首页 > 股市要闻 > 财经

超七成金融App存高危漏洞

来源:金投网2021-03-26 00:36:17

11月4日,工信部宣布启动App侵害用户权益专项整治工作,专项整治时间为即日起至2019年12月20日。有业内人士称,多种迹象显示,互金类App已成为当前个人信息泄露的重灾区,但在监管加大打压力度下,互金类App野蛮发展时代或将落幕。

超七成金融App存高危漏洞

据中国信息通信研究院近日发布的《2019年金融行业移动App安全观测报告》,截至2019年9月11日,中国信通院从232个安卓应用市场中收录了超13万款金融行业App,观测发现,70.22%的金融行业App存在高危漏洞,攻击者可利用这些漏洞窃取用户数据、进行App仿冒、植入恶意程序、攻击服务等,对App安全具有严重威胁,其中部分高危漏洞甚至存在导致App数据泄露的风险。从App分类角度来看,互联网第三方支付和信托类App的高危漏洞问题较为突出,保险、投资理财等分类的App高危漏洞问题也相对严重。

“各种迹象显示,互金类App已经成为个人信息泄露的重灾区。”中国民生银行(6.260, 0.00, 0.00%)研究院研究员、看懂研究院专家郭晓蓓在接受记者采访时直言,近年来,尽管我国针对金融类App出台了多项规定,但随着获客、运营、风险等成本的水涨船高,仍有多数金融借贷App在收集个人信息时并未遵循最少够用原则,存在违规收集使用借款人个人信息,强制或直接默认读取通信录等情况。

郭晓蓓进一步指出,“部分平台、借款人、催收公司、媒体、流量方的‘暗箱操作’,滋生了互金行业壳公司及内外勾结骗贷问题、恶意逃废债、暴力催收、敲诈勒索及黑市交易等乱象,这些乱象行为并非法外之地”。

对此,中国银行(3.720, 0.00, 0.00%)法学研究会理事肖飒同样指出,互金类App违法违规情况突出,一方面是自身利益驱使,最为常见的是通过收集个人信息,进行大数据处理,进而在手机上推送相关消息影响用户,虽然转化过程较为缓慢,不过获利可观;另一方面则是相关法规规范配套不完善,虽然目前个人信息保护不是法律空白领域,但法规数量明显不够,尤其是没有形成层级保护,刑法的保护固然强大,但并不是侵犯到个人信息的行为都适用刑法,相关的行政法规配套不完善,对于企业的惩罚力度不够也是原因之一。

违规收集个人信息成重灾区

值得关注的是,当前,对于涉金融类互金App违法违规问题,工信部、公安厅、App专项治理工作组等多方已屡次亮剑。

据记者不完全统计,仅在今年下半年,就已有超40余家互金企业因App违法违规被点名整改。具体情况为:7月8日,工信部点名18家互联网企业存在未公示用户个人信息收集使用规则、未告知查询更正信息的渠道、未提供账号注销服务等问题,其中互金App包括暴风金融、51人品贷、融360、麦芽贷、九秒贷、布丁小贷、水象分期等。

针对违规企业App整治惩罚,监管仍在加码。11月4日,工信部宣布启动App侵害用户权益专项整治工作,从现在开始针对当前用户反映强烈的一些侵害用户权益问题开展为期两个月的整治工作。

工信部称,将重点针对违规收集个人信息、违规使用个人信息、不合理索取用户权限、为用户注销账号设置障碍四个方面开展规范工作,对私自收集个人信息、超范围收集个人信息、私自共享给第三方用户信息、强制用户使用定向推送功能、不给权限不让用、频繁申请权限、过度索取权限、为用户账号注销设置障碍八类问题进行整治。

整改进行时

从工信部专项整治时间要求来看,留给机构整改的时间已然不多。对于整改进展,记者相继采访了前述被点名的多数互金App,部分平台回复称目前已按相关规定上线了新版本,还有平台则称将按监管要求按时整改。

整改期间,互金类机构应注意哪些问题?国家互联网金融安全技术专家委员会(以下简称“专委会”)在接受记者采访时指出,金融类App在采集个人数据方面,应当注意数据获取的最小化、必要性原则,专委会目前正在考虑利用区块链技术研发个人数据安全共享平台,通过用户自主控制个人数据的授权使用,企业在用户授权下、部门监管下阳光使用个人数据,减少互金类App重复采集、过度采集、多头存储个人数据的成本和风险,保护用户作为个人数据主体的合法权益,促进个人数据的合规流动。