南方都市报实测20家银行App隐私保护：浦发强制用户授权农行涉嫌超范围获取权限

近日，池子诉笑果文化、中信银行侵犯隐私一事引爆舆论，未经本人授权交出银行账户交易明细的行为令中信银行的隐私保护制度饱受质疑。
据不完全统计，因“未经同意查询个人信息”受到央行处罚的案例并不少见。更可怕的是，只要提供姓名和身份证号，仅需千余元便可通过黑产买到对应的银行卡信息和交易明细。
我们的财产信息放在银行手里真的安全吗？银行业的隐私保护水平究竟如何？
隐私护卫队从大多数人手机里不可或缺的银行App入手，对20款常用银行App进行了测评。结果显示，浦发银行、北京银行等四款App会强制用户授权，浙商银行和重庆农商行还会默认获取权限。
浦发银行、北京银行强制用户授权
隐私护卫队从中国银行业协会3月发布的“2019年中国银行业100强榜单”中选取了前20家银行进行测评，其中既有中国工商银行、中国建设银行等国有银行，也有中信银行、光大银行等商业银行。
测评中，所有App均会在首次打开时弹窗申请权限，最常见的是存储权限、获取手机信息权限和获取地理位置权限。在安卓6.0及以上的系统中，上述三种权限均属于危险权限。
根据国家标准《信息安全技术移动互联网应用（App）收集个人信息基本规范》要求，金融借贷类App可以获取的最小权限范围为存储权限。
也就是说，除了存储权限之外的权限不属于必要权限，即使用户拒绝也不应影响App的核心功能使用。
【南方都市报实测20家银行App隐私保护：浦发强制用户授权农行涉嫌超范围获取权限】不过，隐私护卫队发现，浦发银行、北京银行、上海银行、江苏银行会强制用户授权获取手机信息权限，否则App无法正常使用；而浙商银行和重庆农商行会默认获取手机信息权限，直接绕过用户授权的步骤。

本文插图
此外，中国农业银行、华夏银行等银行App还涉嫌超范围获取权限。
比如中国农业银行向系统申请获取25项权限，包括短信、电话、通讯录、地理位置、日历、相机、录音等敏感权限。但在其隐私政策中，除了地理位置，获取其他权限的场景、目的均未说明。
去年10月，央行向部分银行下发《个人金融信息（数据）保护试行办法（初稿）》，规定金融机构“不应欺诈、诱骗，或以默认授权、功能捆绑等方式误导强迫个人金融信息主体提供个人金融信息” ，也不应隐瞒金融产品或服务所具有的收集个人金融信息的功能。
披露第三方合作伙伴方面普遍较差
除了权限获取之外，隐私护卫队还对20款App的隐私政策透明度进行了测评——透明度越高，代表App隐私政策中关于如何收集、使用、存储和保护个人信息的描述越清晰和全面。
结果显示，只有民生银行一款App达到透明度高的层级，交通银行、招商银行等十款App透明度较高，剩下九款App透明度中等。从具体分数看，所有20款银行App都达到了及格的标准。
不过， 20款App普遍在披露可能与之共享用户信息的第三方合作伙伴方面做得较差，只有中国银行和民生银行达到要求。比如民生银行在隐私政策文末附上表格，详细列出了第三方的公司名称，以及收集的目的、个人信息类型和方式。

本文插图
另一方面，银行App与此前隐私护卫队测评过的其他类型相比，隐私政策文本在呈现上比较“死板” ，几乎没有任何一款提供了目录、表格、视频等易于用户阅读的排版方式。
隐私护卫队在2018年3月曾经对200款移动金融类App做过隐私政策透明度测评，并发布了《移动金融用户个人信息安全测评报告》。当时，中国银行和中国建设银行App还没有隐私政策，中国农业银行和中国工商银行的隐私政策透明度也很低。

南方都市报实测20家银行App隐私保护：浦发强制用户授权 农行涉嫌超范围获取权限

南方都市报实测20家银行App隐私保护：浦发强制用户授权农行涉嫌超范围获取权限