近日，复旦大学大数据研究院大数据内生安全研究所与网络数字安全保险研究所联合发布了《保险App用户隐私与个人信息保护的若干隐患》（以下简称“《报告》”）研究报告。

　　《报告》选取52家保险业协会发布的保险公司、保险中介和部分参与惠民保业务健康管理公司主要使用的App作为测试样本，采用复旦大学金融消费者App用户隐私保护分析框架，检视当前保险App对用户隐私与消费者个人信息保护的现状与问题。

　　《报告》指出，保险公司App在用户隐私与信息保护方面存在诸多不足。同时，相比头部保险公司，中小型保险公司的消费者隐私保护问题更加突出；相比财险公司来说，寿险公司暴露的隐私保护问题更多。

　　频繁使用剪切板，

　　险企App用户隐私与信息保护存在诸多不足

　　据上述《报告》显示，保险公司App在用户隐私与信息保护方面存在诸多不足，共性存在15大问题，部分头部保险公司同样存在相关问题。

　　其中，保险公司App触犯的用户主要隐私保护问题有App频繁使用剪切板、App在获取用户同意前收集设备及环境信息、App申请权限未说明原因或未在必要场景下、App隐私政策文本对关键信息表述不清晰等。

　　比如，中国人寿财险App（V3_2_3）存在频繁使用剪切板、频繁收集个人敏感信息等问题；

　　太平洋保险App（V4_0_28）存在在后台收集设备及环境信息、频繁使用设备传感器等问题；

　　中国平安的好福利App（V7_12_0）存在在获取用户同意前收集设备及环境信息等问题；

　　中国人保App（V6_9_2）存在在注册登录处未明示客户进行隐私政策确认、在后台使用剪切板、在后台收集设备及环境信息、频繁收集个人敏感信息等问题；

　　新华人寿的掌上新华App（V6_0_17）存在隐私政策文本对关键信息表述不清晰、在获取用户同意前收集设备及环境信息、在申请相关权限之前调用相关函数、对外的HTTP数据含有敏感字段等问题。

　　《报告》显示，以上这些隐私保护问题大多为App在用户不知情的情况下采集了用户的设备信息，或频繁调用剪切板收集用户的个人敏感信息，显然这些都是不符合个人隐私保护政策的。

　　《报告》认为，保险公司的运营过程难免要与客户频繁交流并收集客户信息，作为个人信息密集行业，保险乃至金融行业都应取之有道，用之有度，时刻敲响客户个人信息保护的警钟。

　　相比财险公司，

　　寿险公司暴露的隐私保护问题更多

　　《报告》显示，相比大公司，中小型公司暴露出的消费者隐私保护问题更多。《报告》考虑到公司综合实力、保费规模等因素，将人保、人寿、太平、太保、平安、泰康及新华保险（老七家）定义为头部公司。测试结果显示，头部公司暴露出的隐私保护问题平均约6项，其他公司暴露出的隐私保护问题平均约为9项，远高于头部公司。

　　相比财险公司，寿险公司暴露出的隐私保护问题更多。此外，健康管理公司和保险经纪公司也存在一定的隐私保护问题。同时，《报告》显示，测试样本中，寿险公司暴露出的隐私保护问题略高于财险公司：寿险公司暴露出的隐私保护问题平均约10项，财险公司暴露出的隐私保护问题平均约9项。

　　另外，该《报告》还提出，保险公司App测试结果中存在与隐私政策、申请权限相关的诸多问题。

　　具体来看，App隐私政策相关的问题包括：App隐私政策文本未对个人信息进行显著标识；未披露其发布、生效日期；未指明其对用户个人信息操作的反馈时间；未列明各项业务功能收集的信息及权限；未说明Cookie等技术的使用机制；未披露第三方SDK相关信息。同时，App在注册和登录处未提供隐私政策或隐私政策强制用户同意；App隐私政策内容未主动弹出；App隐私政策内容难以阅读和访问。

　　App申请权限相关的问题包括：App申请权限未说明使用原因；App申请权限未在必要场景下；App申请权限未获得用户授权；用户同意隐私政策之前App未按规定申请权限；用户同意隐私政策之后App未按规定申请权限；App后台运行时未按规定申请权限

　　保险公司应建立规范的隐私政策，

　　消费者应认真阅读隐私协议

　　针对目前存在的一些问题，《报告》从保险公司、消费者、法律法规及监管部门方面提出建议。

　　《报告》指出，保险公司应建立规范的隐私政策，并积极提示用户阅读。同时成立相关合规部门，加强对《个人信息保护法》等相关法规的理解与学习，避免因了解不足导致的违法违规行为。

　　与此同时，保险公司对于权限的调用，个人敏感信息的采集，明确告知目的并通过显著方式提醒消费者，充分保障消费者知情权和自愿权；在未申请权限的情况下，保险公司严格遵守法律法规，不得随意使用设备剪切板，传感器，公共媒体库等。

　　针对消费者，《报告》认为，其应该认真阅读隐私协议；不随意开放和同意不必要的隐私权限、不随意输入个人隐私信息；定期维护和清理相关数据，避免个人隐私信息被泄露。

　　从法律法规方面来看，《报告》提出，以《个人信息保护法》为开端，继续完善我国相关的法律法规，在根本上明确隐私权的法律地位；依据我国现有法律规范，细化各项规则，全面保护个人信息。

　　从监管部门方面来看，《报告》提出，监管部门需要加深对《个人信息保护法》及相关规定的理解，和其他标准化部门合作，进行更标准的合规检测；创新监管模式，由以往事中、事后监管积极向事前监管转换。

责任编辑：宋源珺