今天小编分享的理财经验:你的券商App安全么?这些App正在后台读取信息!,欢迎阅读。
证券公司加速数字化转型,聚焦 App 获客的同时,用户个人信息保护的隐忧也正在浮现。近日,北京商报记者关注到,投资者开户后遭遇电话轰炸、违规荐股信息骚扰,种种关于券商 App 获取、泄露客户信息的吐槽不断。就此,北京商报记者下载多家券商 App 体验发现,不少 App 当前存在后台 / 静默状态下收集信息,关闭权限后 " 形同虚设 ",依旧能读取剪贴板内容的情况。有业内人士表示,App 在收集敏感个人信息时必须遵循 " 最小必要 " 原则,涉及金融、资产交易的券商 App 在获取用户信息时,更应严格遵守相关法律法规和行业标准,确保信息的收集、使用和处理都经过用户明确同意。
多款 App 后台获取信息
" 开户后多次收到骚扰电话,是信息泄露、诈骗还是信息被盗用?" 有投资者在小红书发出上述质疑,也有投资者在知乎社交平台吐槽,疑似券商 App 泄露客户个人信息,开户后频繁收到推荐资源的短信。亦有投资者在评论区表达赞同,他表示,自己只用过某券商 App,但此后频繁被人打电话推荐股票。北京商报记者关注到,种种关于券商 App 获取、泄露客户信息的吐槽从未停歇。
对于上述情况,北京商报记者下载华泰证券、中信证券、招商证券、平安证券等多家券商旗下 App 体验发现,多数券商在 App 开屏页面即向用户作出个人信息安全和隐私保护提示,在相关《个人隐私权限政策》中明确列举收集的隐私信息,包括设备信号、作業系統、唯一设备标识符、登录 IP 地址、接入网络的方式、网络质量数据等。
不过,从多数情况来看,《个人隐私保护協定》只行使告知义务,并没有商量的余地,即用户在进入券商 App 时,只能选择 " 同意 " 或 " 退出 App"。当然,也有少数券商 App,例如华泰证券 App 涨乐财富通、中国银河证券 App 则設定用户选择拒绝《个人隐私保护協定》后,仍可以浏览模式进入 App,可查看部分资讯信息。
具体到協定内容中,北京商报记者打开恒泰证券 App 恒泰九点半时发现,其在《互联网平台隐私策略》中指出,为收集 App 线上运行状况和质量、保障 App 稳定运行,应用会在后台 / 静默状态下收集包括 IMEI(国际移动设备身份码)、IMSI(国际移动用户识别码)、唯一设备标识符、Mac 地址、IP 地址、手机型号、应用安装列表或运行中的进程信息。
此外,方正证券 App 小方在后台 / 静默运行将读取 IMEI、IMSI、唯一设备标识符、Mac 地址、IP 地址、手机型号、作業系統版本、应用安装列表或运行中的进程信息、单个应用信息、任务列表、UDID、AAID、GUID 等。
而国泰君安证券 App 君弘则有更为详细的表述,例如,君弘 App 在前台静默状态或后台运行时,会监测设备的网络变化事件,若网络类型发生变化,将获取最新的 IP 地址。此外,君弘 App 在前台静默状态或后台运行时,个推 SDK 将依然保持运行状态,可能会采集设备标识等设备信息、IP 地址等网络信息,用于维持与后台的长连接,保障消息推送。
在北京市京师律师事务所合伙人律师卢鼎亮看来,App 在收集、存储、使用、加工、传输、提供、公开用户的个人信息时,需要获得用户的具体授权,同时,不得超过合理、必要的范围,不得收集非必要个人信息。而 App 在后台及静默状态下收集 IMEI、IMSI 等信息明显超过了必要范围。
北京社科院副研究员王鹏也指出,IMEI 和 IMSI 是设备的唯一标识,可以被用于追踪设备或用户的位置和行为。因此,这些信息被视为敏感个人信息。根据工信部和其他相关法规,App 在收集敏感个人信息时必须遵循 " 最小必要 " 原则,如果恒泰九点半等券商 App 在后台 / 静默状态下收集 IMEI、IMSI 等信息,且没有明确的用户同意和合理的业务需求,那么这种行为很可能被视为违规。
值得一提的是,2023 年 12 月,内蒙古自治区通信管理局披露 App 侵害用户权益问题的通报。彼时公告提及,尚有 16 款 App 未完成整改。其中,就有恒泰证券 App 恒泰九点半在列,涉及问题为超范围收集个人信息、App 频繁自启动和关联启动。
事实上,对于静默状态下个人信息获取范围的界定监管早有约束。据工信部 2020 年 7 月发布的《关于开展纵深推进 App 侵害用户权益专项整治行动的通知》(以下简称《通知》)显示,明确重点整治 App、SDK 非服务所必需或无合理应用场景,特别是在静默状态下或在后台运行时,超范围收集个人信息的行为。
关闭权限后仍被读取
除上述情况外,北京商报记者关注到,多家券商 App 存在后台读取剪贴板行为。例如,江海证券 App 就在提示页面中表示,将读取剪贴板信息,用于分享信息。当 App 处理后台运行时,会获取 IP 地址、WiFi 名称(sidi),用于消息推送及与服务端进行网络服务数据传输。
值得一提的是,北京商报记者尝试在应用設定中关闭获取剪贴板权限后,包括恒泰九点半、开源证券肥猫、平安证券等在内的券商 App 依然能够获取复制信息,并提供写入功能,但在权限使用记录中显示为已拒绝。不难看出,上述券商 App 或存在未征得用户同意就开始收集个人信息的情况。
在王鹏看来,剪贴板通常包含用户最近复制或剪切的内容,可能包含敏感信息,如密码、个人身份信息或其他私密数据。即使部分券商 App 在提示页面告知,但如果这一行为不是用户主动触发的,且没有明确的业务需求支持,那么仍可能被视为侵犯用户隐私的行为。此外,如果 App 在没有用户明确同意的情况下读取剪贴板信息,则直接违反相关法规。
权限使用记录方面,部分券商 App 亦存在自启动情况,华安证券 App、恒泰九点半均在北京商报记者并未打开 App 时自发启动,并受到系统拦截。《通知》曾明确指出,重点整治 App 未向用户告知且未经用户同意,或无合理的使用场景,频繁自启动或关联启动第三方 App 的行为。
在王鹏看来,券商 App 信息违规侵权的红线应界定在是否尊重用户知情权、选择权和个人信息保护权。涉及金融、资产交易的券商 App 在获取用户信息时,更应严格遵守相关法律法规和行业标准,同时应确保信息的收集、使用和处理都经过用户明确同意,并仅用于提供和改进服务。此外,还应采取适当安全措施来保护用户信息免受未经授权的访问、泄露、破坏或更改。
需注重隐私合规 " 生命线 "
事实上,近年来,券商 App 因客户个人隐私安全问题被点名情况不在少数。除前述恒泰证券 App 被点名外,2023 年 12 月,江海证券 App 也曾因个人信息保护合规性检测不充分,存在 App 强制、频繁、过度索取权限问题被黑龙江证监局出具警示函。此外,工业和信息化部网站《关于侵害用户权益行为的 App(SDK)通报》显示,江海证券 App 存在侵害用户权益行为。
就整改情况以及对当前 App 个人信息保护的优化,北京商报记者发文采访恒泰证券、江海证券,但截至发稿未收到回复。
2023 年 8 月,因作为网络运营者、网络产品或者服务提供者不履行个人信息保护义务,深圳市公安局南山分局对东亚前海证券予以行政处罚。
若再向前追溯,2022 年 4 月 25 日,据新华社消息,国家计算机病毒应急处理中心通过互联网监测发现 17 款移动 App 存在隐私不合规行为,违反网络安全法、个人信息保护法等相关规定,涉嫌超范围采集个人隐私信息。其中,广发证券、西部证券、海通证券、国联证券等 13 家券商被点名。具体来看,存在未向用户明示申请的全部隐私权限;在征得用户同意前就开始收集个人信息,涉嫌隐私不合规等问题。
天使投资人、资深人工智能专家郭涛建议,各家券商还应建立健全的信息保护制度,明确信息收集、使用、处理的规则;其次,提高技术员工的信息安全意识,定期进行培训;采用先进的技术手段,如加密、脱敏等,保护用户信息的安全;此外,也应建立有效的投诉处理机制,及时处理用户的投诉。
在卢鼎亮看来,隐私合规与数据合规是任何一款 App 的生命线,只有保护好用户的个人信息,产品及平台才能行稳致远。
北京商报记者 刘宇阳 郝彦
