移动金融APP违规及合规建议 | 6个典型案例

文摘   2024-11-11 00:02   上海  
探寻合规之道,共筑数据保障之堡。专注为数据安全管理者、技术专家、隐私法务、律师等专业人士打造的知识共享与交流平台。
点击  "合规社"  > 点击右上角“···” > 设为星标⭐
内容来源 | 中国互联网金融协会通知公告
内容整理 | 合规社 合规酱

1.移动金融APP强制、频繁、过度索取权限


案例一:

问题描述:

某移动金融App在用户同意“位置”权限申请告知后拒绝权限申请,重新运行时,仍向用户弹窗申请该权限,且该权限与当前服务场景无关。

该移动金融App代码逻辑设计存在缺陷,测试不充分。仅在用户不同意索取“位置”权限时设计了禁止弹窗功能,未考虑到同意“位置”权限申请告知但拒绝权限申请此种情况下也应禁止再次弹窗。

违规认定:

APP强制、频繁、过度索取权限。

认定依据:
《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164号)中明确整治任务包括APP强制、频繁、过度索取权限。重点整治APP安装、运行和使用相关功能时,非服务所必需或无合理应用场景下,用户拒绝相关授权申请后,应用自动退出或关闭的行为。重点整治短时长、高频次,在用户明确拒绝权限申请后,频繁弹窗、反复申请与当前服务场景无关权限的行为。重点整治未及时明确告知用户索取权限的目的和用途,提前申请超出其业务功能等权限的行为。
《App违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号)同样规定:
1.“用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用”可被认定为“未经用户同意收集使用个人信息”;

2.“收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关”“收集个人信息的频度等超出业务功能实际需要”可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”。

来源:
中国互联网金融协会发布移动金融客户端应用软件违规案例:2024年第1期
https://www.nifa.org.cn/nifa/2986584/2986585/3060660/index.html
案例二:
问题描述:
某移动金融App用户使用上传头像功能时,必须先同意相机访问权限和文件读取/存储访问权限,再选择“拍照”或者“从相册选择”。
该移动金融App业务流程设计存在瑕疵。上传头像功能中,相机访问权限和文件读取/存储访问权限未设置单独获取功能,造成客户在选择“从相册选择”前,必须同意两项权限内容,其中相机访问权限非当前场景必要权限。
违规认定:
APP强制、频繁、过度索取权限。
认定依据:
《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164号)中明确整治任务包括APP强制、频繁、过度索取权限。重点整治未及时明确告知用户索取权限的目的和用途,提前申请超出其业务功能等权限的行为。

《App违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号)同样规定:“收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关”“因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能”“要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用”可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”。

合规建议:

上传头像功能中,应先让用户选择获取头像的具体方式:“拍照”或“从相册选择”。选择“拍照”后,申请获取相机访问权限和文件读取/存储访问权限;选择“从相册选择”后,仅需申请获取文件读取/存储访问权限。

来源:
中国互联网金融协会发布移动金融客户端应用软件违规案例:2024年第2期

https://www.nifa.org.cn/nifa/2986584/2986585/3060644/index.html

2.移动金融App频繁自启动和关联启动


案例三:

问题描述:
某移动金融App在结束进程后,存在接收系统广播频繁自启动行为,同时隐私政策中未向用户明示应用需要自启动或关联启动的场景、目的、规则及必要性,且无合理的使用场景。

该移动金融App集成了推送SDK,但对SDK的自启动机制了解不深入,未进行合理配置导致推送SDK接收系统广播后进行自启动操作。

违规认定:
App频繁自启动和关联启动
认定依据:
《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164号)中明确整治任务包括App频繁自启动和关联启动。重点整治App未向用户告知且未经用户同意,或无合理的使用场景,频繁自启动或关联启动第三方App的行为。

《工业和信息化部关于开展信息通信服务感知提升行动的通知》(工信部信管函〔2021〕292号)中明确重点任务包括提升App关键责任链个人信息保护能力,要求内嵌SDK在非服务所必须或无合理应用场景下,不得自启动或关联启动。

合规建议:

金融机构应充分了解当前App隐私保护检查要求,对于自启动,需要在向用户告知且获取同意后,在合理的场景下开展。规范的自启动行为可参考团体标准《安卓系统移动智能终端应用后台启动行为规范》(T/TAF 146—2023)。对于App引入的第三方SDK,应充分评估其是否存在自启动功能,并严格参照第三方SDK服务商提供的合规指南进行集成。

来源:
中国互联网金融协会发布移动金融客户端应用软件违规案例:2024年第3期

https://www.nifa.org.cn/nifa/2986584/2986585/3061736/index.html

3.移动金融App登录密码复杂度要求过低、新口令设置允许与旧口令相同


案例四:

问题描述:

个别移动金融App登录密码复杂度要求过低,或新口令(主要为手势密码、PIN码)设置允许与旧口令相同。

认定依据:

《移动金融客户端应用软件安全管理规范》(JR/T 0092-2019)中5.1.4条款要求“客户端应用软件应配合服务端提供密码复杂度校验功能,保证用户设置的密码达到一定的强度,避免采用简单交易密码或与客户个人信息相似度过高的交易密码”“修改密码时新密码不应与原密码相同”。

合规建议:

移动金融App应加强密码复杂度校验,保证用户设置的密码达到一定的强度,且修改密码时新密码不可与原密码相同。具体可参考《移动金融客户端应用软件安全检测规范》(T/NIFA 9-2021)中相关要求:“登录密码应满足以下两种复杂度要求之一:1.长度至少8位且要求至少包含数字、大写字母、小写字母以及特殊字符中的两种或两种以上组合;2.后台系统应具有相应的风控措施对登录操作进行风险控制的,登录密码至少6位,具有一定的复杂度要求,不可设置简单密码”。

来源:
中国互联网金融协会发布移动金融客户端应用软件违规案例:2024年第4期

https://www.nifa.org.cn/nifa/2986584/2986585/3063744/index.html

4.移动金融APP、SDK未告知用户收集个人信息的目的、方式、范围


案例五:

问题描述:

该款移动金融App对引用的某第三方SDK进行了升级,该SDK收集使用个人信息内容发生了变化,但App隐私政策中未同步更新相关内容。

认定依据:
《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164号)中明确整治任务包括“违规收集个人信息”。重点整治APP、SDK未告知用户收集个人信息的目的、方式、范围且未经用户同意,私自收集用户个人信息的行为。

《App违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号)同样规定:未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等”可被认定为“未公开收集使用规则。

合规建议:

金融机构应全面梳理移动金融App各业务功能及第三方SDK(包括嵌套的第三方SDK)收集个人信息目的、方式、范围等,明确告知用户并取得用户明示同意。当版本升级或引入新的第三方SDK时,应及时更新隐私政策等收集使用规则。

来源:
中国互联网金融协会发布移动金融客户端应用软件违规案例:2024年第5期

https://www.nifa.org.cn/nifa/2986584/2986585/3063905/index.html

5.移动金融App的隐私政策文件未声明获取个人信息副本的方法


案例六:
问题描述:
个别移动金融App的隐私政策文件未声明获取个人信息副本的方法。

认定依据:《信息安全技术—个人信息安全规范》(GB/T 35273-2020)中要求“应制定个人信息保护政策,内容应包括但不限于:5)个人信息主体的权利和实现机制,如查询方法、更正方法、删除方法、注销账户的方法、撤回授权同意的方法、获取个人信息副本的方法、对信息系统自动决策结果进行投诉的方法等”。

合规建议:

移动金融App隐私政策文件中应补充向用户声明获取个人信息副本的方法。

来源:
中国互联网金融协会发布移动金融客户端应用软件违规案例:2024年第6期
https://www.nifa.org.cn/nifa/2986584/2986585/3066936/index.html

-END-

📖 推荐阅读:APP合规治理合集

超432款APP(SDK)被通报 | 三季度回顾

APP隐私合规及安全 | 法规要求及标准清单

侵害用户权益,这些金融APP曾上榜 (附清单下载)

工信部通报17款APP(SDK)侵害用户权益

工信部通报22款App (SDK)侵害用户权益

工信部通报50款APP及SDK存在侵害用户权益行为

工信部通报31款App(SDK)被通报 ,包括高德地图等

工信部通报21款侵害用户权益的APP(SDK)

国家计算机病毒应急处理中心:15款APP存在隐私不合规行为

国家计算机病毒应急处理中心:两款金融类APP被通报!涉隐私不合规

多地通管局发布:4月1日起,未备案APP、小程序将下架关停

广东省通信管理局通报:4款APP,下架!

山西省通信管理局:下架15款APP

浙江省通信管理局通报11款侵害用户权益行为的APP

广东通报16款未按要求完成整改APP,涉快乐海港、白猫贷等

海南开展专项治理,32款APP违规收集使用个人信息被通报

湖南省通信管理局:违反必要原则等,这13款APP被下架

「 一键加入数据安全及个人信息保护领域的知识宝库」
570+已加入
⬇️⬇️⬇️
「 数据合规知识星球 」是一个专注于数据安全和个人信息保护的资源和知识集散地。星球提供图解PPT、行业解决方案、数据安全合规管理制度模板、评估工具及评估报告模板、监管政策及标准汇编整理等,帮助组织或个人理解并遵守数据安全合规的法律法规,促进操作和业务流程的安全合规。

合规社
数据安全与隐私保护新知分享平台
 最新文章