警方点名!嘉联支付旗下立刷App违规!
8月14日,广东警方7月份监测发现490余款App存在违规行为,并对其中存在突出安全问题的44款App进行了曝光。据曝光情况显示,立刷App存在读取用户通讯录;允许发送短信、彩信;允许录制音频等超范围收集用户信息的情况,且没有隐私政策。警方表示,有关监测情况已上报公安部通报属地公安机关开展清理整治。
获取12项隐私权限依旧可以下载
根据华为应用商店应用介绍,立刷App是一款融合收单工具,功能有信用卡、储蓄卡收单;结算卡查询余额;收单流水账单等功能,共要求获取包括读取通讯录、发送短信、拨打电话、录制音频等12项隐私权限。
根据警方通报12项权限中读取联系人、发送短信以及录制音频属于超范围收集用户信息,违反了个人信息收集原则中的“最少够用原则”和“目的明确原则”。在警方通报中,立刷App还缺少“隐私政策”,因此立刷App还违反了“透明公开原则”。
根据App治理工作组过去对类似违规App的通报,立刷App违反了《网络安全法》第四十一条“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”
而根据《网络安全法》第六十四条,“违反本法第四十一条规定的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。”
据移动支付网了解,目前被警方通报的“立刷2.0.4”依旧可以在应用商店及嘉联支付官方获取下载,且在下载页面可以查看到《嘉联支付隐私权政策》。值得注意的是无论是嘉联支付官网还是微博、微信公众号都没有对警方通报进行任何回应。
嘉联支付成立于2009年,并在2018年4月被新国都技术股份有限公司以7.1亿元人民币收购,成为新国都旗下全资子公司。根据央行信息,嘉联支付目前持有全国范围银行卡收单牌照,有效期至2022年6月。
复测:高风险项多达352项
在警方通告发布之后,移动支付网联系了专业安全检测机构对“立刷2.0.4”进行了安全复测。评测项目包括权限信息、行为信息、程序源文件安全、本地数据存储安全在内的73个项目。评测依据为《公共及商用服务信息系统个人信息保护指南》、《移动智能终端个人信息保护技术要求》、《中国金融移动支付客户端技术规范》、《中国金融移动支付应用安全规范》等8个要求规范。
“立刷2.0.4”在评测中共发现问题1963个,覆盖73个评测项目中的41个项目,1963个问题中有352项为高风险项。
在“权限信息”评测中,“立刷2.0.4”共使用了36项权限,其中有11项权限风险级别为“危险”,这11项权限当中就包括直接拨打号码、读取联系人数据和发送短信。
“建议性”规范支付类App何去何从?
今年1月,中央网信办、工业和信息化部、公安部和国家市场监管总局在全国范围内组织开展App违法违规收集使用个人信息专项治理工作,目前所有关于“App个人信息收集”发布的公告、处罚和法规办法都是来源于该项治理工作。
从专项治理工作开展到现在,各部门已经陆续出台了等级保护2.0、《移动互联网应用基本业务功能必要信息规范》、《数据安全管理办法(征求意见稿)》、《个人信息安全规范(草案)》等一系列文件。虽然绝大部分法规办法还处于“征求意见”状态,但是未来必然会正式实行。
日前,信安标委发布了《App收集个人信息基本规范(征求意见稿)》,在这份文件中明确规定了App收集个人信息规范的各项要点,更是提出了21项常用服务类型可收集的最少信息和最小权限范围。
其中网络支付类服务建议最小权限范围仅有一项:存储权限。而可收集最少信息也只有网络日志、手机号码、身份证件信息、客户操作信息、交易信息、帐号信息、银行账户信息和交易身份验证信息,并不包括详细地理位置、用户通讯录、短信、通讯记录等信息。
虽然《App收集个人信息基本规范(征求意见稿)》中的最少信息和最小权限范围属于建议性规定,但是依旧可以看出,支付类App可以收集的个人信息和隐私权限必然会受到巨大的限制,并或许影响目前的业务运行,比如说风控业务和用户精准画像等等。
面对这样的“建议性”规定,支付类App会如何选择呢?是严格按照规定进行改进,还是有限度的修改?移动支付网将持续关注。
由北京移动金融产业联盟、移动支付网联合主办的2019第四届中国移动金融安全大会将于11月5日在深圳举行,今年主题聚焦金融信息安全,包括App安全、个人信息保护、信息收集权限、刷脸支付安全等,欢迎咨询手机/微信:18038063793。