16款金融理财类APP被点名通报：通付宝和摇钱花等在列

金融虎讯 2月25日消息，日前，广东省通信管理局官网公布215款因侵害用户权益和安全隐患问题被责令限期整改的APP应用名单，白熊保单管家、布谷农场、分期乐、广金所、合众e贷财富、金酷、平安精选、通付宝、小花借条、信用卡还呗、长城炼金术、掌富易购等12款金融理财类APP被列其中。同时，另有7款前期通报APP存在未整改或整改不彻底情况也再度遭到点名，其中包括小赢科技摇钱花、顺丰金融、中邮钱包、万联e万通等4款金融类APP。

据介绍，本批被责令整改的215款侵害用户权益和安全隐患问题App的典型表现有：一是未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围（129款，占比60%），二是未经用户阅读并同意隐私政策,提前申请获取终端权限（69款，占比55.2%），三是App在用户未使用相关功能或服务时，提前申请开启通讯录、定位、短信、录音、相机等权限（49款，占比39.2%），四是未提供有效的注销账号功能，且在隐私政策和相关界面上没有注销指引（48款，占比21.5%）；数据安全隐患问题主要有Janus签名机制漏洞、未移除有风险的Webview系统隐藏接口漏洞、界面劫持安全、密钥硬编码漏洞、应用备份风险等。

具体到金融理财类APP来看，白熊保单管家运营主体为深圳数飞科技有限公司，侵害用户权益问题包括：1.App首次运行未经用户阅读并同意隐私政策，申请获取存储权限和电话权限；2.隐私政策中未逐一列出获取个人姓名、出生日期和证件号信息的目的、方式、范围；3.账号注销难：未提供有效的注销账号功能，且在隐私政策和相关界面上没有注销指引。

布谷农场的运营主体为深圳财富农场互联网金融服务有限公司，分期乐运营主体为深圳市分期乐网络科技有限公司，两家公司侵害用户权益问题均为“未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。”，存在界面劫持风险。

广金所的运营主体为广金所信息服务有限公司，侵害用户权益问题包括：1.App首次运行未经用户阅读并同意隐私政策，申请获取存储权限；2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。未移除有风险的Webview系统隐藏接口漏洞。

合众e贷财富运营主体为深圳合众财富金融投资管理有限公司，侵害用户权益问题包括：1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围；2.违反必要原则收集个人信息：用户不同意开启非必要的相机权限，拒绝提供修改头像业务；3.更正、删除用户信息及注销用户账号的处理承诺时限（30天）均超过15个工作日。

金酷的运营主体为深圳市崇广科技有限公司，侵害用户权益问题包括：1.隐私政策中未逐一列出获取存储、电话、位置和相机权限的目的、方式、范围；2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围；3.账号注销难：未提供有效的注销账号功能，且在隐私政策和相关界面上没有注销指引。

平安精选的运营主体为中国平安保险（集团）股份有限公司，侵害用户权益问题包括：1. App首次运行未经用户阅读并同意隐私政策，申请获取存储和电话权限；2. 在登录注册页面，以默认方式同意隐私政策；3. 更正、删除用户信息的处理承诺时限（30天）超过15个工作日。

通付宝的运营主体为通付宝网络技术有限公司，侵害用户权益问题包括：1.隐私政策难以访问：进入App主界面后，无法访问到隐私政策；2.首次开启APP，未同意隐私政策前行为监控发现获取GET_TASK检索了应用程序、Android ID、MAC地址、IMEI、IMSI等用户信息；3.不给权限不让用：用户不同意开启非必要的位置和相机权限，拒绝提供所有业务功能。

小花借条的运营主体为广东国寿互联网金融信息服务有限公司，侵害用户权益问题包括：1.未公开收集使用规则；2.在申请收集用户姓名、身份证号码等敏感信息时，未同步告知用户其目的；3.未提供有效的更正、删除个人信息及注销账号功能。

信用卡还呗的运营主体为广州方圆围网络科技有限公司，侵害用户权益问题包括：1.首次开启APP，未同意隐私政策前行为监控发现获取GET_TASK检索了应用程序、Android ID、MAC地址、IMEI、IMSI等用户信息；2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。

长城炼金术的运营主体为长城证券股份有限公司，侵害用户权益问题包括：1.隐私政策中未明确列出获取相机权限和收集银行卡和身份证信息的目的、方式、范围；2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围；3.App在用户未使用相关功能或服务时，提前申请获取终端的位置权限。

掌富易购的运营主体为广州掌富易购跨境电商有限公司，侵害用户权益问题主要是“未公开收集使用规则：在正常网络环境下，隐私政策无法查看。”。

此外，小赢科技摇钱花、顺丰金融、中邮钱包、万联e万通等4款金融类APP此前均曾因违规被通报，此次再度因整改不到位遭到点名通报。

摇钱花的运营主体为深圳市小赢科技有限责任公司，侵害用户权益问题包括：1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围；2.在登录时，以默认方式同意隐私政策；3.违反必要原则收集个人信息：用户不同意开启非必要的相机权限，拒绝提供上传照片功能。前期通报时间为2020年12月7日。

顺丰金融的运营主体为深圳市顺恒融丰投资有限公司，侵害用户权益问题包括：1.征得用户同意前，App嵌入的第三方SDK私自收集个人MAC地址信息；2.在注册登录时，以默认方式同意隐私政策；3.因用户不同意收集非必要的QQ、邮箱等个人信息，拒绝提供我要留言功能； 4.违反必要原则收集个人信息：用户不同意开启非必要的相机权限，拒绝提供上传图片功能。前期通报时间为2020年10月29日。

中邮钱包的运营主体为中邮消费金融有限公司，侵害用户权益问题包括：1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围；2.未提供有效的注销账号功能：按照隐私政策中声明的注销指引，咨询在线客服，客服明确回复未实名认证的账号无需注销。前期通报时间为2020年10月23日。

万联证券主推的移动理财平台万联e万通侵害用户权益问题包括：1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围；2.违反必要原则收集个人信息：用户不同意开启非必要的相机权限，拒绝提供上传照片业务；3.为注销用户账号设置不必要或不合理条件：App账号管理界面未提供账号注销菜单入口，通过客服联系时，却为注销用户账号设置不必要或不合理条件（账号使用手机号码注册但未填写姓名、身份证号码等个人信息，但受理注销账号时却要求提供包括姓名、身份证号码才可进行）。前期通报时间为2020年11月26日。

广东省通信管理局指出，在315消费者权益日即将到来之际，该局将持续加大巡查力度，及时发现并通报侵犯用户权益的App，同时加强对已通报App及其运营者关联App进行跟踪复查，如有必要坚决采取下架、停接入、停域名、行政处罚以及纳入电信业务经营不良名单或失信名单并公开曝光等措施，依法严厉处置，切实维护App用户合法权益和网络安全秩序。