第三方数据审核拒绝提款 银行App隐私权限测评报告（二）| 数据采集集中在服务使用前，对第三方依赖性较强

近年来，数据要素越来越成为我国经济增长的重要力量，但个人信息的过度收集和滥用等问题也日益突出，为此，深圳市人大常委会官网于7月6日重磅发布《深圳经济特区数据条例》，表示将针对该类问题进行严格管控。

《条例》指出，当前一些移动互联网应用程序（APP）通过“一揽子协议”，将收集个人数据与其功能或服务进行捆绑，用户不同意全面授权，就无法使用该APP。不少用户往往被迫接受“一揽子协议”，这严重损害了用户作为个人数据主体的决定权。为此，《条例》专门规定，数据处理者不得以自然人不同意处理其个人数据为由，拒绝向其提供相关核心功能或者服务。但是，该个人数据为提供相关核心功能或者服务所必需的除外。

此外，为避免人脸、指纹等生物识别数据的滥用，《条例》还作出了更严格的规定——除了该生物识别数据为处理个人数据目的所必需且不能替代外，应当同时提供处理其他非生物识别数据的替代方案。

在上期针对国有银行App的测评报告中

奥一新闻记者发现部分银行App存在

用户拒绝接受《隐私政策》软件即闪退、

频繁弹窗索取权限、

未告知个人信息具体保存期限等问题

回顾

本期记者将随机选取六家股份制银行，围绕“是否违规收集用户个人信息、有无不合理索取用户权限、有无为用户账号注销设置障碍”三个维度，继续深度测试银行App在对个人信息的收集与使用上还存在哪些问题，也借此督促企业对用户个人信息的保护提起更高重视，希望为读者提供有效参考。

本期测评对象：

招商银行、浦发银行、中信银行、中国光大银行、中国民生银行、平安银行

数据采集集中在服务使用前

首次进入APP，中信银行接连弹窗索取位置和消息推送权限；平安银行索取位置、消息推送、Siri权限；民生银行索取Siri、相册、消息推送权限；光大银行索取消息推送、位置权限；浦发银行索取位置、消息推送权限；招商银行索取通知、Siri、位置权限。

据悉，除了上面提到的《深圳经济特区数据条例》，早在今年4月，工信部还发布了《移动互联网应用程序个人信息保护管理暂行规定》，指出从事APP个人信息处理活动的，应当在对应业务功能启动时，动态申请APP所需的权限，不应强制要求用户一揽子同意打开多个系统权限，且未经用户同意，不得更改用户设置的权限状态。

如果说在用户首次进入APP时，银行索取消息推送权限是为了用户更及时获取本人需要的动态信息，那相册、位置等权限是否应是在用户使用网点查询或是二维码扫描等对应业务时再弹出？

根据今年5月1日施行的《常见类型移动互联网应用程序必要个人信息范围规定》，手机银行类APP必要个人信息包括：注册用户移动电话号码、用户姓名、证件类型和号码、证件有效期限、证件影印件、银行卡号码、银行预留移动电话号码；转账时需提供收款人姓名、银行卡号码、开户银行信息。

在测试过程中，记者发现大多数APP采集数据范围并不局限于此，且对个人信息的采集都集中在用户使用对应服务前。

银行App对第三方服务商依赖性较强

奥一新闻记者依次打开本次测评的六款银行APP《隐私政策》，发现对于第三方服务商以及其将收集的个人信息内容的披露情况，各银行表现较为良好。第三方服务商在不同的使用场景下，通过自有软件开发工具包（简称“SDK”）收集的信息内容大致为终端唯一标识信息、IP、系统版本、网络类型、设备信息、相机、麦克风、位置、手机号等。

经过粗略计算，App合作方数量最多的是平安银行，多达26家。

需要注意的是

银行在一个由设备、服务、应用等

所构成的弹性环境中与第三方的交互

无形间

已经成为了黑客可轻易进入的不稳定空间

用户个人信息在多次转移过程中

极易出现丢失、诈骗、盗用等风险

虽然各银行APP在对第三方资料披露的同时，均声明“如不同意第三方服务商收集相关信息，可能无法获得相应服务，但不影响用户正常使用银行APP的其他功能或服务。如同意第三方服务商收集相关信息发生信息泄露的，由相关第三方服务商承担相应法律责任”，但个人信息安全依然难以保障。

据了解，2018年5月，由于第三方服务商所提供的语音识别软件存在系统漏洞，导致包括旧金山卫生局和加州大学圣迭戈分校在内的客户信息泄露，曝光了4.5万份患者**；同年6月，环球音乐集团（UMG）由于第三方承包商未能合理保护 服务器，导致在云数据库中存储的所有内容都暴露在了开放的互联网上，其中包括内部文件传输协议（FTP）凭据、AWS密钥以及内部和SQL root密码等。

事实上，每年都会出现由于第三方服务商监管不到位，导致信息泄露的事件发生。

那么，银行为何不自己开发SDK，保证用户信息在闭环条件下得到安全防护？

有业内人士告诉记者——“一个SDK的开发成本加上后续维护费用，从几万到数十万不等，而银行APP多样化的服务内容需要多个SDK来共同实现，如每个SDK都自己开发，对于软件用户量较少的银行来说，性价比较低。”

因此，在与第三方的合作中，银行除了应尽可能地提高自营能力，还需要强化相关技术、管理人员信息安全意识，提高对第三方服务商的风险评估及规避水平。

未成年人信息保护条例过于简单

随着近几年青少年及儿童理财教育的推广，许多父母都尝试着开通属于孩子自己的银行卡。但需要注意的是，由于多数未成年人对金融风险认识不足，自我保护意识较薄弱，个人信息和隐私会更容易泄露和受到侵害。

测试过程中，奥一新闻记者注意到六家银行《隐私政策》中对于未成年人信息的保护条例普遍过于简单。

平安银行、民生银行、光大银行、浦发银行仅表示“如没有监护人的同意，未成年人不得创建自己的用户账户。对于经父母同意而收集未成年人信息的情况，银行只会在法律允许、父母或监护人同意或保护未成年人所必要的情况下使用或公开披露此信息”。

中信银行则增加了“未成年人在未经父母或监护人同意的情况下收集了其个人信息，会尽快删除相关数据”的应急处理方式。

值得注意的是，只有招商银行在未成年人保护条例中，针对14周岁以下儿童单独制定了《招商银行App儿童个人信息保护规则》，内容包括儿童信息的收集、存储、保护、使用、共享、访问和管理等。

据了解，未满16周岁的未成年人办理银行卡，需父母或监护人陪同携带双方身份证件、户口簿等相关资料，才可前往办理，且该类型银行卡仅具备存取款、存定期等基本服务功能，在转账、缴费、网银、理财等其他方面则均受不同程度的限制。

多家银行客服向记者表示：“由于目前各大银行都在实行断卡行动，儿童开通银行卡需要严格审核监护人及孩子的身份。该卡受限比较多，例如不能开通网银，不过基本的服务还是可以使用的。”