今天小編分享的理财經驗:你的券商App安全麼?這些App正在後台讀取信息!,歡迎閱讀。
證券公司加速數字化轉型,聚焦 App 獲客的同時,用戶個人信息保護的隐憂也正在浮現。近日,北京商報記者關注到,投資者開戶後遭遇電話轟炸、違規薦股信息騷擾,種種關于券商 App 獲取、洩露客戶信息的吐槽不斷。就此,北京商報記者下載多家券商 App 體驗發現,不少 App 當前存在後台 / 靜默狀态下收集信息,關閉權限後 " 形同虛設 ",依舊能讀取剪貼板内容的情況。有業内人士表示,App 在收集敏感個人信息時必須遵循 " 最小必要 " 原則,涉及金融、資產交易的券商 App 在獲取用戶信息時,更應嚴格遵守相關法律法規和行業标準,确保信息的收集、使用和處理都經過用戶明确同意。
多款 App 後台獲取信息
" 開戶後多次收到騷擾電話,是信息洩露、詐騙還是信息被盜用?" 有投資者在小紅書發出上述質疑,也有投資者在知乎社交平台吐槽,疑似券商 App 洩露客戶個人信息,開戶後頻繁收到推薦資源的短信。亦有投資者在評論區表達贊同,他表示,自己只用過某券商 App,但此後頻繁被人打電話推薦股票。北京商報記者關注到,種種關于券商 App 獲取、洩露客戶信息的吐槽從未停歇。
對于上述情況,北京商報記者下載華泰證券、中信證券、招商證券、平安證券等多家券商旗下 App 體驗發現,多數券商在 App 開屏頁面即向用戶作出個人信息安全和隐私保護提示,在相關《個人隐私權限政策》中明确列舉收集的隐私信息,包括設備信号、作業系統、唯一設備标識符、登錄 IP 地址、接入網絡的方式、網絡質量數據等。
不過,從多數情況來看,《個人隐私保護協定》只行使告知義務,并沒有商量的餘地,即用戶在進入券商 App 時,只能選擇 " 同意 " 或 " 退出 App"。當然,也有少數券商 App,例如華泰證券 App 漲樂财富通、中國銀河證券 App 則設定用戶選擇拒絕《個人隐私保護協定》後,仍可以浏覽模式進入 App,可查看部分資訊信息。
具體到協定内容中,北京商報記者打開恒泰證券 App 恒泰九點半時發現,其在《互聯網平台隐私策略》中指出,為收集 App 線上運行狀況和質量、保障 App 穩定運行,應用會在後台 / 靜默狀态下收集包括 IMEI(國際移動設備身份碼)、IMSI(國際移動用戶識别碼)、唯一設備标識符、Mac 地址、IP 地址、手機型号、應用安裝列表或運行中的進程信息。
此外,方正證券 App 小方在後台 / 靜默運行将讀取 IMEI、IMSI、唯一設備标識符、Mac 地址、IP 地址、手機型号、作業系統版本、應用安裝列表或運行中的進程信息、單個應用信息、任務列表、UDID、AAID、GUID 等。
而國泰君安證券 App 君弘則有更為詳細的表述,例如,君弘 App 在前台靜默狀态或後台運行時,會監測設備的網絡變化事件,若網絡類型發生變化,将獲取最新的 IP 地址。此外,君弘 App 在前台靜默狀态或後台運行時,個推 SDK 将依然保持運行狀态,可能會采集設備标識等設備信息、IP 地址等網絡信息,用于維持與後台的長連接,保障消息推送。
在北京市京師律師事務所合夥人律師盧鼎亮看來,App 在收集、存儲、使用、加工、傳輸、提供、公開用戶的個人信息時,需要獲得用戶的具體授權,同時,不得超過合理、必要的範圍,不得收集非必要個人信息。而 App 在後台及靜默狀态下收集 IMEI、IMSI 等信息明顯超過了必要範圍。
北京社科院副研究員王鵬也指出,IMEI 和 IMSI 是設備的唯一标識,可以被用于追蹤設備或用戶的位置和行為。因此,這些信息被視為敏感個人信息。根據工信部和其他相關法規,App 在收集敏感個人信息時必須遵循 " 最小必要 " 原則,如果恒泰九點半等券商 App 在後台 / 靜默狀态下收集 IMEI、IMSI 等信息,且沒有明确的用戶同意和合理的業務需求,那麼這種行為很可能被視為違規。
值得一提的是,2023 年 12 月,内蒙古自治區通信管理局披露 App 侵害用戶權益問題的通報。彼時公告提及,尚有 16 款 App 未完成整改。其中,就有恒泰證券 App 恒泰九點半在列,涉及問題為超範圍收集個人信息、App 頻繁自啟動和關聯啟動。
事實上,對于靜默狀态下個人信息獲取範圍的界定監管早有約束。據工信部 2020 年 7 月發布的《關于開展縱深推進 App 侵害用戶權益專項整治行動的通知》(以下簡稱《通知》)顯示,明确重點整治 App、SDK 非服務所必需或無合理應用場景,特别是在靜默狀态下或在後台運行時,超範圍收集個人信息的行為。
關閉權限後仍被讀取
除上述情況外,北京商報記者關注到,多家券商 App 存在後台讀取剪貼板行為。例如,江海證券 App 就在提示頁面中表示,将讀取剪貼板信息,用于分享信息。當 App 處理後台運行時,會獲取 IP 地址、WiFi 名稱(sidi),用于消息推送及與服務端進行網絡服務數據傳輸。
值得一提的是,北京商報記者嘗試在應用設定中關閉獲取剪貼板權限後,包括恒泰九點半、開源證券肥貓、平安證券等在内的券商 App 依然能夠獲取復制信息,并提供寫入功能,但在權限使用記錄中顯示為已拒絕。不難看出,上述券商 App 或存在未征得用戶同意就開始收集個人信息的情況。
在王鵬看來,剪貼板通常包含用戶最近復制或剪切的内容,可能包含敏感信息,如密碼、個人身份信息或其他私密數據。即使部分券商 App 在提示頁面告知,但如果這一行為不是用戶主動觸發的,且沒有明确的業務需求支持,那麼仍可能被視為侵犯用戶隐私的行為。此外,如果 App 在沒有用戶明确同意的情況下讀取剪貼板信息,則直接違反相關法規。
權限使用記錄方面,部分券商 App 亦存在自啟動情況,華安證券 App、恒泰九點半均在北京商報記者并未打開 App 時自發啟動,并受到系統攔截。《通知》曾明确指出,重點整治 App 未向用戶告知且未經用戶同意,或無合理的使用場景,頻繁自啟動或關聯啟動第三方 App 的行為。
在王鵬看來,券商 App 信息違規侵權的紅線應界定在是否尊重用戶知情權、選擇權和個人信息保護權。涉及金融、資產交易的券商 App 在獲取用戶信息時,更應嚴格遵守相關法律法規和行業标準,同時應确保信息的收集、使用和處理都經過用戶明确同意,并僅用于提供和改進服務。此外,還應采取适當安全措施來保護用戶信息免受未經授權的訪問、洩露、破壞或更改。
需注重隐私合規 " 生命線 "
事實上,近年來,券商 App 因客戶個人隐私安全問題被點名情況不在少數。除前述恒泰證券 App 被點名外,2023 年 12 月,江海證券 App 也曾因個人信息保護合規性檢測不充分,存在 App 強制、頻繁、過度索取權限問題被黑龍江證監局出具警示函。此外,工業和信息化部網站《關于侵害用戶權益行為的 App(SDK)通報》顯示,江海證券 App 存在侵害用戶權益行為。
就整改情況以及對當前 App 個人信息保護的優化,北京商報記者發文采訪恒泰證券、江海證券,但截至發稿未收到回復。
2023 年 8 月,因作為網絡運營者、網絡產品或者服務提供者不履行個人信息保護義務,深圳市公安局南山分局對東亞前海證券予以行政處罰。
若再向前追溯,2022 年 4 月 25 日,據新華社消息,國家計算機病毒應急處理中心通過互聯網監測發現 17 款移動 App 存在隐私不合規行為,違反網絡安全法、個人信息保護法等相關規定,涉嫌超範圍采集個人隐私信息。其中,廣發證券、西部證券、海通證券、國聯證券等 13 家券商被點名。具體來看,存在未向用戶明示申請的全部隐私權限;在征得用戶同意前就開始收集個人信息,涉嫌隐私不合規等問題。
天使投資人、資深人工智能專家郭濤建議,各家券商還應建立健全的信息保護制度,明确信息收集、使用、處理的規則;其次,提高技術員工的信息安全意識,定期進行培訓;采用先進的技術手段,如加密、脫敏等,保護用戶信息的安全;此外,也應建立有效的投訴處理機制,及時處理用戶的投訴。
在盧鼎亮看來,隐私合規與數據合規是任何一款 App 的生命線,只有保護好用戶的個人信息,產品及平台才能行穩致遠。
北京商報記者 劉宇陽 郝彥
