1.移动金融APP强制、频繁、过度索取权限
案例一:
问题描述:
某移动金融App在用户同意“位置”权限申请告知后拒绝权限申请,重新运行时,仍向用户弹窗申请该权限,且该权限与当前服务场景无关。
该移动金融App代码逻辑设计存在缺陷,测试不充分。仅在用户不同意索取“位置”权限时设计了禁止弹窗功能,未考虑到同意“位置”权限申请告知但拒绝权限申请此种情况下也应禁止再次弹窗。
APP强制、频繁、过度索取权限。
2.“收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关”“收集个人信息的频度等超出业务功能实际需要”可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”。
《App违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号)同样规定:“收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关”“因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能”“要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用”可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”。
上传头像功能中,应先让用户选择获取头像的具体方式:“拍照”或“从相册选择”。选择“拍照”后,申请获取相机访问权限和文件读取/存储访问权限;选择“从相册选择”后,仅需申请获取文件读取/存储访问权限。
https://www.nifa.org.cn/nifa/2986584/2986585/3060644/index.html
2.移动金融App频繁自启动和关联启动
案例三:
该移动金融App集成了推送SDK,但对SDK的自启动机制了解不深入,未进行合理配置导致推送SDK接收系统广播后进行自启动操作。
《工业和信息化部关于开展信息通信服务感知提升行动的通知》(工信部信管函〔2021〕292号)中明确重点任务包括提升App关键责任链个人信息保护能力,要求内嵌SDK在非服务所必须或无合理应用场景下,不得自启动或关联启动。
金融机构应充分了解当前App隐私保护检查要求,对于自启动,需要在向用户告知且获取同意后,在合理的场景下开展。规范的自启动行为可参考团体标准《安卓系统移动智能终端应用后台启动行为规范》(T/TAF 146—2023)。对于App引入的第三方SDK,应充分评估其是否存在自启动功能,并严格参照第三方SDK服务商提供的合规指南进行集成。
https://www.nifa.org.cn/nifa/2986584/2986585/3061736/index.html
3.移动金融App登录密码复杂度要求过低、新口令设置允许与旧口令相同
案例四:
个别移动金融App登录密码复杂度要求过低,或新口令(主要为手势密码、PIN码)设置允许与旧口令相同。
《移动金融客户端应用软件安全管理规范》(JR/T 0092-2019)中5.1.4条款要求“客户端应用软件应配合服务端提供密码复杂度校验功能,保证用户设置的密码达到一定的强度,避免采用简单交易密码或与客户个人信息相似度过高的交易密码”“修改密码时新密码不应与原密码相同”。
移动金融App应加强密码复杂度校验,保证用户设置的密码达到一定的强度,且修改密码时新密码不可与原密码相同。具体可参考《移动金融客户端应用软件安全检测规范》(T/NIFA 9-2021)中相关要求:“登录密码应满足以下两种复杂度要求之一:1.长度至少8位且要求至少包含数字、大写字母、小写字母以及特殊字符中的两种或两种以上组合;2.后台系统应具有相应的风控措施对登录操作进行风险控制的,登录密码至少6位,具有一定的复杂度要求,不可设置简单密码”。
https://www.nifa.org.cn/nifa/2986584/2986585/3063744/index.html
4.移动金融APP、SDK未告知用户收集个人信息的目的、方式、范围
案例五:
问题描述:
该款移动金融App对引用的某第三方SDK进行了升级,该SDK收集使用个人信息内容发生了变化,但App隐私政策中未同步更新相关内容。
《App违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号)同样规定:未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等”可被认定为“未公开收集使用规则。
金融机构应全面梳理移动金融App各业务功能及第三方SDK(包括嵌套的第三方SDK)收集个人信息目的、方式、范围等,明确告知用户并取得用户明示同意。当版本升级或引入新的第三方SDK时,应及时更新隐私政策等收集使用规则。
https://www.nifa.org.cn/nifa/2986584/2986585/3063905/index.html
5.移动金融App的隐私政策文件未声明获取个人信息副本的方法
认定依据:《信息安全技术—个人信息安全规范》(GB/T 35273-2020)中要求“应制定个人信息保护政策,内容应包括但不限于:5)个人信息主体的权利和实现机制,如查询方法、更正方法、删除方法、注销账户的方法、撤回授权同意的方法、获取个人信息副本的方法、对信息系统自动决策结果进行投诉的方法等”。
移动金融App隐私政策文件中应补充向用户声明获取个人信息副本的方法。
-END-
工信部通报21款侵害用户权益的APP(SDK)
国家计算机病毒应急处理中心:两款金融类APP被通报!涉隐私不合规
