保险 App 用户隐私与 保险 App 用户隐私与个人信息保护的若干隐患 个人信息保护的若干隐患复旦大学金融保险消费者权益保护报告系列目录 目录主要观点与发现研究背景复旦大学金融消费者 APP 用户隐私保护分析框架研究内容测试结果安全性建议总结一般声明04 0422 2227 2730 3033 3354 5457 5759 591 1表目录 表目录表 1 保险公司 APP 侵犯用户隐私保护问题一览表表 2 经纪公司 APP 侵犯用户隐私保护问题一览表表 3 参与惠民保的健康管理公司 APP 侵犯用户隐私保护问题一览表表 4 网络隐私安全部门规章、相关政策及规范性文件统计表 5 复旦大学金融消费者 APP 用户隐私保护分析框架表 6 未对个人信息进行显著标识的保险公司表 7 未披露隐私政策发布、生效日期的保险公司表 8 未指明用户个人信息操作反馈时间的保险公司表 9 未告知用户使用剪切板等功能及原因的保险公司表 10 未将收集的个人信息及权限逐条列出或有所遗漏的保险公司表 11 未说明 COOKIE 等技术的使用机制的保险公司表 12 未披露第三方 SDK 相关信息的保险公司表 13 未在注册或登录处提供隐私政策供用户确认的保险公司表 14 隐私政策强制用户同意的保险公司表 15 隐私政策内容未主动弹出的保险公司表 16 隐私政策内容不能正常展示的保险公司表 17 APP 内隐私政策清单位置隐藏过深的保险公司表 18 向用户申请权限时未说明收集原因的保险公司表 19 向用户申请权限未在必要场景下的保险公司 表 20 未获得用户授权便使用相关函数收集用户权限的保险公司表 21 在用户同意隐私政策之前使用设备剪切板的保险公司表 22 在用户同意隐私政策之前使用设备传感器的保险公司表 23 在用户同意隐私政策之前便向用户申请权限的保险公司表 24 在用户再次进入功能时重复收集设备信息保险公司表 25 在用户进入具体业务之前便开始申请权限的保险公司表 26 频繁跳出弹窗向用户申请权限的保险公司表 27 未经过用户同意便使用公共媒体库的保险公司表 28 在后台运行时会收集设备信息或运行环境信息的保险公司表 29 在后台运行时使用设备传感器的保险公司表 30 在后台运行时使用设备剪切板的保险公司0612132628343536383839404141424343444547494949505151515253532 2图目录 图目录图 1 复旦大学金融消费者 APP 用户隐私保护分析框架简介图 2 保险行业 APP 用户隐私保护 15 项问题分类图 3 目前国内保险行业 APP 应用现状1617323 3主要观点与发现 主要观点与发现随着数字化进程的加快，金融领域的个人隐私与个人信息安全隐患逐渐暴露。目前，国家法律法规对个人隐私保护的重视程度正在逐渐加强。本报告从积极引导金融行业重视消费者个人隐私保护，规范个人信息保护的角度出发，选取 52 家中国保险行业协会所发布的保险公司主要使用的 App、保险中介和部分参与惠民保业务健康管理公司的 App 作为测试样本，采用复旦大学金融消费者 App 用户隐私保护分析框架，检视我国当前保险 App 对用户隐私与消费者个人信息保护的现状与问题。本报告共有以下 6 大主要观点与发现：大学金融消费者 App 用户隐私保护分析框架，检视我国当前保险 App 对用户隐私与消费者个人信息保护的现状与问题。本报告共有以下 6 大主要观点与发现：主要观点与发现一：主要观点与发现一：保险公司 App 在用户隐私与信息保护方面存在诸 保险公司 App 在用户隐私与信息保护方面存在诸多不足，共性存在 15 大问题，部分头部保险公司 多不足，共性存在 15 大问题，部分头部保险公司同样存在相关问题 同样存在相关问题保险公司 App 触犯的用户主要隐私保护问题有 App 频繁使用剪切板、App 在获取用户同意前收集设备及环境信息、App 申请权限未说明原因或未在必要场景下、App 隐私政策文本对关键信息表述不清晰等。以上这些隐私保护问题大多为 App 在用户不知情的情况下采集了用户的设备信息，或频繁调用剪切板收集用户的个人敏感信息，显然这些都是不符合个人隐私保护政策的。保险公司的运营过程难免要与客户频繁交流并收集客户信息，作为个人信息密集行业，保险乃至金融行业都应取之有道，用之有度，时刻敲响客户个人信息保护的警钟。表 1 列出了本报告进行 App 隐私测试过程中完成全流程检测的保险公司 App 名称及其版本号，并举例列举相关 App 存在的用户隐私保护问题。“保险公司 App 触犯的用户主要隐私保护问题有 A p p频繁使用剪切板、App 在获取用户同意前收集设备及环境信息、App 申请权限未说明原因或未在必要场景下、App 隐私政策文本对关键信息表述不清晰等。5 5公司名称 App 名称（版本号）主要问题（部分举例）中国人寿财产保险股份有限公司 中国人寿财险(V3_2_3)App 频繁使用剪切板App 频繁收集个人敏感信息中国太平洋保险（集团）股份有限公司太平洋保险(V4_0_28)App 在后台收集设备及环境信息App 频繁使用设备传感器中国平安保险（集团）股份有限公司 好福利(V7_12_0)App 在获取用户同意前收集设备及环境信息平安保险商城(V2_15_2)App 进入具体业务前频繁申请权限App 在后台使用剪切板App 频繁收集个人敏感信息平安金管家(V8_09_01)App 在获取用户同意前收集设备及环境信息App 在后台收集设备及环境信息App 频繁收集个人敏感信息中国人民保险集团股份有限公司 中国人保(V6_9_2)App 在注册登录处未明示客户进行隐私政策确认App 在后台使用剪切板App 在后台收集设备及环境信息App 频繁收集个人敏感信息新华人寿保险股份有限公司 掌上新华(V6_0_17)App 隐私政策文本对关键信息表述不清晰App 在获取用户同意前收集设备及环境信息App 在申请相关权限之前调用相关函数对外的 HTTP 数据含有敏感字段表 1 保险公司 App 侵犯用户隐私保护问题一览表6 6公司名称 App 名称（版本号）主要问题（部分举例）泰康在线财产保险股份有限公司 泰康在线(V5_7_8)App 在获取用户同意前手机设备及环境信息App 在申请相关权限之前使用相关功能收集信息App 在后台收集设备及环境信息App 频繁收集个人敏感信息中国大地财产保险股份有限公司 中国大地超 A(V2_2_13)App 申请权限未说明原因或未在必要场景下App 在获取用户同意前收集设备及环境信息App 频繁收集个人敏感信息中邮人寿保险股份有限公司 中邮保险(V1_1_5)App 隐私政策文本对关键信息表述不清晰App 在获取用户同意前收集设备及环境信息App 在后台收集设备及环境信息App 频繁收集个人敏感信息交银人寿保险有限公司 交银人寿(V7_1_8)App 隐私政策文本对关键信息表述不清晰App 申请权限未说明原因或未在必要场景下App 在获取用户同意前收集设备及环境信息App 在获取用户同意前使用剪切板京东安联财产保险有限公司 京东金融(V6_2_80)App 在获取用户同意前收集设备及环境信息App 在后台收集设备及环境信息对外的 HTTP 数据含有敏感字段App 频繁收集个人敏感信息7 7公司名称 App 名称（版本号）主要问题（部分举例）众安在线财产保险股份有限公司 众安保险(V3_9_5)App 在注册登录处未明示客户进行隐私政策确认App 申请权限未说明原因或未在必要场景下App 在获取用户同意前收集设备及环境信息App 在申请相关权限之前调用相关函数农银人寿保险股份有限公司 农银人寿(V2_0_3)用户拒绝相关申请后 App 仍频繁申请权限App 申请权限未说明原因或未在必要场景下App 频繁收集个人敏感信息国华人寿保险股份有限公司 国华人寿 v1(V3_0_6)App 隐私政策文本对关键信息表述不清晰App 申请权限未说明原因或未在必要场景下App 在获取用户同意前使用剪切板App 在后台收集设备及环境信息财信吉祥人寿保险股份有限公司 吉意保(a_1_0_0_14)App 首次启动时未弹出隐私政策App 隐私政策文本对关键信息表述不清晰App 申请权限未说明原因或未在必要场景下用户拒绝相关申请后 App 仍频繁申请权限同方全球人寿保险有限公司 同方全球人寿(V6_2_0)App 首次启动时未弹出隐私政策App 隐私政策文本对关键信息表述不清晰App 在申请相关权限之前使用相关功能收集信息App 隐私政策强制用户同意8 8公司名称 App 名称（版本号）主要问题（部分举例）工银安盛人寿保险有限公司 工银安盛(V1_9_44)App 在获取用户同意前收集设备及环境信息App 在申请相关权限之前调用相关函数App 频繁收集个人敏感信息东吴人寿保险股份有限公司 东吴人寿(V1_0_13)App 隐私政策文本对关键信息表述不清晰App 在后台收集设备及环境信息华安财产保险股份有限公司 华安保险(V1_1_19)App 隐私政策文本对关键信息表述不清晰App 在注册登录处未明示客户进行隐私政策确认App 在申请相关权限之前调用相关函数建信财产保险有限公司 建信财险(V1_3_0)App 隐私政策文本对关键信息表述不清晰App 申请权限未说明原因或未在必要场景下App 在获取用户同意前收集设备及环境信息恒安标准人寿保险有限公司 恒安 e 家(V1_1_9)App 隐私政策文本对关键信息表述不清晰App 在用户同意隐私政策之前申请权限App 申请权限未说明原因或未在必要场景下App 频繁收集个人敏感信息招商局仁和人寿保险股份有限公司 招商仁和人寿(V2_8_1)App 隐私政策文本对关键信息表述不清晰App 申请权限未说明原因或未在必要场景下App 在获取用户同意前收集设备及环境信息9 9公司名称 App 名称（版本号）主要问题（部分举例）富德生命人寿保险股份有限公司 E 动生命(V6_1_88)App 隐私政策文本对关键信息表述不清晰App 申请权限未说明原因或未在必要场景下App 在申请相关权限之前调用相关函数汇丰保险集团（亚太）有限公司 汇丰汇选(V2_3_0)App 隐私政策文本对关键信息表述不清晰App 在获取用户同意前收集设备及环境信息App 频繁收集个人敏感信息爱心人寿保险股份有限公司 爱心云健康(V1_0_0)App 首次启动时未弹出隐私政策App 隐私政策文本对关键信息表述不清晰App 申请权限未说明原因或未在必要场景下App 频繁收集个人敏感信息紫金财产保险股份有限公司 掌上紫金(V3_8_1)App 隐私政策文本对关键信息表述不清晰用户拒绝相关申请后 App 仍频繁申请权限App 申请权限未说明原因或在必要场景下融盛财产保险股份有限公司 融盛一账通(V1_3_1)App 隐私政策文本对关键信息表述不清晰App 在用户进入相关功能之前申请权限App 申请权限未说明原因或未在必要场景下华贵人寿保险有限公司 贵保管家(V1_1_19_1)App 广告弹窗无法关闭或过小隐蔽App 在用户进入相关功能之前申请权限App 在获取用户同意前收集设备及环境信息10 10主要观点与发现二：主要观点与发现二：除保险公司外，保险经纪公司与参与城市定制型商 除保险公司外，保险经纪公司与参与城市定制型商业医疗保险（惠民保）的健康管理公司同样存在类 业医疗保险（惠民保）的健康管理公司同样存在类似的 App 用户隐私保护问题 似的 App 用户隐私保护问题在 App 用户隐私测试过程中，保险公司 App 中频繁出现的用户隐私保护问题，比如 App 频繁使用剪切板、App 隐私政策文本对关键信息表述不清晰等也出现在测试的保险经纪公司和参与城市定制型商业医疗保险，即惠民保业务的健康管理公司的 App 中。可见，保险行业不同的运行主体间具有相似的 App 隐私保护问题，行业整体的个人消费者隐私保护意识均有待加强。表 2 和表 3 列出了本次 App 隐私测试的经纪公司以及参与惠民保的若干健康管理公司的主要隐私保护问题。“如 A p p 频繁使用剪切板、App 隐私政策文本对关键信息表述不清晰等也出现在惠民保业务的健康管理公司的 App 中。11 11公司名称 App 名称（版本号）主要问题中民保险经纪股份有限公司 中民网(V4_8_5)App 隐私政策文本对关键信息表述不清晰向日葵保险经纪有限公司 咔咔有单(V5_12_0)App 隐私政策文本对关键信息表述不清晰App 申请权限未说明原因或在必要场景下心有灵犀保险代理有限公司 喂小保(V1_4_8)App 隐私政策文本对关键信息表述不清晰App 隐私政策文本不符合相关要求 慧择保险经纪有限公司 慧择保险经纪(V7_1_6)App 在获取用户同意前收集设备及环境信息App 在后台收集设备及环境信息App 频繁收集个人敏感信息新一站保险代理股份有限公司 新一站(V5_35_0)App 在获取用户同意前收集设备及环境信息App 在获取用户同意前使用剪切板App 在申请相关权限之前调用相关函数明亚保险经纪股份有限公司 明亚经纪(V1_9_7)App 隐私政策文本对关键信息表述不清晰App 隐私政策文本不符合相关要求水滴保险经纪有限公司 水滴保(V3_2_8)App 在获取用户同意前收集设备及环境信息App 在获取用户同意前使用剪切板App 在申请相关权限之前调用相关函数白鸽宝保险经纪有限公司 白鸽乐保(V8_6_0)App 隐私政策文本对关键信息表述不清晰帮帮保险销售有限公司 神奇保(V2_9_7)App 隐私政策文本对关键信息表述不清晰App 在获取用户同意前收集设备及环境信息App 在获取用户同意前使用设备传感器英大长安保险经纪有限公司 英大长安(V1_1_14)App 隐私政策文本对关键信息表述不清晰App 申请权限未说明原因或在必要场景下App 在获取用户同意前收集设备及环境信息表 2 经纪公司 App 侵犯用户隐私保护问题一览表12 12公司名称 App 名称（版本号）主要问题北京京东健康有限公司 京东健康(V3_1_6)App 在获取用户同意前收集设备及环境信息App 在获取用户同意前使用剪切板北京因数健康科技有限公司 因数健康(V2_9_0)App 隐私政策文本对关键信息表述不清晰App 隐私政策文本不符合相关要求App 在获取用户同意前收集设备及环境信息上海复星健康科技（集团）有限公司 复星健康(V5_9_8)App 隐私政策文本对关键信息表述不清晰App 在获取用户同意前收集设备及环境信息App 在获取用户同意前使用剪切板北京妙医佳健康科技集团有限公司 妙健康(V5_5_9)App 隐私政策文本对关键信息表述不清晰App 在获取用户同意前收集设备及环境信息平安健康互联网股份有限公司 平安健康(V8_13_1)App 在获取用户同意前收集设备及环境信息攀枝花长果智慧康养科技有限公司 康养护照(V2_2_8)App 隐私政策文本对关键信息表述不清晰App 隐私政策文本不符合相关要求四川微家健康管理有限公司 微家健康(V1_3_2)App 首次启动时未弹出隐私政策 App 隐私政策文本对关键信息表述不清晰App 的隐私政策强制用户同意 杭州康明信息技术有限公司 智云健康(V6_10_1)App 隐私政策文本对关键信息表述不清晰App 在获取用户同意前收集设备及环境信息广州市新橙快诊医疗科技有限公司 社区 580(V4_12_10)App 隐私政策文本对关键信息表述不清晰App 在用户进入相关功能之前申请权限用户拒绝相关申请后 App 仍频繁申请权限表 3 参与惠民保的健康管理公司 App 侵犯用户隐私保护问题一览表13 13公司名称 App 名称（版本号）主要问题上海趣医网络科技有限公司 趣医院(V2_8_06)App 在注册登录处未明示客户进行隐私政策确认 App 内隐私政策清单位置隐藏过深App 申请权限未说明原因或在必要场景下零氪科技（北京）有限公司 邻客医生(V9_4_7)App 在获取用户同意前收集设备及环境信息App 在申请相关权限之前调用相关函数14 14主要观点与发现三：主要观点与发现三：中小型保险公司相比头部保险公司的消费者隐私保 中小型保险公司相比头部保险公司的消费者隐私保护问题更加突出，寿险公司相比财险公司暴露的隐 护问题更加突出，寿险公司相比财险公司暴露的隐私保护问题更多 私保护问题更多相比大公司，中小型公司暴露出的消费者隐私保护问题更多。考虑到公司综合实力、保费规模等因素，我们将人保、人寿、太平、太保、平安、泰康及新华保险（老七家）定义为头部公司。测试结果显示，头部公司暴露出的隐私保护问题平均约 6 项，其他公司暴露出的隐私保护问题平均约为 9 项，远高于头部公司。相比财险公司，寿险公司暴露出的隐私保护问题更多。此外，健康管理公司和保险经纪公司也存在一定的隐私保护问题。我们还发现，测试样本中，寿险公司暴露出的隐私保护问题略高于财险公司：寿险公司暴露出的隐私保护问题平均约 10 项，财险公司暴露出的隐私保护问题平均约 9 项。“小型公司暴露出的消费者隐私保护问题更多。头部公司暴露出的隐私保护问题平均约 6 项，其他公司平均约为 9 项。相比财险公司，寿险公司暴露出更多隐私保护问题。此外，健康管理公司和保险经纪公司也存在一定的隐私保护问题。寿险公司暴露出的隐私保护问题平均约10 项，财险公司平均约 9 项。15 15主要观点与发现四：主要观点与发现四：目前我国金融消费者 App 用户隐私保护尚缺完整 目前我国金融消费者 App 用户隐私保护尚缺完整的分析框架，复旦大学金融消费者 App 用户隐 的分析框架，复旦大学金融消费者 App 用户隐私保护分析框架涵盖了用户使用 App 全流程中 私保护分析框架涵盖了用户使用 App 全流程中可能遇到的隐私保护问题，可作为监管部门与金融 可能遇到的隐私保护问题，可作为监管部门与金融行业未来检视金融消费者 App 用户隐私保护的参 行业未来检视金融消费者 App 用户隐私保护的参考分析框架 考分析框架本报告从保护金融消费者在网络空间的合法权益，规范金融行业对消费者个人信息收集方式的角度出发，参考中华人民共和国数据安全法、中华人民共和国个人信息保护法、国信办秘字2019191 号和工信部信管函2020164 号等法律法规，提出了复旦大学金融消费者 App 用户隐私保护分析框架，以期对行业之后的隐私安全研究有所助力。图 1 列出了分析框架的主要分析流程，详细内容请参考本报告的第二部分。“本报告提出了复旦大学金融消费者 App 用户隐私保护分析框架。图 1 复旦大学金融消费者 App 用户隐私保护分析框架简介使用主体功能前 使用主体功能中 用户退出注销和维权服务16 16主要观点与发现五：主要观点与发现五：报告基于分析框架对保险行业 App 展开了用户隐 报告基于分析框架对保险行业 App 展开了用户隐私保护问题的测试并分析总结出常见的 15 项问题 私保护问题的测试并分析总结出常见的 15 项问题本报告发现保险公司 App 测试结果中存在 15 项问题，基于分析框架将测试结果分为两类，如图 2 所示：一类与 App 隐私政策相关，按照隐私政策文本内容与用户获取隐私政策文本的难易程度再次细分；其中，隐私政策文本内容共有 6 项问题，用户获取隐私政策文本的难易程度共有 3 项问题。一类与 App 申请权限相关，按照申请权限的条件要求和不同时间节点下申请权限的规定再次细分；其中申请权限的条件要求共有 3 项问题，不同时间节点下申请权限的规定要求共有 3 项问题。“保险公司 App 测试结果中存在 15 项问题，分为两类。图 2 保险行业 App 用户隐私保护 15 项问题分类申请权限的条件要求（3 项问题）不同时间节点下申请权限的条件要求（3 项问题）APP 隐私政策内容文本表述不规范（6 项问题）用户获取隐私政策文本的难易程度（3 项问题）15 项问题 15 项问题17 17隐私政策相关问题可以分为两部分内容：1.根据分析框架下的隐私政策文本类，App 隐私政策文本应该内容清晰完整，方便用户阅读和理解，如实披露相关信息，而大多 App隐私政策内容都存在表述不规范的问题。共有以下 6 项问题：问题一：App 隐私政策文本未对个人信息进行显著标识问题二：App 隐私政策文本未披露其发布、生效日期问题三：App 隐私政策文本未指明其对用户个人信息操作的反馈时间问题四：App 隐私政策文本未列明各项业务功能收集的信息及权限问题五：App 隐私政策文本未说明 Cookie 等技术的使用机制问题六：App 隐私政策文本未披露第三方 SDK 相关信息2.根据分析框架下的使用主体功能前的隐私政策文本类，本报告新增了用户获取隐私政策文本的难易程度问题。该问题主要是指用户难以便捷、清晰地获取隐私政策，小部分 App 存在此类问题，例如 App 在注册登录处可能并未展示隐私政策，App 隐私政策难以阅读、难以访问等。共有以下 3 项问题：问题七：App 在注册和登录处未提供隐私政策或隐私政策强制用户同意问题八：App 隐私政策内容未主动弹出问题九：App 隐私政策内容难以阅读和访问保险公司 App 测试结果中存在 15 项问题，分为两类。（一）App 隐私政策相关问题18 18申请权限相关问题可以分为两部分内容：1.根据分析框架下的使用主体功能中收集个人信息和申请用户权限类，申请权限需要遵循提前告知原则和最小必要原则，且必须经过用户授权。提前告知原则是指 App 收集个人信息时应该提前告知用户使用原因，不得强制要求用户同意。最小必要原则是指 App收集个人信息需要在必要场景下进行，申请权限必须要和现有业务功能相关，不能超出实际业务需要。本次测试发现大部分 App 并未经过用户同意便擅自调用相关函数收集用户权限，主要集中在“设备信息搜集”和“定位服务”方面。共有以下 3 项问题：问题十：App 申请权限未说明使用原因问题十一：App 申请权限未在必要场景下问题十二：App 申请权限未获得用户授权2.由于 App 收集用户信息会贯穿整个 App 使用流程，无论在用户同意隐私政策之前、之后还是 App 进入后台运行时，用户隐私均有可能受到侵犯。因此，根据分析框架下的使用主体功能中收集个人信息和申请用户权限类，本报告新增了不同时间节点下申请权限的规定要求，利用测试工具，从系统底层监测不同时间节点下的App 运行情况。本次测试发现部分 App 会在使用过程中频繁收集设备信息，擅自使用设备剪贴板和传感器，在后台运行时仍会读取设备信息等问题。本报告将 App 使用过程分为以下三个时间节点，根据不同时间节点下的政策规定分别阐述 App 使用过程中存在的问题。共有以下 3 项问题：问题十三：用户同意隐私政策之前 App 未按规定申请权限问题十四：用户同意隐私政策之后 App 未按规定申请权限问题十五：App 后台运行时未按规定申请权限申请权限需要遵循提前告知原则和最小必要原则，且必须经过用户授权。（二）App 申请权限相关问题19 19主要观点与发现六：主要观点与发现六：保险行业个人信息密集，部分大型公司设置防火墙 保险行业个人信息密集，部分大型公司设置防火墙等机制，中小型公司使用小程序、公众号等作为展 等机制，中小型公司使用小程序、公众号等作为展业平台，因此不包含在本次测试范围内，但其涉及 业平台，因此不包含在本次测试范围内，但其涉及的用户隐私保护问题同样值得关注，并需要各方主 的用户隐私保护问题同样值得关注，并需要各方主体的共同维护 体的共同维护在现代市场经济体制下，个人信息尤为重要。因为个人信息的收集与企业的客户资源、业务规模和工作收入等都有紧密联系。保险行业作为个人信息密集行业，其展业过程离不开对客户个人信息的收集、使用、存储、传输等环节。近期，保险行业个人信息泄漏乱象频发，银保监会在业内下发关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知（以下简称通知），督促银行保险机构建立健全消费者个人信息保护工作，完善个人信息收集、使用、存储、传输、删除等各环节的操作规范。相比于一般的产品服务，保险公司 APP 收集的个人信息更为详细。保险的目的是实现损失均摊，大量信息和数据的收集符合大数法则，有利于保险公司定价和展业，因此，在投保阶段，用户需要向保险公司提供详细的个人信息，包括但不限于健康状况、工作状况和资产状况等，这些敏感个人信息都需要更加周密的保护。“20 20保险行业作为个人信息密集行业，其展业过程离不开对客户个人信息的收集、使用、存储、传输等环节。本报告进行 App 隐私测试过程中，由于部分大型公司自身的技术能力较强，设置了防火墙等机制，导致部分 App 的测试结果并未得到呈现；此外，中小型公司除了使用 App 作为自己的展业平台外，还有大量公司选择使用小程序、公众号等，虽然小程序和公众号等不在本报告的测试范围内，但其涉及的用户隐私保护问题同样值得行业关注。此外，保险公司可能会在与第三方（如 App 开发外包公司、广告类公司、分析服务类公司、供应商等）产生数据交互，从而可能造成第三方对隐私数据保护不到位，消费者隐私信息被不法分析利用，严重危害消费者合法权益。本报告所发现的问题是基于保险公司特定的 App 版本进行测试，所呈现出的问题也是相关的 App 在用户隐私保护与个人信息采集上客观存在的问题，本报告旨在如实地呈现测试结果，并不代表相关机构存在故意或恶意采集 App 用户个人信息行为及侵犯消费者隐私。消费者隐私保护问题需要监管、行业、科技公司和消费者来共同维护。监管部门的政策法规支持可以约束行业侵犯消费者隐私的行为，督促行业逐步实现高度自律；保险公司对消费者权益保护和注重数据管理有利于行业转型与高质量发展；科技公司的技术支持和消费者自我隐私保护意识的提升可以助力行业早日实现全方位的隐私保护，共同构建消费者隐私保护的良好生态。虽然小程序和公众号等不在本报告的测试范围内，但其涉及的用户隐私保护问题同样值得行业关注。本报告旨在如实地呈现测试结果，并不代表相关机构存在故意或恶意采集 App用户个人信息行为及侵犯消费者隐私。21 21研究背景 研究背景科技与金融领域的融合不可避免地导致侵犯金融消费者权益的事件频发。国家法律法规高度重视个人隐私保护当下，数字技术革命正在给经济社会带来变革，不断地推动金融产业向数字化、智能化转型。国务院印发的“十四五”数字经济发展规划中指出，2025 年，数字经济将迈向全面扩展期，数字经济核心产业增加值占 GDP 比重达到 10%，软件和信息技术服务业规模达 14 万亿元。一方面，科技可以扩大金融行业的市场准入，提供更大范围和更加便利的产品；另一方面，金融行业也可以领先地捕获、运用最新的技术。数字技术和金融行业的融合方兴未艾，各类金融 App 在人们日常生活中的应用是最典型的写照。然而，这两者的融合也不可避免地导致侵犯金融消费者权益的事件频发，给保护金融消费者权益带来了一些困难。以移动端 App 为例，有以下违规收集数据的常见方式手段：1.强制频繁索取权限，先注册再使用大部分 App 下载完成打开后的第一个操作是进行系统权限的申请，包括但不限于访问相机、访问地址、申请存储权限、访问通讯录、访问相册等。打开后第一个界面往往是登录界面，新用户必须要先注册成功登录后才能访问功能界面。2.读取用户通讯录，进行恶意骚扰App 可以通过后台的方式，在未经用户同意时读取通讯录信息，在能够与消费者有效联系的情况下，通过短信恶意骚扰通讯录联系人。科技与金融领域的融合不可避免地导致侵犯金融消费者权益的事件频发。（一）金融领域在数字化过程中的隐私安全隐患23 233.将商品、服务的展示浏览功能与用户协议捆绑App 要求消费者默认同意接受平台收集处理消费者的设备信息、服务日志信息、浏览搜索记录等信息，以便其通过消费记录和习惯，向消费者进行有针对性的个性化商品展示。4.增加用户阅读障碍，阻碍用户阅读隐私条款App 用户协议或使用规则的介绍内容晦涩难懂，使用户难以理解，或使用大量专业术语，或冗长繁琐长达几页或十几页为浏览阅读增加障碍，使得用户无法仔细查看而授权。5.实际收集的个人信息或收集权限超出用户授权范围App 虽然已经征得用户个人信息收集使用的权限，但实际收集的个人信息类型、数量或者打开的可收集个人信息权限超出用户隐私所规定的个人信息权限范畴。24 2423 23国家法律法规高度重视个人隐私保护，出台了多项政策。以中华人民共和国网络安全法、中华人民共和国数据安全法、中华人民共和国个人信息保护法为基础，个人隐私保护规范体系正逐步完善。2017 年，中华人民共和国网络安全法正式实施，规范了在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理为保障网络安全，保护公民合法权益提供准确依据；2021 年，中华人民共和国数据安全法正式实施，通过对 App 开发使用的数据处理活动进行规范和监管，保障数据安全，促进数据开发利用，保护个人、组织的合法权益；同年，中华人民共和国个人信息保护法正式实施，这是我国第一部有关个人信息隐私保护的法律，其中对于个人网络信息隐私保护的规定，为公司研发 App 的隐私条款提供重要法律规范。表 4 为国家近年来出台的网络隐私安全相关的部门规章、政策与规范性文件。2 0 1 7 年，中华人民共和国网络安全法正式实施。2 0 2 1 年，中华人民共和国数据安全法正式实施。同年，中华人民共和国个人信息保护法正式实施。（二）国家法律法规高度重视个人隐私保护25 25法规名称 发布部门 实施时间部门规章电信和互联网用户个人信息保护规定（工信部第 24 号令）中华人民共和国工业和信息化部2013 年 7 月儿童个人信息网络保护规定（国家互联网信息办公室令第 4 号）国家互联网信息办公室 2019 年 8 月网络安全审查办法（国家互联网信息办公室、中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局令第 8 号）国家互联网信息办公室 2021 年 12 月互联网信息服务算法推荐管理规定（国家互联网信息办公室、中华人民共和国工业和信息化部、中华人民共和国公安部、国家市场监督管理总局令第 9 号）国家互联网信息办公室 2021 年 12 月政策&规范性文件App 违法违规收集使用个人信息行为认定方法（国信办秘字2019191 号）国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、国家市场监督管理总局办公厅2019 年 12 月常见类型移动互联网应用程序必要个人信息范围规定（国信办秘字202114 号）国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、国家市场监督管理总局办公厅2021 年 3 月表 4 网络隐私安全部门规章、相关政策及规范性文件统计26 2625 25复旦大学金融消费者 App 复旦大学金融消费者 App用户隐私保护分析框架 用户隐私保护分析框架近年来，我国陆续出台了中华人民共和国个人信息保护法中华人民共和国网络安全法中华人民共和国数据安全法和关键信息基础设施安全保护条例等网络安全法律法规，网络安全法治基础不断夯实。同时，“净网”专项行动也在不断推进，专项治理 App 违法违规收集使用个人信息，严厉打击网络黑客、电信网络诈骗等违法犯罪行为，全力维护人民群众在网络空间的合法权益。在此背景下，复旦大学依托大数据研究院内生安全研究所、网络与数字安全保险研究所、风险管理与保险学系和中国保险与社会安全研究中心等跨学科团队，从保护金融消费者在网络空间的合法权益，规范金融行业对消费者个人信息收集方式的角度出发，参考中华人民共和国个人信息保护法、国信办秘字 2019 191 号和工信部信管函 2020 164 号文件等法律法规，制定了 复旦大学金融消费者 App 用户隐私保护分析框架。具体分析框架如表 5 所示：个人信息收集方式的角度出发，参考中华人民共和国个人信息保护法、国信办秘字 2019 191 号和工信部信管函 2020 164 号文件等法律法规，制定了 复旦大学金融消费者 App 用户隐私保护分析框架。具体分析框架如表 5 所示：表 5 复旦大学金融消费者 App 用户隐私保护分析框架使用主体功能前隐私政策文本类App 是否披露相关隐私政策并明确说明收集使用个人信息的规则App 隐私政策关于收集使用规则的阅读友好度App 首次运行时是否通过显著方式提醒用户阅读隐私政策等收集使用规则进入 App 界面后，隐私政策等收集使用规则是否难以访问用户先前同意的个人信息收集规则发生变化时，是否以适当方式通知用户其他 App 是否以默认选择同意隐私政策等非明示方式征求用户同意欺骗误导用户下载 App使用主体功能中收集个人信息和申请用户权限类在申请收集个人信息的权限以及收集个人敏感信息时，是否同步告知用户目的App 是否未经用户同意就开始收集个人信息或打开可收集个人信息的权限用户明确表示不同意后，App 是否仍收集个人信息或打开可收集个人信息的权限，或频繁征求用户同意、干扰用户正常使用实际收集的个人信息或打开的可收集个人信息权限是否超出用户授权范围App 是否未经用户同意更改其设置的可收集个人信息权限状态App 是否以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限App 是否有向用户提供撤回同意收集个人信息的途径、方式收集的个人信息类型或打开的可收集个人信息权限是否与现有业务功能无关App 是否因用户不同意收集非必要个人信息或打开非必要权限而拒绝提供业务功能在用户同意 App 的权限申请后，App 是否在后台频繁获取敏感权限，包括通过后台访问传感器、剪切板等。第三方信息披露类App 是否未经用户同意且未做匿名化处理，通过客户端直接向第三方提供个人信息App 是否未经用户同意且未做匿名化处理，在数据传输至后台服务器后向第三方提供个人信息App 接入第三方应用，未经用户同意，向第三方应用提供个人信息 其他 App 是否利用用户个人信息和算法强制用户使用定向推送功能App 频繁自启动和关联启动28 28复旦大学金融消费者 App 用户隐私保护分析框架（以下简称“分析框架”）涵盖了用户使用 App 的各个流程中可能遇到的大部分隐私保护问题。除了从问题发现的角度进行 App 的用户隐私保护问题分析，本分析框架同时建议可以收集合规 App，与问题 App进行对照更能提升分析效率与准确度。本报告基于以上分析框架，设计了测试流程对保险行业 App 展开了消费者隐私保护问题的测试与分析。虽然实际测试流程的具体步骤与分析框架不完全一致，但是分析框架所列的问题要点完全覆盖了整个测试流程。用户退出注销和维权服务更改、删除个人信息类App 是否提供有效的更正、删除个人信息及注销用户账号功能App 是否有为更正、删除个人信息或注销用户账号设置不必要或不合理条件App 在满足前项条件前提下，是否及时响应用户相应操作（承诺时限不得超过 15 个工作日，无承诺时限的，以 15 个工作日为限）更正、删除个人信息或注销用户账号等用户操作执行完毕后，App 后台是否出现未完成的情况投诉渠道类App 是否建立并公布个人信息安全投诉、举报渠道29 29研究内容 研究内容App 在给消费者带来便利的同时，也无法避免信息泄露的问题：以保险公司为例。保险公司可能会不当搜集客户信息，买卖或发送给第三方（如广告类公司、分析服务类公司、供应商等），从而导致第三方对隐私数据保护不到位，消费者隐私信息被不法分析利用，严重危害消费者合法权益。同时，也会使消费者对保险公司信任度下降，影响消费者的保险消费意向。因此，我们根据上述分析框架针对保险 App 进行测试分析。因此，我们根据上述分析框架针对保险 App 进行测