受疫情影響，今年的315晚會挪到了7月16日晚上，瞬間朋友圈就被315刷屏了，被315點名的多種現象中，有幾個大家討論比較多的，其中一個就是關于APP違規收集信息的情況，今天我們來詳細說一下~

多款APP違規收集個人信息

此次晚會中提到了手機App違規收集個人信息問題，某些APP在后臺讀取電話號碼、通訊錄、短信記錄、應用列表等信息的同時，上傳聯系人、交易驗證碼等數據到第三方服務器。

并且，第三方SDK除了收集用戶手機號碼、設備信息之外，還會收集用戶手機通訊錄、短信信息、傳感器信息等用戶隱私信息，在采集之后還會發送至指定服務器進行存儲。

對此，工信部發布公告，立即組織北京、上海通信管理局對涉事兩家SDK企業，北京招彩旺旺信息技術有限公司和上海氪信信息技術有限公司進行核查處理，對存在問題的APP第一時間啟動下架程序。并且責成阿里、騰訊、百度、華為、小米、OPPO、vivo、360等國內主要應用商店，第一時間對類似問題進行“地毯式”排查，及時發現、處理違規收集用戶個人信息的SDK。

而此次提到的50多個違規收集信息的App中，金融類就超過40個。

如何判定金融APP信息收集合法性？

網絡安全法第41條規定，網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意。

因此判定金融APP信息收集是否合法有幾個關鍵點。

1、是否明確了信息的使用用途。比如金融機構獲取用戶信息時，明示收集手機通訊錄信息將被用于貸款審批及債務催收，那么就不算非法獲取。沒有明示的情況下用于這些用途則違反了相關規定。

2、隱私協議是否合規。有些隱私協議條款暗含免除一方責任，加重對方責任，排除對方主要權利的內容，這樣的條款是無效的。

3、是否獲取本人授權。如果機構要提取或使用用戶信息，必須獲取信息主體本人的明確授權。

2019年，中國信通院發布了一份《2019金融行業移動App安全觀測報告》，從金融行業 App 細分領域來看，借貸類 App 包攬前三名中的兩個席位。其中，面向個人用戶的消費金融類 App 數量最多，占觀測總數的 36.74%；面向企業的 P2P 金融類 App 排名第三，占觀測總數的 11.38%；彩票類App 排名第二，占觀測總數的 27.19%。

這十幾萬金融行業APP中，除了信息違規收集，還存在其他的一些風險，下面小金就為大家介紹一下存在比較多的風險有哪些？

金融APP中的普遍風險

1、高危漏洞。其中最典型的就是數據泄露風險，攻擊者可以利用其中的漏洞竊取用戶數據，進行 App 仿冒、植入惡意程序、攻擊服務等,對 App 安全具有嚴重威脅。

金融行業 App 中，73.23%存在不同程度的安全漏洞，70.22%存在高危漏洞。平均每款金融行業 App 存在 20.3 個安全漏洞，其中 6.7 個為高危漏洞。

互聯網第三方支付和信托類 App 的高危漏洞問題較為突出，存在高危漏洞 App 的比例 93.87%和 93.44%。保險、投資理財、外匯等分類的 App 高危漏洞問題也相對嚴重，存在高危漏洞的 App 比例超過 85%。（數據來自中國信息通信研究院）

2、惡意程序感染風險。

主要涉及的惡意行為包括流氓行為、信息竊取、惡意傳播、資費消耗、遠程控制等多種惡意行為，受到流氓行為惡意程序感染的 App 占比最多，約為 82.02%。所謂流氓行為指的就是在用戶未授權的情況下，彈出廣告窗口等，不僅影響用戶使用體驗，而且如用戶誤觸點擊可能帶來進一步隱私風險和安全問題。

3、使用 SDK 引入風險

在金融行業APP中，大概有超過五分之一的APP被嵌入了第三方SDK，第三方 SDK 存在隱蔽收集用戶信息、自身安全漏洞易被不法分子利用等安全風險，而消費金融類、彩票類、P2P 金融類受到惡意程序感染的比例相對較高。

4、違規索權風險。

我們上面也有提到過，有些APP的協議中隱含了超范圍索取用戶權限的情況，App 索取用戶設備的敏感權限和用戶的隱私信息，可能導致用戶設備被植入惡意程序、用戶賬戶和隱私信息泄露等一系列安全風險。而個人隱私信息一旦泄露，就會隨之帶來騷擾電話、信息詐騙、惡意推銷、網絡情感詐騙等一系列風險。

全國信息安全標準化技術委員會于 2019 年 6 月發布的《網絡安全實踐指南——移動互聯網應用基本業務功能必要信息規范》明確規定，金融行業 App 基本業務功能收集的必要信息包括：“手機號碼”、“賬號信息”、“身份信息”、“銀行賬戶信息”、“個人征信信息”、“緊急聯系人信息”以及“借貸交易記錄”7 項內容。應用程序訪問設備的手機功能及修改或刪除存儲卡中的內容涉嫌超范圍獲取權限。此外，App 慣常獲取的高敏感權限還包括：發起電話呼叫、錄制音頻、拍攝照片和錄制視頻、讀取系統日志等。

5、安全加固不足。

在去年的觀測報告中，超過80%的金融行業APP沒有進行任何的安全加固，而基于 Java 語言編寫的安卓應用程序如不進行加固，則其打包的 APK 文件很容易被反編譯工具進行逆向分析，進而暴露風險。

用戶如何規避風險？

1、在正規應用市場下載APP。手機都有自帶的應用市場，這種安全性比較高，不要隨意點擊不明鏈接或掃描不明二維碼通過瀏覽器進行下載。如果必須通過鏈接或二維碼下載，可以跟相關的開發商確認一下是否為官方APP。

2、下載前查看軟件詳情。要確定軟件有相關的安全審核認證，并且可以關注下相關評價，如果評分比較低就要多考慮一下。當然，評分只是一個參考，畢竟市場上惡意評分也很常見。

3、警惕“山寨”APP。如果下載使用軟件的過程中經常出現bug，漏洞較多，那就要檢查一下是否不小心下載了“山寨”APP，及時卸載。

4、謹慎授權。很多APP在下載注冊時要求授權多項個人信息，使用者應當辨別要求授權的信息是否為必要信息，遇到非必要信息要謹慎授權。

軟件的信息安全問題對于每個人來說都至關重要，尤其是現在網絡技術越來越發達，我們對于網絡的依賴越來越高，如果信息安全不能保證，那么會對我們的財產安全造成極大的威脅。尤其是金融類的APP，更加需要保證信息安全性。

有關部門加強常態化監管的同時，用戶也應該提高自身警惕，有意識的保護自己的信息安全。另外，中國互聯網金融協會組織了金融APP備案，大家可以自行查看，了解已經備案的APP有哪些，查看網址：http://www.nifa.org.cn/nifa/2986584/2986585/2988981/index.html

有關部門加強常態化監管的同時，用戶也應該提高自身警惕，有意識的保護自己的信息安全。