涉嫌侵害用户权益!4家头部公募APP遭工信部点名
来源:财联社
2020-07-24 21:52
据财联社消息,7月24日,工信部通报了侵害用户权益行为的APP(2020年第三批)。在58款未完成整改的APP中,博时基金、天弘基金、华夏基金、汇添富基金以及第三方基金销售平台展恒基金、好买基金等机构旗下的APP赫然在列。
对此,上述涉及侵害用户权益行为的公募人士均告诉财联社记者:公司并未在7月22日被集中约谈的企业范畴内,因此公司是在工信部发布了名单后才知道这个信息。他们表示,公司正在积极跟公司IT部门沟通排查,以及跟相关部门沟通。
基金公司回应:正积极和工信部沟通
今日,工信部通报称,该部门近期组织了第三方检测机构对手机应用软件进行检查,督促存在问题的企业进行整改。财联社记者发现,此次工信部的通报名单里,共有6款APP与基金领域相关,包括华夏基金、博时基金、汇添富和天弘基金在内的4家公募基金研发的APP,以及北京展恒基金、上海好买基金两家基金销售公司研发的APP。
具体来看,华夏基金旗下“华夏基金管家”APP被检测出三大问题,包括“私自收集个人信息”、“超范围手机个人信息”以及“私自共享给第三方”;天弘基金旗下的“天弘基金”APP被发现“超范围手机和人信息”;汇添富基金旗下的“现金宝”存在着“过度索取权限”的问题;博时基金旗下APP“博时基金”则存在“不给权限不让用”的状况。
第三方基金销售平台同样存在侵害用户权益行为。展恒基金旗下APP“展恒基金”被检测出“过度索取权限”和“账号注销难”两大问题;好买基金旗下的“储蓄罐”APP也存在“账号注销难”的情况。
工信部表示已在7月22日已对相关企业进行了集中约谈,并要求上述APP在7月30日前完成整改落实工作,逾期不整改的,工业和信息化部将依法依规组织开展相关处置工作。
对此,上述涉及侵害用户权益行为的公募人士均告诉财联社记者:消息来得很突然,公司是在工信部发布了名单后才知道这个信息。他们表示,公司并未在7月22日被集中约谈的企业范畴内。
“在所有金融机构中,公募合规要求其实是非常严格的。也正是因为如此,我们对于工信部的通知感到有点措手不及。不过公司目前正在和工信部积极沟通,以了解具体问题和整改的方向。”华北一家大型公募人士称。
据记者了解,有基金公司APP除了在安装过程中需要客户确认提供“网络通信”权限(保证网络环境下使用,属安装APP通用权限要求)外,在APP首次启动时往往需要申请两个权限:
一是读写手机外部设备的权限。用于存取用户登录认证信息,防止因一个账户同时在多台设备登录使用造成账户被盗用的问题,以保障投资者交易安全和投资者利益;
二是获取设备信息的权限。应监管机关要求,客户的每一次登录和交易均需要在服务端记录客户的设备号、IP地址、Mac地址,以保障客户交易出现疑问或分歧时可回溯、可追查。
“而这些权限都是公募基金直销APP的通用做法,是为了保护投资者利益、保障交易安全所为。”上述公募人士称。
同时,该公司表示会高度关注工信部网站披露的相关信息,并将主动联系工信部,严格落实相关要求,对上架APP严格审核,保障投资者利益不受侵害。
何以被点名?
对于多家头部公募旗下APP被工信部点名侵害用户权益行为,一位金融机构从事IT的人士认为,“上述所列问题比较笼统,并不能看出具体是出于什么原因。以过度索取权限为例,也要具体看索取了哪方面的权限才能判断。”
北京一家第三方基金评级机构人士表示,虽然公募在信披等合规上比较严格,但他们在APP上的发展时间不长,加之用户信息安全是近年来才逐渐显露出的问题,基金公司在这方面的把握还不是非常精准,可能会无意识犯一些侵犯用户权益的行为。
“同时,近期因为市场火爆,投资者使用基金公司旗下APP频率增加,相关侵犯用户权益行为的概率也随之增加。”上述评级人士坦言,虽然目前仅有少数基金公司被点名,但出现侵犯用户权益问题的机构应该不仅限于上述被提及的公募。
北京一家信息通信研究院金融科技研究中心高管也认为,这是多种因素综合下来的结果。一方面,基金公司出于自身数据分析需要,具备超出必要范围收集大量用户数据的动机,进而可以根据用户偏好优化自身运营,进行产品推送等。“在此背景下,部分开发者为了减少开发或降低开发难度,往往一开始就申请获取多个权限,其中可能包含一些侵犯用户权益的权限。”
另一方面,上述被列为存在问题的APP的版本来源均为应用宝、豌豆荚等安卓下载平台。对此,上述高管称,这是因为安卓系统本身并没有做好用户权限获取和自身功能设计的平衡,用户端提示较为笼统,“此外,部分第三方应用平台也存在着隐蔽收集用户信息、自身安全漏洞易被不法分子利用等安全风险。”
“相较于苹果系统,安卓系统在权限方面管理确实没有那么严格。”前述IT人士直言。
金融类APP迎强监管
事实上,除了上述公募旗下APP被工信部下发整改通知,在58款被工信部点名的APP中,还有多家金融类APP被检测出侵害用户权益行为。
其中,交通银行太平洋信用卡中心的“买单吧”APP存在“强制永不使用定向推送功能”、“不给权限不让用”、“过度索取权限”、“账号注销难”四大问题;微众银行旗下的“小额花钱”APP被点名“私自搜集个人信息”、“账号注销难”。此外,加油包金融科技服务(深圳)有限公司旗下“加油宝”APP、重庆分众小额贷款有限公司旗下的“还呗”APP、小花互联网金融服务(深圳)有限公司旗下的“小花钱包”APP均涉及“私自共享给第三方”的问题。
与公募在侵害用户权益方面遇到的问题相比,不少小额贷、P2P等金融类APP滥用用户数据问题更加严峻。如相关APP出于催收、风控等方面的需求,加入了获取IMEI(国际移动设备识别码)、IP地址、地理位置,以及打电话、读取短信内容等手机敏感权限,“而这些公司往往对用户信息安全不重视,缺少相关的规章制度,审查不严,有的甚至将用户信息非法出售、与其他公司互换进而牟利。”前述金融科技研究中心高管称。
值得注意的是,导入金融App的小程序、第三方平台投放的网申入口等环节的增加,也加大了个人信息数据安全的隐患。“整体来看,金融类App在获客、风控、催收等环节的合理数据需求,在整个行业的过热发展中异化,导致用户信息数据滥用。因此,金融类APP安全问题形势看起来尤为突出。”
为此,该高管建议金融类APP开发者应当在产品设计之初,就融入用户信息保护的概念,从制度、开发、数据分析、合作方等方面努力,力争最大程度实现产品实用性与用户权益保护的平衡。
对于监管和从业机构来说,数据治理带来的压力或将在多方面、长期存在。综合今年以来工信部陆续公布的三批侵害用户权益行为的APP通报不难看出,金融类APP被点名的频率呈逐渐上升的态势,金融类APP正在逐渐成为有关部门的重点监管对象。
记者了解到,在发布存在问题的58个APP前的7月22日,工信部发布了《关于开展纵深推进APP侵害用户权益专项整治行动的通知》,专项整治时间为通知印发之日至2020年12月10日。
在这项通知中整治任务有四点:一是App、SDK违规处理用户个人信息方面,包括未经用户同意,违规收集个人信息;非服务所必需或无合理应用场景,超范围收集个人信息的行为;将用户个人信息用于其提供服务之外的目的,特别是私自向其他应用或服务器发送、共享用户个人信息的行为;强制用户使用定向推送功能。
二是设置障碍、频繁骚扰用户方面。包括App强制、频繁、过度索取权限;App频繁自启动和关联启动。
三是欺骗误导用户。包括欺骗误导用户下载App,特别是具有分发功能的移动应用程序欺骗误导用户下载非用户所自愿下载App的行为。欺骗误导用户提供个人信息,重点整治非服务所必需或无合理场景,通过积分、奖励、优惠等方式欺骗误导用户提供身份证号码以及个人生物特征信息的行为。
四是应用分发平台责任落实不到位方面。包括应用分发平台上的App信息明示不到位,应用分发平台管理责任落实不到位。
(财联社记者 韩理、沈述红)