88款App个人信息安全方面违规被通报 涉及中邮消金、顺丰金融、等多家金融科技企业

  • 来源:蓝鲸财经
  • 时间:2020-11-25 14:32:03

11月23日,广东省通信管理局发布App监管情况通报,涉及经核验出现问题的App共88款,包括嘉联支付、中邮消金、顺丰金融、恒大财富、全民钱包等多家金融科技企业。

通报显示,被查处的App主要存在两方面问题,一是App及其后台服务器存在“明文存储密码”“反编译”“SQL注入”等数据安全隐患问题;二是违反用户个人信息保护规定,包括“未公开明示收集规则”“默认勾选同意隐私协议”“未列明所集成SDK及其采集信息”“为注销账号、删除个人信息设置障碍”“未经用户同意共享给第三方”等侵犯用户对其个人信息处理享有的知情权、决定权,以及违反最小必要原则超前、超需、超频索取权限或采集信息,甚至不给必需权限不让用等强迫行为。

嘉联支付有限公司(下称“嘉联支付”)运营的两款App“立刷”、“立刷商户版”均被监管点名。两家公司均存在未明确告知收集使用麦克风权限的目的、方式、范围;应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息等2个侵害用户权益的问题,并存在Java代码反编译风险的安全隐患。此外,立刷App还存在应用备份风险。

值得关注的是,就在一周前,立刷App刚被网信办通报存在四大违规行为。包括在申请打开电话、位置、存储等可收集个人信息的权限,以及收集用户身份证号、银行卡号等个人敏感信息时,未同步告知用户其目的;因用户不同意打开非必要的相机权限,拒绝提供更换头像的功能;未明示收集的用户支付宝账号、微信账号、QQ账号等个人信息的目的、方式和范围;因用户不同意打开非必要的位置权限,拒绝提供所有业务功能等。

嘉联支付成立于2009年5月,于2012年6月27日获得全国范围内银行卡收单业务的支付牌照,并于2017年6月27日成功获批续展至2022年。嘉联支付主要通过向商户布放POS机具,提供银行卡收单及增值服务,以获取机具销售或租赁及手续费收入。目前新国都董事石晓冬在嘉联支付担任法定代表人、董事兼总经理。

今年9月,嘉联支付存在违法行为被央行深圳市中心支行罚款941万元。涉及违规行为包括“因未按规定建立有关制度办法或风险管理措施;与身份不明的客户进行交易;未按照规定履行客户身份识别义务;未按规定报送大额交易报告或者可疑交易报告”。

自2017年被收购后,嘉联支付成为上市公司新国都(SZ:300130)全资控股的子公司。新国都2020年半年报数据显示,上半年嘉联支付累计处理交易流水约5778.6亿,同比增长27.5%,实现营业收入7.94亿元,净利润6095.9万元。尽管2019年上半年的财务数据并未披露,但从全年来看,2019年全年实现净利润2.44亿元,是今年上半年净利润的三倍。

中邮消费金融有限公司(下称“中邮消金”)运营的“中邮钱包”则被指出“App存在未明确告知收集使用麦克风权限的目的、方式、范围”。

中邮消金成立于2015年11月,注册资本为30亿元,邮储银行(SH:601658)持股70.5%为第一大股东。除邮储银行外,中邮消费金融股东还包括星展银行有限公司、广东三正集团有限公司、渤海国际信托股份有限公司、广州市广百股份有限公司、拉卡拉网络技术有限公司以及广东海印集团股份有限公司。

邮储银行2020年半年度报告显示,截至2020年6月末,中邮消金总资产286.72亿元,较年初下降6.47%,净资产34.83亿元,上半年实现净利润0.49亿元,同比下降64.75%。

此外,还有多家行业巨头旗下的金融App产品被点名。

深圳市顺恒融丰投资有限公司运营的顺丰金融App存在:App未明确告知收集使用短信和日历权限的目的、方式、范围;应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息;未经用户阅读隐私政策,应用就申请获取位置信息、相机、存储、麦克风和电话状态信息权限等3项侵害用户权益问题,还存在Java代码反编译风险的安全隐患。

今年4月,顺丰金融App的运营主体由“深圳市顺恒融丰投资有限公司”更名为“深圳市顺恒融丰供应链科技有限公司”。目前顺丰金融网页版官网介绍其是依托顺丰集团资源为基础,将大数据、移动互联网、区块链、云计算、神经网络等技术与工具引入产品及服务流程,主要为客户提供数字化技术解决方案、信息安全技术解决方案。

目前顺丰集团旗下金融牌照包括保险经纪、商业保理、融资租赁、互联网小贷、第三方支付等。

由恒大互联网金融服务(深圳)有限公司运营的恒大财富App也被指出存在应用内集成多个可收集个人信息的第三方SDK,但未在隐私政策逐一说明是否向第三方共享信息的问题。

“恒大财富”原名“恒大金服”,在去年5月品牌升级为“恒大财富”。目前其APP与盈米基金合作,提供基金销售服务。恒大集团在2015年11月成立恒大金融控股集团(深圳)有限公司,并作价39.39亿元收购中新大东方人寿50%股权成为第一大股东,并将其更名为恒大人寿保险有限公司,由此进军金融业务。此后,恒大通过入股、增持成为盛京银行第一大股东,又通过盛京银行控股盛银消费金融,曲线获得消费金融牌照。

截至目前,恒大在金融领域的布局包括保险、银行、消费金融、第三方支付、融资租赁、小额贷款、商业保理、基金销售、私募基金、保险经纪等。

在诸多被通报的企业中,还有一家消费分期平台“全民钱包”被点名。

据悉,全民钱包的运营主体为广州市全民钱包科技有限公司。存在应用内集成多个可收集个人信息的第三方SDK,但未在隐私政策逐一说明是否向第三方共享信息的问题。

全民钱包官网显示,其成立于2017年7月,是集信用风险评估与管理、信用数据整合服务、小额贷款咨询服务为一体的综合性金融科技服务公司。据其App显示,全民钱包提供消费分期和贷款申请服务。

据“全民钱包”App《个人信息查询及使用授权书》显示,用户在申请贷款时需授权重庆两江新区宝升小额贷款股份有限公司(下称“宝升小贷”)及其直接或间接控股公司按规定使用信用信息。

尽管全民钱包与宝升小贷并无直接股权关联,但宝升小贷目前仍是失信被执行人。天眼查信息显示,因有履行能力而拒不履行生效法律文书确定义务,宝升小贷在2019年10月被列为失信被执行人,关联执行标的约50万元。从2017年10月到2019年4月间,因多起借款合同纠纷,宝升小贷及其股东李浩、董事长兼法定代表人郑伟京陆续收到多份限制消费令。

此前蓝鲸财经曾报道过微信朋友圈广告导流小贷公司的情况,宝升小贷就曾出现在记者的朋友圈广告中。从宝升小贷官网介绍来看,其主要提供装修贷款服务,与重庆当地多家装修企业、房企展开合作。

关键词: App 个人信息安全

精彩推送

资讯播报