六合解霸|十三太保

警方再次點名!國通星驛“通付MPOS”App存在突出安全問題


來源:移動支付網    作者:偉辰    2019-9-7 12:01

9月5日,廣東警方公布8月超范圍收集用戶信息App監測情況,2019年8月份共監測發現250余款APP存在超范圍收集用戶信息行為,其中42款APP存在突出安全問題,國通星驛旗下“通付MPOS”App位列其中。警方表示,已將有關監測情況上報公安部通報屬地公安機關開展清理整治。

警方再次點名!國通星驛“通付MPOS”App存在突出安全問題

申請35項權限超范圍收集用戶信息

據移動支付網了解,“通付MPOS”App是福建國通星驛網絡科技有限公司發布的一款快速支付工具。該App共申請了35項權限,其中包括:讀取通話記錄、發送短信、錄制音頻、修改系統設置等敏感權限。

其中,讀取用戶通訊錄信息、收集用戶位置信息、獲取用戶設備上已知賬號列表三項權限被警方列為超范圍收集用戶信息。在警方通報中,“通付MPOS”App沒有單獨成文的隱私政策,未說明業務邏輯與權限關系,且未說明獲取個人隱私的用途。

打開“通付MPOS”App確實只能看到“服務協議”沒有“隱私政策”。沒有隱私政策的行為,直接違反了《信息安全規范》“個人信息控制者應制定隱私政策,隱私政策應公開發布且易于訪問,并逐一送達個人信息主體”的規定。

根據《網絡安全法》第四十一條規定:“網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意。”

“通付MPOS”App未說明業務邏輯與權限關系,未說明獲取個人隱私的用途的行為直接違反了該項條款。《網絡安全法》第六十四條規定“違反本法第四十一條規定的,由有關主管部門責令改正,可以根據情節單處或者并處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款,沒有違法所得的,處一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款;情節嚴重的,并可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照。”

截至發稿,“通付MPOS”App依舊可以正常下載被通報的4.6.2版本,且沒有進行任何更新。國通星驛也并未對此事進行任何回應。

據悉,國通星驛成立于2010年6月8日,注冊資本為1億元人民幣,實繳資本4000萬元人民幣。在2012年6月27日獲得支付牌照,被央行準許在全國范圍內開展銀行卡收單業務,并于2017年6月27日順利完成續展。

值得一提的是,在國通星驛獲得支付牌照幾年后,其便被新大陸收購。2016年5月26日,新大陸發出公告稱公司以現金方式合計作價6.8億元,通過直接和間接方式取得國通星驛100%股權。

國通星驛多次違規被罰

2019年7月29日,中國人民銀行沈陽分行發布新罰單,國通星驛遼寧分公司因違反《非金融機構支付服務管理辦法》和《銀行卡收單業務管理辦法》等相關規定被處以罰款人民幣8萬元。

除了此次被罰以外,國通星驛此前也被罰多次。

2017年10月23日,國通星驛河南分公司因未按規定履行客戶身份識別義務、未按規定報送可疑交易報告、與身份不明的客戶建立業務關系,被中國人民銀行鄭州中心支行罰款48萬元,1名直接負責的高級管理人員被罰款5萬元。

2017年11月14日,國通星驛山東分公司因違反支付結算業務規定,被中國人民銀行濟南分行罰款3萬元。

2018年7月18日,國通星驛甘肅分公司因違反《銀行卡收單管理辦法》、《非金融機構支付服務管理辦法》等相關規定,被中國人民銀行蘭州中心責令限期整改,給予警告,并處以3萬元罰款。

2019年1月31日,國通星驛河北分公司因違反銀行卡收單業務管理規定,被中國人民銀行石家莊中心支行處以罰款人民幣8萬元。

2019年4月26日,國通星驛天津分公司因違反《銀行卡收單業務管理辦法》相關規定被中國人民銀行天津分行責令限期整改,并處以罰款人民幣8萬元。

收集“用戶位置信息”超范圍嗎?

在警方通報中,“通付MPOS”App收集用戶位置信息屬于超范圍收集用戶信息。上個月,在警方公布的問題App名單中,嘉聯支付旗下“立刷2.0.4”也因為“收集用戶位置信息”等問題被點名(詳情見:警方點名!嘉聯支付旗下立刷App違規!)。但是在嘉聯支付隨后的公告中卻宣稱:“收集用戶位置信息是為嚴格落實人民銀行85號文件中關于用戶實名制及交易風險監管要求。”

今年3月,央行下發了《關于進一步加強支付結算管理防范電信網絡新型違法犯罪有關事項的通知》即85號文。文件第十四條明確要求:“收單機構應當對移動終端所處位置持續開展實時監測,并逐筆記錄交易信息”。

“通付MPOS”和“立刷”等App是否符合85號文件中的“移動受理終端”呢?嚴格意義上,85號文中的“可移動的銀行卡、條碼支付受理終端”是指POS機,并不包括手機App。但是從功能上講,裝有類似App的手機確實具有收單能力,可以進行交易,應該按照85號文的規定實時收集位置信息。

如果按照85號文規定,“通付MPOS”和“立刷”App收集用戶位置信息是有依據的,并沒有違反《信息安全規范》。但是無論收集用戶位置有沒有依據,其沒有公開、明示個人信息收集范圍、用途的行為明確違反了《網絡安全法》是不容置疑的事實。

未來,監管必然會加強對用戶個人信息,特別是用戶個人隱私信息的保護。監管趨嚴,金融支付類App又將何去何從?移動支付網將持續關注。

本文為作者授權發布,不代表移動支付網立場,轉載請注明作者及來源,未按照規范轉載者,移動支付網保留追究相應責任的權利。
相關文章

月點擊排行
關于本站    聯系我們    版權聲明    手機版
Copyright © 2011-2020 移動支付網    粵ICP備11061396號     粵公網安備 44030602000994號
 
六合解霸 理财会把本金全亏没了 什么股票配资 北京快三开奖号 排名靠前的股票配资平台 内蒙古自治区快三开奖 私募基金配资是什么 pk10走势图d 贵阳微乐麻将下载安 股票融资平台 北京快三开奖结果走势