近日，復旦大學大數據研究院大數據內生安全研究所與網絡數字安全保險研究所聯合發布了《保險App用戶隱私與個人信息保護的若干隱患》（以下簡稱“《報告》”）研究報告。

　　《報告》選取52家保險業協會發布的保險公司、保險中介和部分參與惠民保業務健康管理公司主要使用的App作為測試樣本，采用復旦大學金融消費者App用戶隱私保護分析框架，檢視當前保險App對用戶隱私與消費者個人信息保護的現狀與問題。

　　《報告》指出，保險公司App在用戶隱私與信息保護方面存在諸多不足。同時，相比頭部保險公司，中小型保險公司的消費者隱私保護問題更加突出；相比財險公司來說，壽險公司暴露的隱私保護問題更多。

　　頻繁使用剪切板，

　　險企App用戶隱私與信息保護存在諸多不足

　　據上述《報告》顯示，保險公司App在用戶隱私與信息保護方面存在諸多不足，共性存在15大問題，部分頭部保險公司同樣存在相關問題。

　　其中，保險公司App觸犯的用戶主要隱私保護問題有App頻繁使用剪切板、App在獲取用戶同意前收集設備及環境信息、App申請權限未說明原因或未在必要場景下、App隱私政策文本對關鍵信息表述不清晰等。

　　比如，中國人壽財險App（V3_2_3）存在頻繁使用剪切板、頻繁收集個人敏感信息等問題；

　　太平洋保險App（V4_0_28）存在在后臺收集設備及環境信息、頻繁使用設備傳感器等問題；

　　中國平安的好福利App（V7_12_0）存在在獲取用戶同意前收集設備及環境信息等問題；

　　中國人保App（V6_9_2）存在在注冊登錄處未明示客戶進行隱私政策確認、在后臺使用剪切板、在后臺收集設備及環境信息、頻繁收集個人敏感信息等問題；

　　新華人壽的掌上新華App（V6_0_17）存在隱私政策文本對關鍵信息表述不清晰、在獲取用戶同意前收集設備及環境信息、在申請相關權限之前調用相關函數、對外的HTTP數據含有敏感字段等問題。

　　《報告》顯示，以上這些隱私保護問題大多為App在用戶不知情的情況下采集了用戶的設備信息，或頻繁調用剪切板收集用戶的個人敏感信息，顯然這些都是不符合個人隱私保護政策的。

　　《報告》認為，保險公司的運營過程難免要與客戶頻繁交流并收集客戶信息，作為個人信息密集行業，保險乃至金融行業都應取之有道，用之有度，時刻敲響客戶個人信息保護的警鐘。

　　相比財險公司，

　　壽險公司暴露的隱私保護問題更多

　　《報告》顯示，相比大公司，中小型公司暴露出的消費者隱私保護問題更多。《報告》考慮到公司綜合實力、保費規模等因素，將人保、人壽、太平、太保、平安、泰康及新華保險（老七家）定義為頭部公司。測試結果顯示，頭部公司暴露出的隱私保護問題平均約6項，其他公司暴露出的隱私保護問題平均約為9項，遠高于頭部公司。

　　相比財險公司，壽險公司暴露出的隱私保護問題更多。此外，健康管理公司和保險經紀公司也存在一定的隱私保護問題。同時，《報告》顯示，測試樣本中，壽險公司暴露出的隱私保護問題略高于財險公司：壽險公司暴露出的隱私保護問題平均約10項，財險公司暴露出的隱私保護問題平均約9項。

　　另外，該《報告》還提出，保險公司App測試結果中存在與隱私政策、申請權限相關的諸多問題。

　　具體來看，App隱私政策相關的問題包括：App隱私政策文本未對個人信息進行顯著標識；未披露其發布、生效日期；未指明其對用戶個人信息操作的反饋時間；未列明各項業務功能收集的信息及權限；未說明Cookie等技術的使用機制；未披露第三方SDK相關信息。同時，App在注冊和登錄處未提供隱私政策或隱私政策強制用戶同意；App隱私政策內容未主動彈出；App隱私政策內容難以閱讀和訪問。

　　App申請權限相關的問題包括：App申請權限未說明使用原因；App申請權限未在必要場景下；App申請權限未獲得用戶授權；用戶同意隱私政策之前App未按規定申請權限；用戶同意隱私政策之后App未按規定申請權限；App后臺運行時未按規定申請權限

　　保險公司應建立規范的隱私政策，

　　消費者應認真閱讀隱私協議

　　針對目前存在的一些問題，《報告》從保險公司、消費者、法律法規及監管部門方面提出建議。

　　《報告》指出，保險公司應建立規范的隱私政策，并積極提示用戶閱讀。同時成立相關合規部門，加強對《個人信息保護法》等相關法規的理解與學習，避免因了解不足導致的違法違規行為。

　　與此同時，保險公司對于權限的調用，個人敏感信息的采集，明確告知目的并通過顯著方式提醒消費者，充分保障消費者知情權和自愿權；在未申請權限的情況下，保險公司嚴格遵守法律法規，不得隨意使用設備剪切板，傳感器，公共媒體庫等。

　　針對消費者，《報告》認為，其應該認真閱讀隱私協議；不隨意開放和同意不必要的隱私權限、不隨意輸入個人隱私信息；定期維護和清理相關數據，避免個人隱私信息被泄露。

　　從法律法規方面來看，《報告》提出，以《個人信息保護法》為開端，繼續完善我國相關的法律法規，在根本上明確隱私權的法律地位；依據我國現有法律規范，細化各項規則，全面保護個人信息。

　　從監管部門方面來看，《報告》提出，監管部門需要加深對《個人信息保護法》及相關規定的理解，和其他標準化部門合作，進行更標準的合規檢測；創新監管模式，由以往事中、事后監管積極向事前監管轉換。

責任編輯：宋源珺