9月5日,广东警方公布8月超范围收集用户信息App监测情况,2019年8月份共监测发现250余款APP存在超范围收集用户信息行为,其中42款APP存在突出安全问题,国通星驿旗下“通付MPOS”App位列其中。警方表示,已将有关监测情况上报公安部通报属地公安机关开展清理整治。
申请35项权限 超范围收集用户信息
据移动支付网了解,“通付MPOS”App是福建国通星驿网络科技有限公司发布的一款快速支付工具。该App共申请了35项权限,其中包括:读取通话记录、发送短信、录制音频、修改系统设置等敏感权限。
其中,读取用户通讯录信息、收集用户位置信息、获取用户设备上已知账号列表三项权限被警方列为超范围收集用户信息。在警方通报中,“通付MPOS”App没有单独成文的隐私政策,未说明业务逻辑与权限关系,且未说明获取个人隐私的用途。
打开“通付MPOS”App确实只能看到“服务协议”没有“隐私政策”。没有隐私政策的行为,直接违反了《信息安全规范》“个人信息控制者应制定隐私政策,隐私政策应公开发布且易于访问,并逐一送达个人信息主体”的规定。
根据《网络安全法》第四十一条规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”
“通付MPOS”App未说明业务逻辑与权限关系,未说明获取个人隐私的用途的行为直接违反了该项条款。《网络安全法》第六十四条规定“违反本法第四十一条规定的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。”
截至发稿,“通付MPOS”App依旧可以正常下载被通报的4.6.2版本,且没有进行任何更新。国通星驿也并未对此事进行任何回应。
据悉,国通星驿成立于2010年6月8日,注册资本为1亿元人民币,实缴资本4000万元人民币。在2012年6月27日获得支付牌照,被央行准许在全国范围内开展银行卡收单业务,并于2017年6月27日顺利完成续展。
值得一提的是,在国通星驿获得支付牌照几年后,其便被新大陆收购。2016年5月26日,新大陆发出公告称公司以现金方式合计作价6.8亿元,通过直接和间接方式取得国通星驿100%股权。
国通星驿多次违规被罚
2019年7月29日,中国人民银行沈阳分行发布新罚单,国通星驿辽宁分公司因违反《非金融机构支付服务管理办法》和《银行卡收单业务管理办法》等相关规定被处以罚款人民币8万元。
除了此次被罚以外,国通星驿此前也被罚多次。
2017年10月23日,国通星驿河南分公司因未按规定履行客户身份识别义务、未按规定报送可疑交易报告、与身份不明的客户建立业务关系,被中国人民银行郑州中心支行罚款48万元,1名直接负责的高级管理人员被罚款5万元。
2017年11月14日,国通星驿山东分公司因违反支付结算业务规定,被中国人民银行济南分行罚款3万元。
2018年7月18日,国通星驿甘肃分公司因违反《银行卡收单管理办法》、《非金融机构支付服务管理办法》等相关规定,被中国人民银行兰州中心责令限期整改,给予警告,并处以3万元罚款。
2019年1月31日,国通星驿河北分公司因违反银行卡收单业务管理规定,被中国人民银行石家庄中心支行处以罚款人民币8万元。
2019年4月26日,国通星驿天津分公司因违反《银行卡收单业务管理办法》相关规定被中国人民银行天津分行责令限期整改,并处以罚款人民币8万元。
收集“用户位置信息”超范围吗?
在警方通报中,“通付MPOS”App收集用户位置信息属于超范围收集用户信息。上个月,在警方公布的问题App名单中,嘉联支付旗下“立刷2.0.4”也因为“收集用户位置信息”等问题被点名(详情见:警方点名!嘉联支付旗下立刷App违规!)。但是在嘉联支付随后的公告中却宣称:“收集用户位置信息是为严格落实人民银行85号文件中关于用户实名制及交易风险监管要求。”
今年3月,央行下发了《关于进一步加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》即85号文。文件第十四条明确要求:“收单机构应当对移动终端所处位置持续开展实时监测,并逐笔记录交易信息”。
“通付MPOS”和“立刷”等App是否符合85号文件中的“移动受理终端”呢?严格意义上,85号文中的“可移动的银行卡、条码支付受理终端”是指POS机,并不包括手机App。但是从功能上讲,装有类似App的手机确实具有收单能力,可以进行交易,应该按照85号文的规定实时收集位置信息。
如果按照85号文规定,“通付MPOS”和“立刷”App收集用户位置信息是有依据的,并没有违反《信息安全规范》。但是无论收集用户位置有没有依据,其没有公开、明示个人信息收集范围、用途的行为明确违反了《网络安全法》是不容置疑的事实。
未来,监管必然会加强对用户个人信息,特别是用户个人隐私信息的保护。监管趋严,金融支付类App又将何去何从?移动支付网将持续关注。
本期大会主要议题:
手机银行App个人信息和隐私保护的建议
个人金融信息(数据)保护解析
等保2.0时代对金融行业的影响及应对研究
金融App个人信息收集及安全管理要求
信息和数据安全 开放银行“命门”
支付机构个人账户信息安全管理措施
刷脸支付如何实现安全与便捷并重
刷脸支付安全机制及隐私保护
领取专属 10元无门槛券
私享最新 技术干货