咚遇站长

附完整榜单、评分依据、评分标准、整改建议。

编者按：本文来自微信公众号“零壹财经”（ID:Finance_01），作者 金融APP评测中心。

导语

2019年以来，央行屡次发文要求金融APP整改。

2020年4月2日，央行发布《关于开展金融科技应用风险专项摸排工作的通知》，要求各地央行及相关监管机构，依据相关法律制度、标准规范，对移动金融客户端应用软件、应用程序编程接口、信息系统和《金融科技应用风险专项摸排列表》要求内容开展专项摸排工作。要求各分支监管机构形成书面报告，并于2020 年10月31日前报送人民银行总行。

依据相关监管政策法规，零壹财经金融APP评测中心对200款金融APP进行专项评测，评测对象涵盖银行、保险、消费金融、支付、汽车金融等，评测内容包括隐私政策、密码安全、个人信息安全3个指标及41项细分标准。

评测发现金融APP存在的主要问题包括：超过38%的APP违反必要原则，超范围收集与其业务无关的个人信息；超过56%的APP修改登录密码时，存在安全隐患；超过45%的APP在用户不同意隐私政策时，强制退出，无法使用等。

针对这些突出问题，零壹财经金融APP测评中心根据相关政策法规提出整改建议，供业界参考。注：点击阅读全文，可查看金融APP评测完整榜单！

出品 | 零壹智库

作者 | 金融APP评测中心

为规范金融APP信息收集和使用、加强个人信息保护，营造良好的金融环境，切实维护金融消费者合法权益，并依据相关监管政策法规，零壹财经金融APP评测中心于2020年3月2日启动零壹金融APP评测专项工作。

中心相关评测工作得到了金融消费者、监管部门、相关企业、行业从业者等多方的广泛关注和支持。

一、200款金融APP评测结果：普遍存在不合规问题，银行类APP合规程度最高

通过对200款金融APP评测发现：

1. 所有被测金融APP都或多或少存在不合规问题

2. 超过38%的APP违反必要原则，超范围收集与其业务无关的个人信息；

3. 超过56%的APP修改登录密码时，存在安全隐患；

4. 超过45%的APP在用户不同意隐私政策时，强制退出，无法使用；

5. 得分超70的APP有130款，占比65%；

6. 银行类APP合规程度最高，评测平均分达80分。

表1: 200款金融APP评测情况

数据来源：零壹智库

传统持牌金融机构：共评测81款，该类包含银行及保险APP，平均分为78分。

其中：银行类APP，有61款得分超70，比例为88%，相较其他类别合规率最高，平均分最高。保险类APP，有5款得分超70，比例为42%。

新兴持牌金融机构：共评测33款，该类包含消费金融及支付APP，平均分为70分。

其中：消费金融类APP，仅有9款得分超70，比例仅为45%，相较其他类别存在问题较多，平均得分低。支付类APP，有11款得分超70，比例为85%。

新金融平台：共计评测85款，该类包含综合金融平台、理财、借贷、汽车金融、供应链金融APP，平均分为68分。

其中：综合金融平台类APP，有13款得分超70，比例为54%。理财平台类APP，有13款得分超70，比例为48%。借贷平台类APP，有17款得分超70，比例为57%。汽车金融类APP，1款得分超70，比例仅为25%。

二、传统持牌金融机构：14款银行类APP得分超90，保险类存在问题较多

1、银行类APP

银行类APP主要存在的问题： 

1）96%的银行类APP在用户输入信息时，没有即时防护功能；

2）52%的银行类APP未提供定向推送信息的选项；

3）54%的银行类APP在用户进行身份认证时，无防截屏、录屏功能。

表2：银行APP不合规情况

数据来源：零壹智库

所评测的69款银行APP相较其他类金融APP合规率最高，其中民生信用卡、江苏直销银行、光大惠生活等14款APP评测得分超90。

表3：69款手机银行APP评测情况

数据来源：零壹智库

阜新银行、兴业银行、华夏银行、柳州银行4款APP在密码安全方面合规率100%。民生信用卡、建设银行、农业银行、招商银行4款APP在隐私政策方面合规率100%。

表4: 90分以上的手机银行APP评测明细

数据来源：零壹智库

2、保险类APP

在所评测的12款保险类APP中仅有阳光保险在线APP评测得分超过80，近6成保险类APP得分在70分以下。

表5: 12款保险类APP评测情况

数据来源：零壹智库

保险类APP主要存在的问题：

1）所有保险类APP在用户输入信息时，无即时防护功能；

2）泰康在线、信美相互、慧择保险、水滴保险商城、众安保险等11款保险类；

3）APP在修改登录密码时，存在安全隐患；

4）掌上新华、太平洋保险等9款保险类APP未采取有效措施提醒客户避免设置与常用软件、网站相同或相似的户名和密码组合。

表6：保险类APP不合规情况

数据来源：零壹智库

三、新兴持牌金融机构：仅2家消费金融公司得分超过80

1、消费金融APP

在所评测的20家持牌消费金融APP中仅有苏宁消费金融、招联金融评测得分超过80，近6成得分在70分以下。

表7: 20款消费金融APP评测情况

数据来源：零壹智库

消费金融类APP主要存在的问题：

1）易开花、杭银金融、包银消费金融等15款消金APP违反必要原则，收集与其业务无关的个人信息；

2）幸福花、城一代、哈银消金等11款消金APP不支持用户撤回同意收集个人信息的途径和方式；

3）中银消费金融、锦程消金、长银消金等14款消金APP未提供定向推送信息的选项。

表8: 消费金融APP不合规情况

数据来源：零壹智库

2、支付类APP

在所评测的13款支付类APP中，云闪付、和包支付、美付宝、平安壹钱包评测得分超80，超8成支付类APP得分在70以上。

表9：13款支付类APP评测情况

数据来源：零壹财经·零壹智库

支付类APP主要存在的问题：

1）PayPal、随行付等4款APP支付类无安全投诉、举报渠道，且没有在15日内受理并处理相关问题；

2）翼支付、网易支付、微信钱包等7款支付类APP在密码重置时，没有使用短信验证码、用户注册信息校核等方式，对用户身份进行校验。

表10：支付类APP不合规情况

数据来源：零壹智库

四、新金融平台：得分低于60占比较高

1、综合金融平台

所评测的24款综合金融平台类APP涵盖金融机构、电商、互联网、房地产、通信、物流、出行、旅游、制造业等10个行业，其中平安普惠、苏宁金融、理财通、度小满评测得分超过80分。新浪金融得分最低仅为48分。

表11: 24款综合金融平台类APP评测明细

数据来源：零壹智库

综合金融平台类APP主要存在的问题：

1）所有综合金融平台类APP在用户输入信息时，没有即时防护功能；

2）美团金融、滴滴金融、小米金融、恒大财富等14款综合金融平台类APP用户登录时，未采用2种以上方式对用户身份进行认证。

表12：综合金融平台APP不合规情况

数据来源：零壹智库

2、理财平台类APP

所评测的27款理财平台类APP得分均未超过80，其中宜人财富、布谷农场、比财、万得理财评测得分在60分以下。

表13: 27款理财平台APP评测情况

数据来源：零壹智库

理财平台类APP主要存在的问题：

1）玖富钱包、黄金钱包等5款理财平台类APP无密码复杂度校验功能且无法保证用户设置的支付/交易密码达到一定的强度（如用户可设置密码为123456）；

2）小赢理财、桔子理财、悟空理财等14款理财平台类APP未有安全措施，在用户长时间未响应后，重新对用户身份进行认证。

表14: 理财平台APP不合规情况

数据来源：零壹财经·零壹智库

3、借贷类平台类APP

在所评测的30款借贷平台类APP中，积木盒子、凤凰智信、众安小贷、我来数科4款APP评测得分超过80，而新橙优品、钱站评测得分在45分以下。

表15：30款借贷平台类APP评测情况

数据来源：零壹智库

借贷平台类APP主要存在的问题：

1）人人贷借款、360借条、分期乐、你我贷借款等25款借贷类APP在修改登录密码时存在安全隐患；

2）拉卡拉、大地时贷、维信卡卡贷等28款借贷类APP在用户输入信息时，没有即时防护功能。

五、突出问题政策解读及整改建议

零壹财经金融APP评测结果显示，在41项评测项目中，有5项不合规问题占比较高：

（1）38%的金融APP违反必要原则，收集与其业务无关的个人信息；

（2）35%的金融APP未向用户提供个人信息安全投诉和举报渠道；

（3）32%的APP在用户设置密码时，没有密码复杂度校验功能，允许用户将“123456”或“111111”等简单数字设置为交易密码，存在严重的安全隐患；

（4）54%的APP在用户进行身份认证输入密码时，没有防截屏、录屏功能。

表16：4项金融APP不合规问题及占比情况

数据来源：零壹智库

针对这些突出问题，零壹财经金融APP评测中心提出如下整改建议：

1. 违反必要原则，收集与其业务无关的个人信息

根据零壹财经评测结果，有38%的金融APP并不支持用户注销账户：其中消费金融公司的APP不合规占比最低，在75%左右；保险和借贷APP的不合规占比为50%。

根据GB/T 35273-2020《信息安全技术个人信息安全规范》和JR/T 0092—2019《移动金融客户端应用软件安全管理规范》要求，金融APP应遵循最小权限原则，不得收集与所提供服务无关的个人信息；不得以改善服务质量、提升使用体验、研发新产品、增强安全性等为由，强制要求用户同意收集个人信息。

常见的不合规行为有：收集用户通讯录、通话记录、短信记录、APP安装列表；在用户注销账户时，收集用户手持身份证照片；在非网络安全和运营安全目的下，收集手机设备唯一标示。

整改建议：金融APP运营者应遵循最小权限原则，不收集与所提供服务无关的个人信息。

2. 未提供个人信息安全投诉、举报渠道

根据评测结果，有35%的金融APP未向用户提供个人信息安全投诉、举报渠道：其中消费金融APP和理财APP不合规占比均超过50%。

根据GB/T 35273-2020《信息安全技术个人信息安全规范》和《关于开展App违法违规收集使用个人信息专项治理的公告》要求：金融运营者应向用户提供并公布个人信息安全投诉举报的渠道，并承诺在15个工作日内受理并处理。

整改建议：针对个人信息安全成立专项小组，并向用户提供电话、邮箱、智能客服等联系方式接受用户的投诉和举报；保证15个工作日内接受理并处理用户的投诉和举报；除此之外，还需提供外部投诉举报途径。

3. 没有密码复杂度校验功能，允许用户设置“123456“等简单密码

根据评测结果，有36%的金融APP没有密码复杂度校验功能，允许用户设置“1234567“或”111111“等简单数字作为登陆密码或交易密码。

根据JR/T 0092—2019《移动金融客户端应用软件安全管理规范》基本要求：客户端应用软件应配合服务端提供密码复杂度校验功能，保证用户设置的密码达到一定的强度，避免采用简单交易密码或与客户个人信息相似度过高的密码。

整改建议：可要求用户设置数字、字母和符号最少2种格式组成的密码，并且避免使用姓名、生日等个人信息作为密码组成。

4. 在用户进行身份认证时，没有防截屏、录屏功能

根据评测结果，有54%的金融APP在用户进行身份认证时，没有防截屏、录屏功能。

根据JR/T 0092—2019《移动金融客户端应用软件安全管理规范》数据防窃取增强要求：客户端应用软件应实现身份认证过程的防截屏、录屏，如:输入手势验证码、登录口令等。

整改建议：在用户登陆、修改、重置密码时，在交易时进行身份验证时，可通过技术手段，禁止手机截屏和录屏行为，避免用户个人信息和密码的泄露。

免责申明：

1、评测最终解释权归零壹财经APP评测中心所有。

2、本文不构成任何投资建议！

3、文中所涉及对于相关法律法规的注解已经过法律顾问确认。