[贷款信息]国家互联网应急中心：超90万人在虚假贷款App上提交个人信息

8月13日，国家互联网应急中心（以下简称“CNCERT”）发布《2019年上半年我国互联网网络安全态势》。报告指出，我国移动App违法违规使用个人信息问题十分突出，每款应用平均收集20项个人信息，大量App存在探测其他App或读写用户设备文件等异常行为。

总体来看，2019 年上半年，CNCERT 协调处置网络安全事件约 4.9 万起，同比减少 7.7%，其中安全漏洞事件最多，其次是恶意程序、网页仿冒、网站后门、网页篡改、DDoS 攻击等事件。

此外，上半年我国有关部门针对App违法违规收集使用个人信息、互联网网站安全等开展了专项治理工作。

大量App存在探测或读写用户设备文件行为

报告显示，我国境内应用商店数量已超过200家，上架应用近500万款，下载总量超过万亿次，发展势头迅猛。

与此同时，移动App强制授权、过度索权、超范围收集个人信息的现象大量存在，违法违规使用个人信息的问题十分突出，广大网民对此反应强烈。

CNCERT监测分析发现，在目前下载量较大的千余款移动App中，每款应用平均申请25项权限，其中申请了与业务无关的拨打电话权限的App数量占比超过30%；每款应用平均收集20项个人信息和设备信息，包括社交、出行、招聘、办公、影音等；大量App存在探测其他App或读写用户设备文件等异常行为，对用户的个人信息安全造成潜在安全威胁。

在此问题突出的背景下，今年1月25日，中央网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》，决定自2019年1月至12月，在全国范围内组织开展App违法违规收集使用个人信息专项治理行动。

据了解，自专项行动开展以来，专项治理工作组公布了评估中发现的部分问题App名单，其中包括10款App没有隐私政策，20款App要求用户一次性同意开启多个可收集个人信息权限、不同意则无法安装使用，40款App存在问题且未公开有效联系方式。其中不乏用户普遍使用的应用，如中国银行、韵达快递、墨迹天气、安居客、Wi-Fi万能钥匙等。

超90万人在虚假贷款App或网站上提交个人信息

在移动互联网技术发展和应用普及的背景下，用户通过互联网金融APP进行投融资的活动愈加频繁，绝大多数的互联网金融平台通过移动APP开展业务，且有部分平台仅通过移动APP开展业务。但近年来，出现了大量以移动端为入口骗取用户个人隐私信息和账户资金的网络诈骗活动。

据CNCERT抽样监测，2019年上半年以来，我国以移动互联网为载体的虚假贷款APP或网站达1.5万个，在此类虚假贷款APP或网站上提交姓名、身份证照片、个人资产证明、银行账户、地址等个人隐私信息的用户数量超过90万。大量受害用户在诈骗平台支付了上万元的所谓“担保费”、“手续费”费用，经济利益受到实质损害。

据App专项治理工作组反馈，截至7月3日，App违法违规收集使用个人信息举报平台共收到网民举报信息6000余条，涉及1900余款App，其中与金融借贷类App相关的举报信息有1800余条，占比超过30%，涉及的App达800余款，无疑金融借贷App已经成为个人信息举报的重灾区。

此外，CNCERT对105款互联网金融APP进行检测，发现安全漏洞505个，其中高危漏洞239个。在这些高危漏洞中，明文数据传输漏洞数量最多有59个（占高危漏洞数量的24.7%），其次是网页视图（Webview）明文存储密码漏洞有58个（占24.3%）和源代码反编译漏洞有40个（占16.7%）。这些安全漏洞可能威胁交易授权和数据保护，存在数据泄露风险。

网络安全治理的顶层设计逐渐完善

近年来，个人信息泄露的事件频发，我国用户个人信息和重要数据保护工作受到广泛关注，相关法规、标准和指南相继出台。报告明确指出，我国网络安全治理的顶层设计逐步完善。

2019年以来，国家互联网信息办公室会同各行业主管部门研究起草了《数据安全管理办法（征求意见稿）》、《网络安全审查办法（征求意见稿）》、《个人信息出境安全评估办法（征求意见稿）》、《儿童个人信息网络保护规定（征求意见稿）》、《APP违法违规收集使用个人信息行为认定方法（征求意见稿）》，并面向社会公开征求意见。

为规范网络安全漏洞报告和信息发布等行为，保证网络产品、服务、系统的漏洞得到及时修补，提高网络安全防护水平，工业和信息化部会同有关部门起草了规范性文件《网络安全漏洞管理规定（征求意见稿）》，正在向社会公开征求意见。

此外，App专项治理工作启动以来，多项成果文件向社会发布，包括《网络安全 实践指南——移动互联网应用基本业务功能必要信息规范》、《App违法违规收集使用个人信息行为认定办法》、《App违法违规收集使用个人信息自评估指南》等，有效指导App运营者加强个人信息保护，规范市场秩序。

据悉，个人信息保护领域的针对性法律《个人信息保护法》已被列入十三届全国人大常委会五年立法规划。