广东省通信管理局近日发文指出,2021年1月,广东省通信管理局共监测发现215款App存在侵害用户权益和安全隐患问题。其中有分期乐、平安精选、通付宝等12款金融类App被责令限期整改。

值得注意的是,在这次通报中,有7款前期通报整改未整改或整改不彻底的App被点名,其中有5款均为金融类App,中邮消费金融、顺丰金融、万联证券等名列其中。

分期乐等12款金融App被责令整改

在被责令整改的215款侵害用户权益和安全隐患问题App中,金融类App有12款,被点名的包括分期乐、平安精选、通付宝等App。

根据南都记者梳理,本批被责令整改的金融类App侵害用户权益和安全隐患问题的典型表现主要包括五类。

未按照规范获取权限是本次被点名App普遍存在的第一大问题,占比高达67%。具体来看,问题包括“没有在隐私政策中逐一列出获取相机权限、麦克风权限的目的、方式、范围”,如金酷、信用卡还呗。二是“App首次运行未经用户阅读并同意隐私政策,申请获取存储和电话权限”,如平安保险旗下App“平安精选”、白熊保单管家、广金所。三是“在用户未使用相关功能或服务时,提前申请开启相机权限”,如长城证券旗下的App“长城炼金术”。还有个别App“不给权限不让用”,如通付宝,用户不同意开启非必要的位置和相机权限,拒绝提供所有业务功能;还有合众e贷财富,用户不同意开启非必要的相机权限,拒绝提供修改头像业务。

二是未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围,占比达58%,涉及布谷农场、分期乐、广金所、合众e贷财富、金酷、信用卡还呗和长城炼金术7款App。

第三大问题是账户注销难,超过4成的被点名App存在相关侵权行为。涉及白熊保单管家、合众e贷财富、金酷、平安精选、小花借条5款App。

值得注意的是,通付宝App的隐私政策难以访问,而掌富易购App则存在隐私政策无法查看问题。

此外,在安全隐患方面,50%的被点名App存在界面劫持风险,包括分期乐、布谷农场和通付宝等App,另有四分之一存在Webview远程代码执行漏洞,或未移除有风险的Webview系统隐藏接口漏洞。

因用户个人信息保护不力,分期乐、中邮钱包等被点名整改

被通报App存在的侵害用户权益和安全隐患问题

对于上述被点名App,广东省通信管理局依据《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规对App运营者发出《违法违规App处置通知》,责令限期整改并通知各应用商店督促整改。

中邮钱包、顺丰金融等整改未通过

此外,在这次通报中,有7款前期通报整改未整改或整改不彻底App被点名,中邮钱包(属于中邮消费金融)、顺丰金融、万联e万通(属于万联证券)、摇钱花(属于小赢科技)和华盛通5款金融类App名列其中,因其金融属性,更受市场关注。

因用户个人信息保护不力,分期乐、中邮钱包等被点名整改

5款前期通报整改未整改或整改不彻底金融类App名单

值得注意的是,上述App均在此前的点名通报后更新了App版本,但却未能对照此前通报提出的问题进行整改,或整改不彻底,至今仍存在上表中列明的相关问题。

南都记者注意到,中邮钱包、顺丰金融、万联e万通等较为知名的主流金融App也被点名未能整改通过。

中邮消费金融的中邮钱包存在的问题是:“未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;未提供有效的注销账号功能,按照隐私政策中声明的注销指引,咨询在线客服,客服明确回复未实名认证的账号无需注销。”根据通报,其在2020年10月23日曾被勒令整改,但并未没有完成整改。

另外,顺丰金融存在的问题是:“征得用户同意前,App嵌入的第三方SDK私自收集个人MAC地址信息;在注册登录时,以默认方式同意隐私政策;因用户不同意收集非必要的QQ、邮箱等个人信息,拒绝提供我要留言功能;违反必要原则收集个人信息:用户不同意开启非必要的相机权限,拒绝提供上传图片功能。”而万联证券的APP万联e万通也存在上述提及的部分问题。

广东省通信管理局称,在消费者权益日即将到来之际,将持续加大巡查力度,及时发现并通报侵犯用户权益的App,同时加强对已通报App及其运营者关联App进行跟踪复查,如有必要坚决采取下架、停接入、停域名、行政处罚以及纳入电信业务经营不良名单或失信名单并公开曝光。