楠木軒

88款App個人信息安全方面違規被通報,中郵消金、順豐金融、嘉聯支付等在列

由 豆更生 發佈於 財經

11月23日,廣東省通信管理局發佈App監管情況通報,涉及經核驗出現問題的App共88款,包括嘉聯支付、中郵消金、順豐金融、恆大財富、全民錢包等多家金融科技企業。

通報顯示,被查處的App主要存在兩方面問題,一是App及其後台服務器存在“明文存儲密碼”“反編譯”“SQL注入”等數據安全隱患問題;二是違反用户個人信息保護規定,包括“未公開明示收集規則”“默認勾選同意隱私協議”“未列明所集成SDK及其採集信息”“為註銷賬號、刪除個人信息設置障礙”“未經用户同意共享給第三方”等侵犯用户對其個人信息處理享有的知情權、決定權,以及違反最小必要原則超前、超需、超頻索取權限或採集信息,甚至不給必需權限不讓用等強迫行為。

嘉聯支付有限公司(下稱“嘉聯支付”)運營的兩款App“立刷”、“立刷商户版”均被監管點名。兩家公司均存在未明確告知收集使用麥克風權限的目的、方式、範圍;應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一説明以及是否向第三方共享信息等2個侵害用户權益的問題,並存在Java代碼反編譯風險的安全隱患。此外,立刷App還存在應用備份風險。

值得關注的是,就在一週前,立刷App剛被網信辦通報存在四大違規行為。包括在申請打開電話、位置、存儲等可收集個人信息的權限,以及收集用户身份證號、銀行卡號等個人敏感信息時,未同步告知用户其目的;因用户不同意打開非必要的相機權限,拒絕提供更換頭像的功能;未明示收集的用户支付寶賬號、微信賬號、QQ賬號等個人信息的目的、方式和範圍;因用户不同意打開非必要的位置權限,拒絕提供所有業務功能等。

嘉聯支付成立於2009年5月,於2012年6月27日獲得全國範圍內銀行卡收單業務的支付牌照,並於2017年6月27日成功獲批續展至2022年。嘉聯支付主要通過向商户布放POS機具,提供銀行卡收單及增值服務,以獲取機具銷售或租賃及手續費收入。目前新國都董事石曉冬在嘉聯支付擔任法定代表人、董事兼總經理。

今年9月,嘉聯支付存在違法行為被央行深圳市中心支行罰款941萬元。涉及違規行為包括“因未按規定建立有關制度辦法或風險管理措施;與身份不明的客户進行交易;未按照規定履行客户身份識別義務;未按規定報送大額交易報告或者可疑交易報告”。

自2017年被收購後,嘉聯支付成為上市公司新國都(SZ:300130)全資控股的子公司。新國都2020年半年報數據顯示,上半年嘉聯支付累計處理交易流水約5778.6億,同比增長27.5%,實現營業收入7.94億元,淨利潤6095.9萬元。儘管2019年上半年的財務數據並未披露,但從全年來看,2019年全年實現淨利潤2.44億元,是今年上半年淨利潤的三倍。

中郵消費金融有限公司(下稱“中郵消金”)運營的“中郵錢包”則被指出“App存在未明確告知收集使用麥克風權限的目的、方式、範圍”。

中郵消金成立於2015年11月,註冊資本為30億元,郵儲銀行(SH:601658)持股70.5%為第一大股東。除郵儲銀行外,中郵消費金融股東還包括星展銀行有限公司、廣東三正集團有限公司、渤海國際信託股份有限公司、廣州市廣百股份有限公司、拉卡拉網絡技術有限公司以及廣東海印集團股份有限公司。

郵儲銀行2020年半年度報告顯示,截至2020年6月末,中郵消金總資產286.72億元,較年初下降6.47%,淨資產34.83億元,上半年實現淨利潤0.49億元,同比下降64.75%。

此外,還有多家行業巨頭旗下的金融App產品被點名。

深圳市順恆融豐投資有限公司運營的順豐金融App存在:App未明確告知收集使用短信和日曆權限的目的、方式、範圍;應用內集成多個可收集個人信息的第三方SDK,且未在隱私政策逐一説明以及是否向第三方共享信息;未經用户閲讀隱私政策,應用就申請獲取位置信息、相機、存儲、麥克風和電話狀態信息權限等3項侵害用户權益問題,還存在Java代碼反編譯風險的安全隱患。

今年4月,順豐金融App的運營主體由“深圳市順恆融豐投資有限公司”更名為“深圳市順恆融豐供應鏈科技有限公司”。目前順豐金融網頁版官網介紹其是依託順豐集團資源為基礎,將大數據、移動互聯網、區塊鏈、雲計算、神經網絡等技術與工具引入產品及服務流程,主要為客户提供數字化技術解決方案、信息安全技術解決方案。

目前順豐集團旗下金融牌照包括保險經紀、商業保理、融資租賃、互聯網小貸、第三方支付等。

由恆大互聯網金融服務(深圳)有限公司運營的恆大財富App也被指出存在應用內集成多個可收集個人信息的第三方SDK,但未在隱私政策逐一説明是否向第三方共享信息的問題。

“恆大財富”原名“恆大金服”,在去年5月品牌升級為“恆大財富”。目前其APP與盈米基金合作,提供基金銷售服務。恆大集團在2015年11月成立恆大金融控股集團(深圳)有限公司,並作價39.39億元收購中新大東方人壽50%股權成為第一大股東,並將其更名為恆大人壽保險有限公司,由此進軍金融業務。此後,恆大通過入股、增持成為盛京銀行第一大股東,又通過盛京銀行控股盛銀消費金融,曲線獲得消費金融牌照。

截至目前,恆大在金融領域的佈局包括保險、銀行、消費金融、第三方支付、融資租賃、小額貸款、商業保理、基金銷售、私募基金、保險經紀等。

在諸多被通報的企業中,還有一家消費分期平台“全民錢包”被點名。

據悉,全民錢包的運營主體為廣州市全民錢包科技有限公司。存在應用內集成多個可收集個人信息的第三方SDK,但未在隱私政策逐一説明是否向第三方共享信息的問題。

全民錢包官網顯示,其成立於2017年7月,是集信用風險評估與管理、信用數據整合服務、小額貸款諮詢服務為一體的綜合性金融科技服務公司。據其App顯示,全民錢包提供消費分期和貸款申請服務。

據“全民錢包”App《個人信息查詢及使用授權書》顯示,用户在申請貸款時需授權重慶兩江新區寶升小額貸款股份有限公司(下稱“寶升小貸”)及其直接或間接控股公司按規定使用信用信息。

儘管全民錢包與寶升小貸並無直接股權關聯,但寶升小貸目前仍是失信被執行人。天眼查信息顯示,因有履行能力而拒不履行生效法律文書確定義務,寶升小貸在2019年10月被列為失信被執行人,關聯執行標的約50萬元。從2017年10月到2019年4月間,因多起借款合同糾紛,寶升小貸及其股東李浩、董事長兼法定代表人鄭偉京陸續收到多份限制消費令。

此前藍鯨財經曾報道過微信朋友圈廣告導流小貸公司的情況,寶升小貸就曾出現在記者的朋友圈廣告中。從寶升小貸官網介紹來看,其主要提供裝修貸款服務,與重慶當地多家裝修企業、房企展開合作。