通报！嘉联、盒子支付APP潜在收集用户信息！

刷卡机测评员 2020-11-24

关注POS支付圈爆料，每日有尿..

►进群加微：

11月23日，广东通信管理局发布通报，通报显示，广东通信管理局发现疑似存在问题App 237款，经核验确定问题App 88款。

据了解广东省通信管理局按照工业和信息化部关于App数据安全和侵害用户权益专项整治的工作部署和要求，加强对属地App的监督检查，建设App监管平台，并委托第三方专业机构进行检测，累计检测5千余款App，共发现疑似存在问题App 237款，经核验确定问题App88款。

对其中等85款App运营者发出《违法违规App处置通知》责令限期改正并通知各应用商店督促整改，对问题突出的3款App运营企业做出警告并罚款的行政处罚决定。

被查处的App存在两方面问题：

一是App及其后台服务器存在“明文存储密码”“反编译”“SQL注入”等数据安全隐患问题；

二是违反用户个人信息保护规定，包括“未公开明示收集规则”“默认勾选同意隐私协议”“未列明所集成SDK及其采集信息”“为注销账号、删除个人信息设置障碍”“未经用户同意共享给第三方”等侵犯用户对其个人信息处理享有的知情权、决定权，以及违反最小必要原则超前、超需、超频索取权限或采集信息，甚至不给必需权限不让用等强迫行为。

下一步，广东省通信管理局坚持“技管结合”，不断加大对App的监督检查力度，并强化对已责令整改或行政处罚的App进行跟踪复测，对问题突出、整改不彻底的App及运营企业，坚决采取下架、停接入、停域名、行政处罚以及纳入电信业务经营不良名单或失信名单并公开曝光等措施进行严厉处置，切实维护App网络数据和个人信息安全。

四款支付App被通报

据存在问题的App名单显示，此次被通报的88款App中包含多款支付机构App。

嘉联支付旗下“立刷”、“立刷商户版”App存在“未明确告知收集使用麦克风权限的目的、方式、范围”、“应用内集成多个可收集个人信息的第三方SDK，且未在隐私政策逐一说明以及是否向第三方共享信息”等问题。在App安全方面存在“应用备份风险”与“Java代码反编译风险”。

这是嘉联支付旗下“立刷”App一个月内第二次被点名。

11月13日，App违法违规收集使用个人信息治理工作组发布通告，嘉联支付旗下“立刷”App因存在“申请权限及收集用户个人敏感信息时，未同步告知用户其目的”、“因用户不同意打开非必要权限，拒绝提供功能”被通报。

盒子信息科技旗下“钱盒商户通”App存在“未明确告知收集使用相机权限的目的、方式、范围”、“应用内集成多个可收集个人信息的第三方SDK，且未在隐私政策逐一说明以及是否向第三方共享信息”、“账号注销难：为注销用户账号设置不必要或不合理条件”被通报。

多款银行等金融机构APP被通报

在88款存在问题的App中，有多款App来自银行或互联网金融背景。

其中，中邮消费金融有限公司旗下“中邮钱包”App因存在“明确告知收集使用麦克风权限的目的、方式、范围”被通报。

深圳市顺恒融丰投资有限公司旗下“顺丰金融”APP因存在“未明确告知收集使用短信和日历权限的目的、方式、范围；应用内集成多个可收集个人信息的第三方SDK，且未在隐私政策逐一说明以及是否向第三方共享信息；未经用户阅读隐私政策，应用就申请获取位置信息、相机、存储、麦克风和电话状态信息权限”被通报。

广州银行信用卡中心旗下“广银信用卡”App因存在“未经用户同意收集使用个人信息” 、同意存储权限不同意相机权限无法正常使用更换头像功能。隐私政策未发现描述响应时限的条款”等问题被通报。

广州农村商业银行旗下“广州农商银行”因“应用内集成多个可收集个人信息的第三方SDK，但未在隐私政策逐一说明是否向第三方共享信息、App首次运行未弹窗提示用户阅读隐私政策、申请打开可收集个人信息的权限时，未同步告知用户其目的”等问题被通报。

广东省农村信用社联合社旗下“广东农信”App因“App首次运行未弹窗提示用户阅读隐私政策、申请打开可收集个人信息的权限时，未同步告知用户其目的”被通报。

另外深圳中兴飞贷金融科技有限公司旗下的“飞贷”App，恒大互联网金融服务（深圳）有限公司旗下的“恒大财富”App，广州市全民钱包科技有限公司旗下的“全民钱包”App，中信证券股份有限公司旗下“中信证券”App；皆因“应用内集成多个可收集个人信息的第三方SDK，但未在隐私政策逐一说明是否向第三方共享信息”而被通报。

近期热点事件，支付壹线深度报道：

电话不接微信不回，中付管家又一代理商被“割韭菜”

取消优惠类就没有跳码了吗？海科瑞鑫取消优惠类变相涨价万5

关注支付壹线，掌握支付动态

爆料、广告联系微信：