过主流应用市场(包括华为应用市场、腾讯应用宝、vivo应用市场、小米应用市场)和相关银行官方网站进行下载,均取测评期间的最新版本,详细情况可以查看文末附录。
本次测评从法律和法规出发,同时参考相关国家标准及同业经验,其中法律法规如下:
工信部信管函〔2020〕164号《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》
本次测评通过安卓设备进行测试,测试设备型号为谷歌Pixel 3与Pixel 6。
本次测评时间为2024年6月17日至2024年7月19日,测试对象采集时间同样为本时间段内。
本次测评采取人工与工具测评相结合的方式,针对App本身与App内隐私文本两者相结合,主要参照《GB/T 425822023 信息安全技术 移动互联网应用程序(App)个人隐私信息安全测评规范》进行案例设计和测试执行,测评完成后再对测试项进行交叉验证,最终完成测评工作。
本次测评共选取32个测评项,同时将测评项分为隐私政策透明度与合理性、用户权利保障及用户授权过程的合理性3个类别,共计总分100分,其中隐私政策透明度与合理性39分,用户权利保障22分,用户授权过程的合理性39分。详细测评指标内容可以查看文末附录。
测试结果显示,48款手机银行App得分均超过60,其中61%的App得分超过80。手机银行App在个人隐私信息合规方面取得了显著进步,整体表现超越了其他类别的应用程序。
备注:以上排名不分先后,按首字拼音顺序排序,首字拼音相同按次字拼音顺序排序,以此类推,第十名分值相同情况共同列入本名单。
本次测评针对App申请权限方面以及部分操作步骤也进行了统计,结果显示:App申请权限总体仍然较多。作为金融App,一定的权限申请用于风控有助于降低用户交易风险,同时高风险权限平均值明显较低,总体来看,手机银行App在收集用户个人隐私信息方面表现出了一定的节制;但隐私政策声明的高危权限和实际申请的高危权限尚有一定差距,值得重视;此外在撤回授权同意的方法上和登录后访问隐私政策步骤数量,大部分手机银行App都能做到简单易用,以下为相关详细数据。
目前对于生物识别协议、申请敏感权限时的提示方式等内容,虽然业界并未有完全统一的要求,但是也有一些主流合规方案为大家普遍接受,以下是本次测评中的主流方案及占比。
隐私政策是用户了解企业收集使用个人隐私信息合规情况的途径,也是企业告知用户如何处理个人隐私信息的最直接方式,个人隐私信息保护法的第六条要求处理个人信息应当具有明确、合理的目的,而第七条就明确要求了处理个人信息应当遵循公开、透明原则。故本次测评中第一大部分内容就是对手机银行App隐私政策的透明度与合理性进行测评。本次测评选取了14个相关的测评项进行测评,具体内容如下:
备注:以上排名不分先后,按首字拼音顺序排序,首字拼音相同按次字拼音顺序排序,以此类推,第十名分值相同情况共同列入本名单。
以下将通过一些App的优秀合规案例以及风险案例对本次测评中通过率较低的测评项进行阐述及分析。
《App违法违规收集使用个人信息行为认定方法》:未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等。
根据相关标准,以上案例中该客户端详细列举了每一个SDK,并包含了SDK收集使用个人信息的目的、方式、范围以及隐私政策链接(联系方式)、SDK名称、SDK厂商等信息,并详细列举收集的个人信息,不存在使用“等”、“例如”及其他概括性或模糊语句描述。
明确列出所有收集用户个人信息的第三方SDK及其收集个人信息的目的、方式和范围。
告知第三方SDK的名称、厂商以及易于访问的隐私政策链接或者联系方式。
定期审查和更新第三方SDK收集使用个人信息的描述,确保隐私政策描述和App实际使用匹配。
条件允许的情况下可将SDK列表整理成条理更清晰的表格等形式,并以超链接的形式放在二级页面,方便用户阅读,并减少一级页面的内容。
工信部信管函〔2021〕292号《工业和信息化部关于开展信息通信服务感知提升行动的通知》:
各相关企业应建立已收集个人信息清单和与第三方共享个人信息清单,并在App二级菜单中展示,方便用户查询。
已收集个人信息清单应简洁、清晰列出App(包括内嵌第三方软件工具开发包SDK)已经收集到的用户个人信息基本情况,包括信息种类、使用目的、使用场景等。
与第三方共享个人信息清单应简洁、清晰列出App与第三方共享的用户个人信息基本情况,包括与第三方共享的个人信息种类、使用目的、使用场景和共享方式等。
以上案例中客户端内均在二级菜单设有个人信息收集清单和第三方信息共享清单,并且个人信息收集清单是随着时间动态变化的,方便用户直观的看到某个时间段内App收集的个人信息。
在客户端的二级菜单中增加个人信息采集清单和个人信息共享清单。
确保个人信息采集清单是动态变化的,以反映用户数据的最新状态。
提供易于理解和操作的用户界面,让用户能够轻松访问和管理自己的个人信息。
定期审查和更新个人信息清单,确保其内容与最新的法律和法规和用户需求保持一致。
GBT 41391-2022《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》:
6.5.1-a) 应仅声明和申请实现App服务目的最小范围的系统权限,不应申请与App业务功能无关的系统权限。注1:声明,是指在应用程序清单文件(如安卓的AndroidManifest.xml文件、iOS的Info.plist等)中向操作系统说明所需的系统权限。
以上案例中,案例1-1个人信息保护政策中缺少读取手机状态和身份权限的描述,案例1-2个人信息保护政策中缺少读取手机状态和身份、读取电话号码、读写外部存储空间权限的描述,案例1-3缺少录音权限、读写外部存储空间权限的描述。
常见缺少描述的权限如获取应用账户、修改或查看电话拨号、读取手机状态和身份、读取电话号码、读写外置存储、读取通话记录等,本次测评中具体缺失情况如下图所示。
开发者完善自身权限管理制度和流程,在权限引入时明确权限使用目的并同步至个人信息保护政策;
涉及第三方SDK引入的权限也同样进行管理,防止第三方SDK引入预期外的权限;
在版本打包完成后,检查App权限清单并与个人信息保护政策进行核对,防止出现上述问题。
2.1未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等;
工信部信管函〔2020〕164号《工业与信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》:
3.1.1.违规收集个人隐私信息。重点整治App、SDK未告知用户收集个人隐私信息的目的、方式、范围且未经用户同意,私自收集用户个人隐私信息的行为。
常见的缺少描述的信息有设备硬件序列号、指定包名信息、运营商名称、SSID、BSSID、MAC地址等,详见下图:
在开发过程中严格限制App自身代码对设备信息的获取行为或使用统一信息获取框架,通过拦截对特定设备信息的获取行为进行预防;
也可以在版本打包完成后,进行专项检测,验证App自身对设备信息的获取情况,防止出现以上问题。