8月14日，廣東警方7月份監測發現490余款App存在違規行為，并對其中存在突出安全問題的44款App進行了曝光。據曝光情況顯示，立刷App存在讀取用戶通訊錄；允許發送短信、彩信；允許錄制音頻等超范圍收集用戶信息的情況，且沒有隱私政策。警方表示，有關監測情況已上報公安部通報屬地公安機關開展清理整治。

獲取12項隱私權限依舊可以下載

根據華為應用商店應用介紹，立刷App是一款融合收單工具，功能有信用卡、儲蓄卡收單；結算卡查詢余額；收單流水賬單等功能，共要求獲取包括讀取通訊錄、發送短信、撥打電話、錄制音頻等12項隱私權限。

根據警方通報12項權限中讀取聯系人、發送短信以及錄制音頻屬于超范圍收集用戶信息，違反了個人信息收集原則中的“最少夠用原則”和“目的明確原則”。在警方通報中，立刷App還缺少“隱私政策”，因此立刷App還違反了“透明公開原則”。

根據App治理工作組過去對類似違規App的通報，立刷App違反了《網絡安全法》第四十一條“網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意?！?/p>

而根據《網絡安全法》第六十四條，“違反本法第四十一條規定的，由有關主管部門責令改正，可以根據情節單處或者并處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款，沒有違法所得的，處一百萬元以下罰款，對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款；情節嚴重的，并可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照?！?/p>

據移動支付網了解，目前被警方通報的“立刷2.0.4”依舊可以在應用商店及嘉聯支付官方獲取下載，且在下載頁面可以查看到《嘉聯支付隱私權政策》。值得注意的是無論是嘉聯支付官網還是微博、微信公眾號都沒有對警方通報進行任何回應。

嘉聯支付成立于2009年，并在2018年4月被新國都技術股份有限公司以7.1億元人民幣收購，成為新國都旗下全資子公司。根據央行信息，嘉聯支付目前持有全國范圍銀行卡收單牌照，有效期至2022年6月。

復測：高風險項多達352項

在警方通告發布之后，移動支付網聯系了專業安全檢測機構對“立刷2.0.4”進行了安全復測。評測項目包括權限信息、行為信息、程序源文件安全、本地數據存儲安全在內的73個項目。評測依據為《公共及商用服務信息系統個人信息保護指南》、《移動智能終端個人信息保護技術要求》、《中國金融移動支付客戶端技術規范》、《中國金融移動支付應用安全規范》等8個要求規范。

“立刷2.0.4”在評測中共發現問題1963個，覆蓋73個評測項目中的41個項目，1963個問題中有352項為高風險項。

在“權限信息”評測中，“立刷2.0.4”共使用了36項權限，其中有11項權限風險級別為“危險”，這11項權限當中就包括直接撥打號碼、讀取聯系人數據和發送短信。

“建議性”規范支付類App何去何從？

今年1月，中央網信辦、工業和信息化部、公安部和國家市場監管總局在全國范圍內組織開展App違法違規收集使用個人信息專項治理工作，目前所有關于“App個人信息收集”發布的公告、處罰和法規辦法都是來源于該項治理工作。

從專項治理工作開展到現在，各部門已經陸續出臺了等級保護2.0、《移動互聯網應用基本業務功能必要信息規范》、《數據安全管理辦法（征求意見稿）》、《個人信息安全規范（草案）》等一系列文件。雖然絕大部分法規辦法還處于“征求意見”狀態，但是未來必然會正式實行。

日前，信安標委發布了《App收集個人信息基本規范（征求意見稿）》，在這份文件中明確規定了App收集個人信息規范的各項要點，更是提出了21項常用服務類型可收集的最少信息和最小權限范圍。

其中網絡支付類服務建議最小權限范圍僅有一項：存儲權限。而可收集最少信息也只有網絡日志、手機號碼、身份證件信息、客戶操作信息、交易信息、帳號信息、銀行賬戶信息和交易身份驗證信息，并不包括詳細地理位置、用戶通訊錄、短信、通訊記錄等信息。

雖然《App收集個人信息基本規范（征求意見稿）》中的最少信息和最小權限范圍屬于建議性規定，但是依舊可以看出，支付類App可以收集的個人信息和隱私權限必然會受到巨大的限制，并或許影響目前的業務運行，比如說風控業務和用戶精準畫像等等。

面對這樣的“建議性”規定，支付類App會如何選擇呢？是嚴格按照規定進行改進，還是有限度的修改？移動支付網將持續關注。

責任編輯：韓希宇