52款保險APP大測評：復旦大學報告指出用戶隱私保護15大問題

現代市場經濟體制，數據成為最重要的資產，其中，用戶的個人信息又成為重中之重。但誰才是信息的主體，商業公司又應該如何把握使用的邊界，在提供服務的時候需要注意哪些問題？成為發展中的“必答題”。

　　保險行業作為個人信息密集行業，其展業過程離不開對客戶個人信息的收集、使用、存儲、傳輸。由此，引導行業重視消費者個人隱私保護，規范行業對消費者個人信息收集方式，具有重要意義。

　　11月22日，在我國《個人信息保護法》正式實施一周年之際，復旦大學大數據研究院大數據內生安全研究所與網絡與數字安全保險研究所聯合發布了《保險 App 用戶隱私與個人信息保護的若干隱患》（以下簡稱《報告》）研究報告，聚焦保險APP對于用戶隱私以及個人信息保護的情況。

　　《報告》選取52家保險業協會發布的保險公司、保險中介和部分參與惠民保業務健康管理公司主要使用的App作為測試樣本，采用復旦大學金融消費者App用戶隱私保護分析框架，檢視當前保險App對用戶隱私與消費者個人信息保護的現狀與問題。

　　根據保險業協會披露的相關數據，統計結果顯示，目前有18%的財險公司、46%的壽險公司應用App開展業務。

　　復旦大學將市面上所有的主流保險行業App都進行了測試，共52家。其中，壽險公司占比最多，達35%，經紀公司、財險公司及惠民保健康管理公司分別占比25%、20%、20%。檢測覆蓋首次注冊App， 到后臺運行，及關閉App后再次進入等多個階段。

　　測試結果顯示，保險行業不同的運行主體間具有相似的隱私保護問題，行業整體的消費者隱私保護意識均有待加強。其中，相比大公司，中小型公司暴露出的用戶隱私保護問題更多。而相比財險公司，壽險公司暴露出的用戶隱私保護問題更多。

測試結果顯示，人保、國壽、太平、太保、平安、泰康及新華保險等老七家頭部公司，暴露出的隱私保護問題平均約6項，其他公司平均約為9項，遠高于頭部公司。

　　相比財險公司，壽險公司暴露出的隱私保護問題更多。測試發現，壽險公司暴露出的隱私保護問題平均約10項，財險公司暴露出的平均約9項。

　　除保險公司外，保險經紀公司和參與惠民保業務的健康管理公司也存在一定的隱私保護問題， 比如App頻繁使用剪切板、App隱私政策文本對關鍵信息表述不清晰等。

　　此外，需要說明的是，研究團隊進行App隱私測試過程中，由于部分大型公司自身的技術能力較強，設置了防火墻等機制，導致部分App的測試結果并未得到呈現。

　　另外，保險公司可能會在與App開發外包公司、廣告類公司、分析服務類公司、供應商等第三方產生數據交互，從而可能造成第三方對隱私數據保護不到位，消費者隱私信息被不法分析利用，嚴重危害消費者合法權益。

主要觀點與發現一

　　保險公司App在用戶隱私與信息保護方面存在諸多不足，共性存在15大問題，部分頭部保險公司同樣存在相關問題

　　保險公司App觸犯的用戶主要隱私保護問題有App頻繁使用剪切板、App在獲取用戶同意前收集設備及環境信息、App申請權限未說明原因或未在必要場景下、App隱私政策文本對關鍵信息表述不清晰等。以上這些隱私保護問題大多為App在用戶不知情的情況下采集了用戶的設備信息，或頻繁調用剪切板收集用戶的個人敏感信息，顯然這些都是不符合個人隱私保護政策的。保險公司的運營過程難免要與客戶頻繁交流并收集客戶信息，作為個人信息密集行業，保險乃至金融行業都應取之有道，用之有度，時刻敲響客戶個人信息保護的警鐘。

主要觀點與發現二

　　除保險公司外，保險經紀公司與參與城市定制型商業醫療保險（惠民保）的健康管理公司同樣存在類似的App用戶隱私保護問題

　　在App用戶隱私測試過程中，保險公司App中頻繁出現的用戶隱私保護問題，比如App頻繁使用剪切板、App隱私政策文本對關鍵信息表述不清晰等也出現在測試的保險經紀公司和參與城市定制型商業醫療保險，即惠民保業務的健康管理公司的App中?？梢?，保險行業不同的運行主體間具有相似的App隱私保護問題，行業整體的個人消費者隱私保護意識均有待加強。

主要觀點與發現三：

　　中小型保險公司相比頭部保險公司的消費者隱私保護問題更加突出，壽險公司相比財險公司暴露的隱私保護問題更多

　　相比大公司，中小型公司暴露出的消費者隱私保護問題更多?？紤]到公司綜合實力、保費規模等因素，我們將人保、人壽、太平、太保、平安、泰康及新華保險（老七家）定義為頭部公司。測試結果顯示，頭部公司暴露出的隱私保護問題平均約6項，其他公司暴露出的隱私保護問題平均約為9項，遠高于頭部公司。

　　相比財險公司，壽險公司暴露出的隱私保護問題更多。此外，健康管理公司和保險經紀公司也存在一定的隱私保護問題。我們還發現，測試樣本中，壽險公司暴露出的隱私保護問題略高于財險公司：壽險公司暴露出的隱私保護問題平均約10項，財險公司暴露出的隱私保護問題平均約9項。

主要觀點與發現四

　　目前我國金融消費者App用戶隱私保護尚缺完整的分析框架，《復旦大學金融消費者App用戶隱私保護分析框架》涵蓋了用戶使用App全流程中可能遇到的隱私保護問題，可作為監管部門與金融行業未來檢視金融消費者App用戶隱私保護的參考分析框架

　　本報告從保護金融消費者在網絡空間的合法權益，規范金融行業對消費者個人信息收集方式的角度出發，參考《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》、國信辦秘字〔2019〕191號和工信部信管函〔2020〕164號等法律法規，提出了復旦大學金融消費者App用戶隱私保護分析框架，以期對行業之后的隱私安全研究有所助力。

主要觀點與發現五

　　報告基于分析框架對保險行業App展開了用戶隱私保護問題的測試并分析總結出常見的15項問題

　　本報告發現保險公司App測試結果中存在15項問題，基于分析框架將測試結果分為兩類，如圖2所示：

　　一類與App隱私政策相關，按照隱私政策文本內容與用戶獲取隱私政策文本的難易程度再次細分；其中，隱私政策文本內容共有6項問題，用戶獲取隱私政策文本的難易程度共有3項問題。

　　一類與App申請權限相關，按照申請權限的條件要求和不同時間節點下申請權限的規定再次細分；其中申請權限的條件要求共有3項問題，不同時間節點下申請權限的規定要求共有3項問題。

（一）App 隱私政策相關問題

　　隱私政策相關問題可以分為兩部分內容：

　　1．根據分析框架下的隱私政策文本類，App隱私政策文本應該內容清晰完整，方便用戶閱讀和理解，如實披露相關信息，而大多App隱私政策內容都存在表述不規范的問題。共有以下6項問題：

　　問題一：App隱私政策文本未對個人信息進行顯著標識

　　問題二：App隱私政策文本未披露其發布、生效日期

　　問題三：App隱私政策文本未指明其對用戶個人信息操作的反饋時間

　　問題四：App隱私政策文本未列明各項業務功能收集的信息及權限

　　問題五：App隱私政策文本未說明Cookie等技術的使用機制

　　問題六：App隱私政策文本未披露第三方SDK相關信息

　　2．根據分析框架下的使用主體功能前的隱私政策文本類，本報告新增了用戶獲取隱私政策文本的難易程度問題。該問題主要是指用戶難以便捷、清晰地獲取隱私政策，小部分App存在此類問題，例如App在注冊登錄處可能并未展示隱私政策，App隱私政策難以閱讀、難以訪問等。共有以下3項問題：

　　問題七：App在注冊和登錄處未提供隱私政策或隱私政策強制用戶同意

　　問題八：App隱私政策內容未主動彈出

　　問題九：App隱私政策內容難以閱讀和訪問

　?。ǘ〢pp申請權限相關問題

　　申請權限相關問題可以分為兩部分內容：

　　1．根據分析框架下的使用主體功能中收集個人信息和申請用戶權限類，申請權限需要遵循提前告知原則和最小必要原則，且必須經過用戶授權。提前告知原則是指App收集個人信息時應該提前告知用戶使用原因，不得強制要求用戶同意。最小必要原則是指App收集個人信息需要在必要場景下進行，申請權限必須要和現有業務功能相關，不能超出實際業務需要。本次測試發現大部分App并未經過用戶同意便擅自調用相關函數收集用戶權限，主要集中在“設備信息搜集”和“定位服務”方面。共有以下3項問題：

　　問題十：App申請權限未說明使用原因

　　問題十一：App申請權限未在必要場景下

　　問題十二：App申請權限未獲得用戶授權

　　2．由于App收集用戶信息會貫穿整個App使用流程，無論在用戶同意隱私政策之前、之后還是App進入后臺運行時，用戶隱私均有可能受到侵犯。因此，根據分析框架下的使用主體功能中收集個人信息和申請用戶權限類，本報告新增了不同時間節點下申請權限的規定要求，利用測試工具，從系統底層監測不同時間節點下的App運行情況。本次測試發現部分App會在使用過程中頻繁收集設備信息，擅自使用設備剪貼板和傳感器，在后臺運行時仍會讀取設備信息等問題。本報告將App使用過程分為以下三個時間節點，根據不同時間節點下的政策規定分別闡述App使用過程中存在的問題。共有以下3項問題：

　　問題十三：用戶同意隱私政策之前App未按規定申請權限

　　問題十四：用戶同意隱私政策之后App未按規定申請權限

　　問題十五：App后臺運行時未按規定申請權限

主要觀點與發現六

　　保險行業個人信息密集，部分大型公司設置防火墻等機制，中小型公司使用小程序、公眾號等作為展業平臺，因此不包含在本次測試范圍內，但其涉及的用戶隱私保護問題同樣值得關注，并需要各方主體的共同維護

　　在現代市場經濟體制下，個人信息尤為重要。因為個人信息的收集與企業的客戶資源、業務規模和工作收入等都有緊密聯系。保險行業作為個人信息密集行業，其展業過程離不開對客戶個人信息的收集、使用、存儲、傳輸等環節。近期，保險行業個人信息泄漏亂象頻發，銀保監會在業內下發《關于開展銀行保險機構侵害個人信息權益亂象專項整治工作的通知》（以下簡稱《通知》），督促銀行保險機構建立健全消費者個人信息保護工作，完善個人信息收集、使用、存儲、傳輸、刪除等各環節的操作規范。

　　相比于一般的產品服務，保險公司 APP 收集的個人信息更為詳細。保險的目的是實現損失均攤，大量信息和數據的收集符合大數法則，有利于保險公司定價和展業，因此，在投保階段，用戶需要向保險公司提供詳細的個人信息，包括但不限于健康狀況、工作狀況和資產狀況等，這些敏感個人信息都需要更加周密的保護。

　　本報告進行App隱私測試過程中，由于部分大型公司自身的技術能力較強，設置了防火墻等機制，導致部分App的測試結果并未得到呈現；此外，中小型公司除了使用App作為自己的展業平臺外，還有大量公司選擇使用小程序、公眾號等，雖然小程序和公眾號等不在本報告的測試范圍內，但其涉及的用戶隱私保護問題同樣值得行業關注。此外，保險公司可能會在與第三方（如App開發外包公司、廣告類公司、分析服務類公司、供應商等）產生數據交互，從而可能造成第三方對隱私數據保護不到位，消費者隱私信息被不法分析利用，嚴重危害消費者合法權益。

來源：慧保天下