根据评测结果,在37个评测标准中,拉卡拉APP有29项符合标准,有6项不符合,2项部分符合。在拉卡拉隐私政策中,并未提供撤回隐私政策的途径或方式。用户可自行在拉卡拉APP中一键选择“申请注销”完成帐户注销。24)在密码重置时,应使用短信验证码、用户注册信息校核等方式,对用户身份进行校验;并且采用两种或两种以上要素进行身份认证。
近年来,由于个人信息的泄露,连续引发“校园贷”、“套路贷”、“杀猪盘”等社会事件,对金融环境造成恶劣影响。其中,APP是个人信息泄露的重灾区,一些公司利用APP违法违规收集个人信息。例如,“暴风金融”、“51人品贷”和“融360”3款金融APP曾因涉嫌违法违规收集使用个人信息,被工信部点名。
为遏制这些违法乱纪行为,营造安全健康的金融环境,中国人民银行在2019年发布了《中国人民银行关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》,针对APP个人信息安全、帐户安全、密码安全、数据安全、隐私政策等方面进行规范,并要求金融机构按照该标准对各自的金融APP进行整改。
为鼓励金融机构、金融科技公司、互联网金融公司积极主动参与APP整改,规范个人信息收集、使用等行为,零壹智库整理了3大类、37个评测标准,通过下载、注册、使用等环节,对各公司的金融APP进行评测。
出品 | 零壹智库
作者 | 任万盛
此次零壹智库对“拉卡拉网络技术有限公司”的金融APP“拉卡拉”进行了评测。根据评测结果,在37个评测标准中,拉卡拉APP有29项符合标准,有6项不符合,2项部分符合。
一、零壹金融APP判断流程及标准
1、评测流程:该评测主要分为3个阶段
使用前:首先判断隐私政策是否满足要求。是否公开收集使用个人信息规则;是否明示收集使用个人信息的目的、方式和范围;是否未经用户同意收集使用个人信息;是否提供删除或更正个人信息功能;是否公布投诉、举报方式等信息。
注册时:判断密码是否存在安全漏洞。例如,登陆密码和交易密码是否独立;密码是否明文显示;是否具有密码即时防护功能;是否具有密码复杂度校验功能等。
使用时:判断个人信息是否存在泄露风险。例如,个人信息是否明文展示;是否具有即时防护功能等。
2、评测标准。
评测报告主要依据央行发布的《移动金融客户端营业软件安全管理规范》、工信部发布的《关于开展App违法违规收集使用个人信息专项治理的公告》、《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》以及《App违法违规收集使用个人信息行为认定方法》。
二、金融APP评测:拉卡拉
1. 使用前:隐私政策是否满足要求
1)APP是包含隐私政策?是否弹窗等明显方式提示用户阅读?是否默认选择同意隐私政策?是否便于访问?
评测结果:满足。当用户打开APP进行注册时,首先需要勾选《隐私政策》才能进行下一环节;用户对隐私政策进行勾选时,会自动弹窗出现《隐私政策》内容,完全符合便于访问的要求。
2)隐私政策易于阅读?
评测结果:满足,隐私政策对于个人信息的收集范围进行了字体加粗处理,且语言通俗易懂。
3)隐私政策中包含了收集使用个人信息规则?
评测结果:满足。在拉卡拉APP中,包含了个人信息使用规则,除此之外还列出了收集方法、相关技术、以及共享、转让、存储、修订等规则。
4)用户明示收集、使用个人信息的目的、方式、范围?
评测结果:满足。拉卡拉app中,详细列出了收集个人信息的主要3个途径,以及使用个人信息的目的及范围。
5)在利用用户个人信息和算法定向推送信息,为用户提供了非定向推送信息的选项。
评测结果:不满足。在拉卡拉的隐私政策中,个性化推送服务被包含在隐私政策当中,用户只能选择是否同意隐私政策,而无权利对个性化服务进行选择。
6)没有收集与业务功能无关的个人信息。
评测结果:不满足。针对拉卡拉是否收集与业务功能无关的个人信息,我们将中国银行APP贷款申请服务与拉卡拉信贷服务进行了对比。拉卡拉的信息收集范围存在2点疑问:同样是信贷业务,拉卡拉要比中国银行多收集了6类信息,例如位置信息、设备信息;另外,拉卡拉隐私政策并未对“其他必要信息”作出解释。
7)支持并提供用户撤回同意收集个人信息的途径、方式?
评测结果:不满足。在拉卡拉隐私政策中,并未提供撤回隐私政策的途径或方式。
8)支持用户注销账号。
评测结果:满足。用户可自行在拉卡拉APP中一键选择“申请注销”完成帐户注销。
9)支持用户查询、更正或删除个人信息?未设置不必要或不合理条件阻止用户更正、删除个人信息或注销用户账号?
评测结果:支持用户查询、更正或删除个人信息,但是部分个人信息不提供访问或更正服务。
10)建立并公布个人信息安全投诉、举报渠道?
评测结果:满足。针对个人信息安全投诉,拉卡拉提供了电话或邮箱两种方式。
11)在用户明确拒绝后没有继续索要权限打扰用户。
评测结果:不满足。在使用过程中,除非用户进行帐户注册,均未出现要求向用户索要授权的现象。
2. 注册时,判断密码是否存在安全漏洞
12)客户端应用软件登录时应采用适宜的验证要素,包括但不限于口令、短信验证码、手势密码、生物特征识别等方式。
评测结果:满足。
13)应确保采用的身份验证要素相互独立,如:用于登录验证的口令和用于交易的口令不能一致。
评测结果:满足。登陆密码需要由8-30位英文字母、数字或符号组成,而支付密码则由6位数字组成。密码设置规则的不同,导致2个密码相互独立。
14)对于手势密码、短信验证码、生物特征信息作为验证要素时应满足相关标准
评测结果:满足。
15)图形验证码不得作为独立的身份验证要素
评测结果:满足。
16)在用户身份认证后,客户端应用软件进入终端系统后台时,如果超过设定时限后被唤醒切换到前台,应采取措施对用户身份重新认证。
评测结果:满足。
17)客户端应用软件应提供客户输入银行卡支付密码和网络支付交易密码的即时防护功能。
评测结果:满足。
18)客户端应用软件不应明文显示银行卡密码和网络支付交易密码。
评测结果:满足。
19)客户端应用软件应提供认证失败处理功能,可采取结束会话、限制失败登录次数和自动退出等措施。
评测结果:不满足。当用户登录账户时,并不会限制登录次数。
20)客户端应用软件应配合服务端提供密码复杂度校验功能,保证用户设置的密码达到一定的强度,避免采用简单交易密码或与客户个人信息相似度过高的交易密码。
评测结果:不满足。用户登录时的密码只需要满足由8-30位英文字母、数字或符号组成即可。
21)应严格限制使用初始登录密码与初始交易密码,若设置初始密码,应强制用户在首次登录后修改初始密码。
评测结果:不满足。
22)在修改密码前,应对用户身份进行重新验证;并且对原密码输入错误次数进行限制。
评测结果:满足。用户在修改登录密码时,需要通过手机号验证、身份证验证、图形验证、手机验证码、姓名验证才能完成密码修改。对于支付密码,用户仅有5次错误输入机会。
23)修改密码时新密码不应与原密码相同。
评测结果:部分满足。支持登陆新密码与原密码相同;不支持支付密码与原密码相同。
24)在密码重置时,应使用短信验证码、用户注册信息校核等方式,对用户身份进行校验;并且采用两种或两种以上要素进行身份认证。
评测结果:满足。用户在修改登录密码时,需要通过手机号、身份证、图形验证、手机验证码4种以上要素才能完成密码修改。
25)应采取有效措施提醒客户避免设置与常用软件、网站相同或相似的用户名和密码组合,并采取有效措施引导客户设置独立的支付密码。
评测结果:满足。不支持连续数字位支付密码,例如“123456;不支持3位以上连续相同数字,例如“111122”。
26)客户端应用软件应实现身份认证过程的防截屏、录屏,如:输入手势验证码、登录口令等。
评测结果:不满足。用户可以通过录屏获取、或截屏获取登录密码或手势密码等。
3. 使用时,判断个人信息是否存在泄露风险。
27)客户端应用软件应提供客户输入信息的即时防护功能,如:卡片验证码、卡片有效期、银行卡账号、身份证号码、手机号码等信息。
评测结果:部分满足。当用户输入银行卡号、身份证号码时,均会被“•”所代替。而用户输入手机号码时,并未有即时防护功能。
28)处于未登录状态时,不应展示与个人信息主体相关的用户鉴别信息(如:卡片验证码、卡 片有效期、登录密码、支付密码等)。
评测结果:满足。
29)处于已登录状态时,个人金融信息展示,除银行卡有效期外,用户鉴别信息(如:卡片验证码、登录密码、支付密码等)不应明文展示。
评测结果:满足。
30)处于已登录状态时,个人金融信息展示 ,对于银行卡号、客户法定名称、手机号码、证件类或其他识别标识信息等可以直接或组合后确定信息主体的信息应进行屏蔽展示,或由用户选择是否屏蔽展示。
评测结果:满足。
31)在提示客户认证失败时,应模糊错误提示信息,防止错误提示信息中泄露用户全部账号、交易金额等敏感数据。
评测结果:满足。
32)除交易对账、转账收款方确认等必须由用户确认的情况外,客户端应用软件在显示个人信息,如: 银行账号、身份证号码、手机号码、姓名等时应屏蔽关键字段。
评测结果:满足
三、评测结果
在37个评测标准中,拉卡拉APP有29项符合标准,有6项不符合,2项部分符合。
