保险App用户隐私与个人信息保护的若干隐患

保险App用户隐私与 个人信息保护的若干隐患 复旦大学金融保险消费者权益保护报告系列 04 主要观点与发现 22 研究背景 27 复旦大学金融消费者APP用户隐私保护分析框架 30 研究内容 33 测试结果 54 安全性建议 57 总结 59 一般声明 目录 表目录 06表1保险公司APP侵犯用户隐私保护问题一览表 12表2经纪公司APP侵犯用户隐私保护问题一览表 13表3参与惠民保的健康管理公司APP侵犯用户隐私保护问题一览表 26表4网络隐私安全部门规章、相关政策及规范性文件统计 28表5复旦大学金融消费者APP用户隐私保护分析框架 34表6未对个人信息进行显著标识的保险公司 35表7未披露隐私政策发布、生效日期的保险公司 36表8未指明用户个人信息操作反馈时间的保险公司 38表9未告知用户使用剪切板等功能及原因的保险公司 38表10未将收集的个人信息及权限逐条列出或有所遗漏的保险公司 39表11未说明COOKIE等技术的使用机制的保险公司 40表12未披露第三方SDK相关信息的保险公司 41表13未在注册或登录处提供隐私政策供用户确认的保险公司 41表14隐私政策强制用户同意的保险公司 42表15隐私政策内容未主动弹出的保险公司 43表16隐私政策内容不能正常展示的保险公司 43表17APP内隐私政策清单位置隐藏过深的保险公司 44表18向用户申请权限时未说明收集原因的保险公司 45表19向用户申请权限未在必要场景下的保险公司 47表20未获得用户授权便使用相关函数收集用户权限的保险公司 49表21在用户同意隐私政策之前使用设备剪切板的保险公司 49表22在用户同意隐私政策之前使用设备传感器的保险公司 49表23在用户同意隐私政策之前便向用户申请权限的保险公司 50表24在用户再次进入功能时重复收集设备信息保险公司 51表25在用户进入具体业务之前便开始申请权限的保险公司 51表26频繁跳出弹窗向用户申请权限的保险公司 51表27未经过用户同意便使用公共媒体库的保险公司 52表28在后台运行时会收集设备信息或运行环境信息的保险公司 53表29在后台运行时使用设备传感器的保险公司 53表30在后台运行时使用设备剪切板的保险公司 图目录 16图1复旦大学金融消费者APP用户隐私保护分析框架简介 17图2保险行业APP用户隐私保护15项问题分类 32图3目前国内保险行业APP应用现状 主要观点与发现 随着数字化进程的加快，金融领域的个人隐私与个人信息安全隐患逐渐暴露。目前，国家法律法规对个人隐私保护的重视程度正在逐渐加强。本报告从积极引导金融行业重视消费者个人隐私保护，规范个人信息保护的角度出发，选取52家中国保险行业协会所发布的保险公司主要使用的App、保险中介和部分参与惠民保业务健康管理公司的App作为测试样本，采用复旦大学金融消费者App用户隐私保护分析框架，检视我国当前保险App对用户隐私与消费者个人信息保护的现状与问题。本报告共有以下6大主要观点与发现： “主要观点与发现一： 保险公司App在用户隐私与信息保护方面存在诸 多不足，共性存在15大问题，部分头部保险公司同样存在相关问题 保险公司App触犯的用户主要隐私保护问题有App频繁使用剪切板、App在获取用户同意前收集设备及环境信息、App申请权限未说明原因或未在必要场景下、App隐私政策文本对关键信息表述不清晰等。 保险公司App触犯的用户主要隐私保护问题有App频繁使用剪切板、App在获取用户同意前收集设备及环境信息、App申请权限未说明原因或未在必要场景下、App隐私政策文本对关键信息表述不清晰等。以上这些隐私保护问题大多为App在用户不知情的情况下采集了用户的设备信息，或频繁调用剪切板收集用户的个人敏感信息，显然这些都是不符合个人隐私保护政策的。保险公司的运营过程难免要与客户频繁交流并收集客户信息，作为个人信息密集行业，保险乃至金融行业都应取之有道，用之有度，时刻敲响客户个人信息保护的警钟。表1列出了本报告进行App隐私测试过程中完成全流程检测的保险公司App名称及其版本号，并举例列举相关App存在的用户隐私保护问题。 表1保险公司App侵犯用户隐私保护问题一览表 公司名称 App名称（版本号） 主要问题（部分举例） 中国人寿保险股份有限公司 中国人寿财险(V3_2_3) App频繁使用剪切板App频繁收集个人敏感信息… 中国太平洋保险（集团）股份有限公司 太平洋保险(V4_0_28) App在后台收集设备及环境信息App频繁使用设备传感器… 中国平安保险（集团）股份有限公司 好福利(V7_12_0) App在获取用户同意前收集设备及环境信息… 平安保险商城(V2_15_2) App进入具体业务前频繁申请权限App在后台使用剪切板App频繁收集个人敏感信息… 平安金管家(V8_09_01) App在获取用户同意前收集设备及环境信息App在后台收集设备及环境信息App频繁收集个人敏感信息… 中国人民保险集团股份有限公司 中国人保(V6_9_2) App在注册登录处未明示客户进行隐私政策确认App在后台使用剪切板App在后台收集设备及环境信息App频繁收集个人敏感信息… 新华人寿保险股份有限公司 掌上新华(V6_0_17) App隐私政策文本对关键信息表述不清晰App在获取用户同意前收集设备及环境信息App在申请相关权限之前调用相关函数对外的HTTP数据含有敏感字段… 公司名称 App名称（版本号） 主要问题（部分举例） 泰康在线财产保险股份有限公司 泰康在线(V5_7_8) App在获取用户同意前手机设备及 环境信息 App在申请相关权限之前使用相关 功能收集信息App在后台收集设备及环境信息App频繁收集个人敏感信息… 中国大地财产保险股份有限公司 中国大地超A(V2_2_13) App申请权限未说明原因或未在必 要场景下 App在获取用户同意前收集设备及 环境信息App频繁收集个人敏感信息… 中邮人寿保险股份有限公司 中邮保险(V1_1_5) App隐私政策文本对关键信息表述 不清晰 App在获取用户同意前收集设备及 环境信息App在后台收集设备及环境信息App频繁收集个人敏感信息… 交银人寿保险有限公司 交银人寿(V7_1_8) App隐私政策文本对关键信息表述 不清晰 App申请权限未说明原因或未在必 要场景下 App在获取用户同意前收集设备及 环境信息App在获取用户同意前使用剪切板… 京东安联财产保险有限公司 京东金融(V6_2_80) App在获取用户同意前收集设备及 环境信息App在后台收集设备及环境信息对外的HTTP数据含有敏感字段App频繁收集个人敏感信息… 公司名称 App名称（版本号） 主要问题（部分举例） 众安在线财产保险股份有限公司 众安保险(V3_9_5) App在注册登录处未明示客户进行 隐私政策确认 App申请权限未说明原因或未在必 要场景下 App在获取用户同意前收集设备及 环境信息 App在申请相关权限之前调用相关 函数… 8 农银人寿保险股份有限公司 农银人寿(V2_0_3) 用户拒绝相关申请后App仍频繁申请权限App申请权限未说明原因或未在必要场景下App频繁收集个人敏感信息… 国华人寿保险股份有限公司 国华人寿v1(V3_0_6) App隐私政策文本对关键信息表述不清晰App申请权限未说明原因或未在必要场景下App在获取用户同意前使用剪切板App在后台收集设备及环境信息… 财信吉祥人寿保险股份有限公司 吉意保(a_1_0_0_14) App首次启动时未弹出隐私政策App隐私政策文本对关键信息表述不清晰App申请权限未说明原因或未在必要场景下用户拒绝相关申请后App仍频繁申请权限… 同方全球人寿保险有限公司 同方全球人寿(V6_2_0) App首次启动时未弹出隐私政策App隐私政策文本对关键信息表述不清晰App在申请相关权限之前使用相关功能收集信息App隐私政策强制用户同意… 9 公司名称 App名称（版本号） 主要问题（部分举例） 工银安盛人寿保险有限公司工银安盛(V1_9_44)App在获取用户同意前收集设备及 环境信息 App在申请相关权限之前调用相关函数App频繁收集个人敏感信息 东吴人寿保险股份有限公司 东吴人寿(V1_0_13) App隐私政策文本对关键信息表述 不清晰 App在后台收集设备及环境信息 … … 华安财产保险股份有限公司华安保险(V1_1_19)App隐私政策文本对关键信息表述 不清晰 App在注册登录处未明示客户进行隐私政策确认 App在申请相关权限之前调用相关函数 建信财产保险有限公司 建信财险(V1_3_0) App隐私政策文本对关键信息表述 不清晰 App申请权限未说明原因或未在必要场景下 App在获取用户同意前收集设备及环境信息 … … 恒安标准人寿保险有限公司恒安e家(V1_1_9)App隐私政策文本对关键信息表述 不清晰 App在用户同意隐私政策之前申请权限App申请权限未说明原因或未在必要场景下 App频繁收集个人敏感信息 招商局仁和人寿保险股份有限公司招商仁和人寿(V2_8_1) App隐私政策文本对关键信息表述 不清晰 App申请权限未说明原因或未在必要场景下 App在获取用户同意前收集设备及环境信息 … … 公司名称 App名称（版本号） 主要问题（部分举例） 富德生命人寿保险股份有限公司 E动生命(V6_1_88) App隐私政策文本对关键信息表述不清晰App申请权限未说明原因或未在必要场景下App在申请相关权限之前调用相关函数… 汇丰保险集团（亚太）有限公司 汇丰汇选(V2_3_0) App隐私政策文本对关键信息表述不清晰App在获取用户同意前收集设备及环境信息App频繁收集个人敏感信息… 爱心人寿保险股份有限公司 爱心云健康(V1_0_0) App首次启动时未弹出隐私政策App隐私政策文本对关键信息表述不清晰App申请权限未说明原因或未在必要场景下App频繁收集个人敏感信息… 紫金财产保险股份有限公司 掌上紫金(V3_8_1) App隐私政策文本对关键信息表述不清晰用户拒绝相关申请后App仍频繁申请权限App申请权限未说明原因或在必要场景下… 融盛财产保险股份有限公司 融盛一账通(V1_3_1) App隐私政策文本对关键信息表述不清晰App在用户进入相关功能之前申请权限App申请权限未说明原因或未在必要场景下… 华贵人寿保险有限公司 贵保管家(V1_1_19_1) App广告弹窗无法关闭或过小隐蔽App在用户进入相关功能之前申请权限App在获取用户同意前收集设备及环境信息… “主要观点与发现二： 除保险公司外，保险经纪公司与参与城市定制型商 业医疗保险（惠民保）的健康管理公司同样存在类似的App用户隐私保护问题 如App频繁使用剪切板、App隐私政策文本对关键信息表述不清晰等也出现在惠民保业务的健康管理公司的App中。 在App用户隐私测试过程中，保险公司App中频繁出现的用户隐私保护问题，比如App频繁使用剪切板、App隐私政策文本对关键信息表述不清晰等也出现在测试的保险经纪公司和参与城市定制型商业医疗保险，即惠民保业务的健康管理公司的App中。可见，保险行业不同的运行主体间具有相似的App隐私保护问题，行业整体的个人消费者隐私保护意识均有待加强。表2和表3列出了本次App隐私测试的经纪公司以及参与惠民保的若干健康管理公司的主要隐私保护问题。 表2经纪公司App侵犯用户隐私保护问题一览表 公司名称 App名称（版本号） 主要问题 中民保险经纪股份有限公司 中民网(V4_8_5) App隐私政策文本对关键信息表述不清晰… 向日葵保险经纪有限公司 咔咔有单(V5_12_0) App隐私政策文本对关键信息表述不清晰App申请权限未说明原因或在必要场景下… 心有灵犀保险代理有限公司 喂小保(V1_4_8) App隐私政策文本对关键信息表述不清晰App隐私政策