近年来,由于个人信息的泄露,连续引发“校园贷”、“套路贷”、“*猪盘”等社会事件,对金融环境造成恶劣影响。其中,APP是个人信息泄露的重灾区,一些公司利用APP违法违规收集个人信息。例如,“暴风金融”、“51人品贷”和“融360”3款金融APP曾因涉嫌违法违规收集使用个人信息,被工信部点名。
为遏制这些违法乱纪行为,营造安全健康的金融环境,中国人民银行在2019年发布了《中国人民银行关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》,针对APP个人信息安全、帐户安全、密码安全、数据安全、隐私政策等方面进行规范,并要求金融机构按照该标准对各自的金融APP进行整改。
为鼓励金融机构、金融科技公司、互联网金融公司积极主动参与APP整改,规范个人信息收集、使用等行为,零壹智库整理了3大类、37个评测标准,通过下载、注册、使用等环节,对各公司的金融APP进行评测。
出品 | 零壹智库
作者 | 任万盛
此次零壹智库对“拉卡拉网络技术有限公司”的金融APP“拉卡拉”进行了评测。根据评测结果,在37个评测标准中,拉卡拉APP有29项符合标准,有6项不符合,2项部分符合。
一、零壹金融APP判断流程及标准
1、评测流程:该评测主要分为3个阶段
使用前:首先判断隐私政策是否满足要求。是否公开收集使用个人信息规则;是否明示收集使用个人信息的目的、方式和范围;是否未经用户同意收集使用个人信息;是否提供删除或更正个人信息功能;是否公布投诉、举报方式等信息。
注册时:判断密码是否存在安全漏洞。例如,登陆密码和交易密码是否独立;密码是否明文显示;是否具有密码即时防护功能;是否具有密码复杂度校验功能等。
使用时:判断个人信息是否存在泄露风险。例如,个人信息是否明文展示;是否具有即时防护功能等。
2、评测标准。
评测报告主要依据央行发布的《移动金融客户端营业软件安全管理规范》、工信部发布的《关于开展App违法违规收集使用个人信息专项治理的公告》、《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》以及《App违法违规收集使用个人信息行为认定方法》。