证券公司加速数字化转型，聚焦App获客的同时，用户个人信息保护的隐忧也正在浮现。近日，北京商报记者关注到，投资者开户后遭遇电话轰炸、违规荐股信息骚扰，种种关于券商App获取、泄露客户信息的吐槽不断。就此，北京商报记者下载多家券商App体验发现，不少App当前存在后台/静默状态下收集信息，关闭权限后“形同虚设”，依旧能读取剪贴板内容的情况。有业内人士表示，App在收集敏感个人信息时必须遵循“最小必要”原则，涉及金融、资产交易的券商App在获取用户信息时，更应严格遵守相关法律法规和行业标准，确保信息的收集、使用和处理都经过用户明确同意。
　　多款App后台获取信息
　　“开户后多次收到骚扰电话，是信息泄露、诈骗还是信息被盗用？”有投资者在小红书发出上述质疑，也有投资者在知乎社交平台吐槽，疑似券商App泄露客户个人信息，开户后频繁收到推荐资源的短信。亦有投资者在评论区表达赞同，他表示，自己只用过某券商App，但此后频繁被人打电话推荐股票。北京商报记者关注到，种种关于券商App获取、泄露客户信息的吐槽从未停歇。
　　对于上述情况，北京商报记者下载华泰证券、中信证券、招商证券、平安证券等多家券商旗下App体验发现，多数券商在App开屏页面即向用户作出个人信息安全和隐私保护提示，在相关《个人隐私权限政策》中明确列举收集的隐私信息，包括设备信号、操作系统、唯一设备标识符、登录IP地址、接入网络的方式、网络质量数据等。
　　不过，从多数情况来看，《个人隐私保护协议》只行使告知义务，并没有商量的余地，即用户在进入券商App时，只能选择“同意”或“退出App”。当然，也有少数券商App，例如华泰证券App涨乐财富通、中国银河证券App则设置用户选择拒绝《个人隐私保护协议》后，仍可以浏览模式进入App，可查看部分资讯信息。
　　具体到协议内容中，北京商报记者打开恒泰证券App恒泰九点半时发现，其在《互联网平台隐私策略》中指出，为收集App线上运行状况和质量、保障App稳定运行，应用会在后台/静默状态下收集包括IMEI（国际移动设备身份码）、IMSI（国际移动用户识别码）、唯一设备标识符、Mac地址、IP地址、手机型号、应用安装列表或运行中的进程信息。
　　此外，方正证券App小方在后台/静默运行将读取IMEI、IMSI、唯一设备标识符、Mac地址、IP地址、手机型号、操作系统版本、应用安装列表或运行中的进程信息、单个应用信息、任务列表、UDID、AAID、GUID等。
　　而国泰君安证券App君弘则有更为详细的表述，例如，君弘App在前台静默状态或后台运行时，会监测设备的网络变化事件，若网络类型发生变化，将获取最新的IP地址。此外，君弘App在前台静默状态或后台运行时，个推SDK将依然保持运行状态，可能会采集设备标识等设备信息、IP地址等网络信息，用于维持与后台的长连接，保障消息推送。
　　在北京市京师律师事务所合伙人律师卢鼎亮看来，App在收集、存储、使用、加工、传输、提供、公开用户的个人信息时，需要获得用户的具体授权，同时，不得超过合理、必要的范围，不得收集非必要个人信息。而App在后台及静默状态下收集IMEI、IMSI等信息明显超过了必要范围。
　　北京社科院副研究员王鹏也指出，IMEI和IMSI是设备的唯一标识，可以被用于追踪设备或用户的位置和行为。因此，这些信息被视为敏感个人信息。根据工信部和其他相关法规，App在收集敏感个人信息时必须遵循“最小必要”原则，如果恒泰九点半等券商App在后台/静默状态下收集IMEI、IMSI等信息，且没有明确的用户同意和合理的业务需求，那么这种行为很可能被视为违规。
　　值得一提的是，2023年12月，内蒙古自治区通信管理局披露App侵害用户权益问题的通报。彼时公告提及，尚有16款App未完成整改。其中，就有恒泰证券App恒泰九点半在列，涉及问题为超范围收集个人信息、App频繁自启动和关联启动。
　　事实上，对于静默状态下个人信息获取范围的界定监管早有约束。据工信部2020年7月发布的《关于开展纵深推进App侵害用户权益专项整治行动的通知》（以下简称《通知》）显示，明确重点整治App、SDK非服务所必需或无合理应用场景，特别是在静默状态下或在后台运行时，超范围收集个人信息的行为。
　　关闭权限后仍被读取
　　除上述情况外，北京商报记者关注到，多家券商App存在后台读取剪贴板行为。例如，江海证券App就在提示页面中表示，将读取剪贴板信息，用于分享信息。当App处理后台运行时，会获取IP地址、WiFi名称（sidi），用于消息推送及与服务端进行网络服务数据传输。
　　值得一提的是，北京商报记者尝试在应用设置中关闭获取剪贴板权限后，包括恒泰九点半、开源证券肥猫、平安证券等在内的券商App依然能够获取复制信息，并提供写入功能，但在权限使用记录中显示为已拒绝。不难看出，上述券商App或存在未征得用户同意就开始收集个人信息的情况。
　　在王鹏看来，剪贴板通常包含用户最近复制或剪切的内容，可能包含敏感信息，如密码、个人身份信息或其他私密数据。即使部分券商App在提示页面告知，但如果这一行为不是用户主动触发的，且没有明确的业务需求支持，那么仍可能被视为侵犯用户隐私的行为。此外，如果App在没有用户明确同意的情况下读取剪贴板信息，则直接违反相关法规。
　　权限使用记录方面，部分券商App亦存在自启动情况，华安证券App、恒泰九点半均在北京商报记者并未打开App时自发启动，并受到系统拦截。《通知》曾明确指出，重点整治App未向用户告知且未经用户同意，或无合理的使用场景，频繁自启动或关联启动第三方App的行为。
　　在王鹏看来，券商App信息违规侵权的红线应界定在是否尊重用户知情权、选择权和个人信息保护权。涉及金融、资产交易的券商App在获取用户信息时，更应严格遵守相关法律法规和行业标准，同时应确保信息的收集、使用和处理都经过用户明确同意，并仅用于提供和改进服务。此外，还应采取适当安全措施来保护用户信息免受未经授权的访问、泄露、破坏或更改。
　　需注重隐私合规“生命线”
　　事实上，近年来，券商App因客户个人隐私安全问题被点名情况不在少数。除前述恒泰证券App被点名外，2023年12月，江海证券App也曾因个人信息保护合规性检测不充分，存在App强制、频繁、过度索取权限问题被黑龙江证监局出具警示函。此外，工业和信息化部网站《关于侵害用户权益行为的App（SDK）通报》显示，江海证券App存在侵害用户权益行为。
　　就整改情况以及对当前App个人信息保护的优化，北京商报记者发文采访恒泰证券、江海证券，但截至发稿未收到回复。
　　2023年8月，因作为网络运营者、网络产品或者服务提供者不履行个人信息保护义务，深圳市公安局南山分局对东亚前海证券予以行政处罚。
　　若再向前追溯，2022年4月25日，据新华社消息，国家计算机病毒应急处理中心通过互联网监测发现17款移动App存在隐私不合规行为，违反网络安全法、个人信息保护法等相关规定，涉嫌超范围采集个人隐私信息。其中，广发证券、西部证券、海通证券、国联证券等13家券商被点名。具体来看，存在未向用户明示申请的全部隐私权限；在征得用户同意前就开始收集个人信息，涉嫌隐私不合规等问题。
　　天使投资人、资深人工智能专家郭涛建议，各家券商还应建立健全的信息保护制度，明确信息收集、使用、处理的规则；其次，提高技术员工的信息安全意识，定期进行培训；采用先进的技术手段，如加密、脱敏等，保护用户信息的安全；此外，也应建立有效的投诉处理机制，及时处理用户的投诉。
　　在卢鼎亮看来，隐私合规与数据合规是任何一款App的生命线，只有保护好用户的个人信息，产品及平台才能行稳致远。
（文章来源：北京商报）