日前,广东省通信管理局对外发布APP监管情况通报(2020年10月)。
通报提到,按照工业和信息化部关于APP数据安全和侵害用户权益专项整治工作的工作部署和要求,加强对属地APP的监督检查,建设APP监管平台,并委托第三方专业机构进行检测,累计检测5千余款APP,共发现疑似存在问题APP 237款,经检验确定问题APP 88款。
另被查出的APP存在两方面问题,一是APP及其后台的服务器存在“明文存储密码”“反编译”“SQL注入”等数据安全隐患问题;二是违反用户个人信息保护规定,包括“未公开明示收集规则”“默认勾选同意隐私协议”“未列明所集成SDK及其采集信息”“为注销账号、删除个人信息设置障碍”“未经用户同意共享给第三方”等侵犯用户对其个人信息处理享有的知情权、决定权,以及违反最小必要原则超前、超需、超频索取权限或采集信息,甚至不给必需权限不让用等强迫行为。
柒财经旗下柒闻网注意到,88款APP中涉及中邮消费金融有限公司开发的APP“中邮钱包”,具体讲APP未明确告知收集使用麦克风权限的目的、方式、范围。
顺丰旗下“顺丰金融”也被点名,侵害用户权益问题包括App未明确告知收集使用短信和日历权限的目的、方式、范围;应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息;未经用户阅读隐私政策,应用就申请获取位置信息、相机、存储、麦克风和电话状态信息权限。而这些问题导致存在Java代码反编译风险。
还有深圳中兴飞贷金融科技有限公司运营的APP“飞贷”存在应用内集成多个可收集个人信息的第三方SDK,且未在隐私政策逐一说明以及是否向第三方共享信息。据柒闻网了解,今年1月,飞贷遭到工信部点名,涉及问题是“不给权限不让用”。
而恒大互联网金融(深圳)有限公司的“恒大财富”、广州市全民钱包科技有限公司的“全民钱包”、中信证券股份有限公司的“中信证券”与“飞贷”存在同样问题。
柒闻网还注意到,广州农村商业银行股份有限公司运营的APP“广州农商银行”存在问题有:应用内集成多个可收集个人信息的第三方SDK,但未在隐私政策逐一说明是否向第三方共享信息;未公开收集使用规则;App首次运行未弹窗提示用户阅读隐私政策;未明示收集使用个人信息的目的、方式和范围:申请打开可收集个人信息的权限时,未同步告知用户其目的。
广州银行股份有限公司信用卡中心旗下APP“广州信用卡”存在未经用户同意收集使用个人信息;首次开启App,未同意隐私政策前行为监控发现GET_TASK获取应用程序、Android ID、MAC地址、ip地址;同意存储权限不同意相机权限无法正常使用更换头像功能;隐私政策未发现描述响应时限的条款。
除前述之外,这88款APP中,还包括“迅雷”“唯品会”“立刷”(所属嘉联支付有限公司)“全民电视直播”“万联证券股票开户”“乐刷商务版”(所属深圳市移卡科技有限公司)等等。