手机APP中「隐秘的角落」:SDK“偷走”隐私,氪信为“窃贼”典型
01 工信部启动应用商店联动处置机制
所谓SDK是指手机软件中提供某种功能或服务的插件。央视315晚会中提到,对手机软件中SDK插件进行测试,发现存在没有经过用户的许可窃取消费者手机中隐私,可将短信全部转走,甚至是网络交易验证码。
据央视315报道,技术人员检测50多款手机软件,分别含有上海氪信信息技术有限公司(下称“氪信”)和北京招彩旺旺信息技术有限公司(下称“招彩旺旺”)的SDK插件。
值得一提的是,这两个插件都是在用户不知情下,偷偷窃取用户隐私的嫌疑。针对于此,央视还点名53个手机APP,其中绝大部分为现金贷应用软件,知名平台有国美易卡。
公开资料显示,国美易卡为国美金融旗下消费分期平台,运营主体为国美小额贷款有限公司(下称“国美小贷”)。今年4月,因提供虚假经营信息,国美小贷被罚50万元。
针对央视315曝光,国美金融在其官方微博回应称,报道中提到的“氪信SDK插件”已于2020年1月14日从国美易卡APP下线,目前已全面停止与氪信合作,并对合作伙伴进行排查。
柒财经旗下互联网金融新闻中心注意到,工信部于今日(7月17日)就SDK违规收集个人信息问题做出了回应,立即组织北京、上海通信管理局对招彩旺旺、氪信进行核查处理。
另外,工信部组织第三方检测机构对央视曝光使用招彩旺旺、氪信SDK的50余款APP进行检测,对存在问题的APP第一时间启动下架程序。
工信部还要求,启动应用商店联动处置机制,责成华为、小米、OPPO等国内主要应用商店,第一时间对类似问题进行“地毯式”排查,对发现问题一律第一时间予以下架,同时要求应用商店及时通知APP运营开发者自查自纠,及时发现、处理违规收集用户个人信息的SDK。
据了解,2019年11月工信部启动APP侵害用户权益专项整治行动以来,共检测超过8万余款APP,推动8000余款APP自查整改,对478家存在问题的企业下发整改函。
对于此,工信部表示,治理取得初步成效,但目前仍存在部分企业主体责任落实不到位的情况,下一步,将采取常态化监管措施,加强移动互联网应用程序APP综合治理。
02 技术成了“盗窃工具”
事实上,被央视315曝光的两家SDK企业——招彩旺旺、氪信均获得真格基金的投资。相比而言,氪信更为人所知。
氪信官网显示,其为金融机构提供覆盖智能风控、智能交易监测、客户经营、智能客服四大场景的一体化智能金融解决方案。
氪信还对外宣称,以人工智能技术实现产业智能化,并已与工商银行、招商银行、建设银行、交通银行、浦发银行等达成合作。
在柒财智库高级研究员毕研广看来,从公司主体上看,氪信是一家技术公司,提供大数据风控智能营销,还跟很多金融机构进行合作。那么,氪信可跟金融工具划等号。
不过,他认为,SDK确实侵犯了个人隐私,且未经授权任意读取用户手机信息,这种不应该成为“金融科技”,而是把技术变成了“盗窃工具”。
“金融科技规划发展纲要及今日下发的商业银行线上贷款新规都指出,任何金融科技都不能违法违规,都不能非法窃取用户隐私,任何技术都是建立在合法的前提下。”毕研广称。
互联网金融新闻中心注意到,除了前述情况外,氪信背景足够强大。企查查显示,除了早先引入真格基金外,招商局创新投资基金、上海金融发展投资基金二期、墨白资本、美国中经合集团等机构的投资。
另值得一提的是,去年10月,浦发银行召开金融科技投资基金签约仪式暨“投资孵化创新发展”研讨会,会上公布了该基金对氪信的投资,由浦发银行上海信托旗下的金融科技基金入股氪信。
7月17日,浦发银行针对氪信SDK窃取隐私一事回应称,未在手机银行APP使用氪信SDK插件,集团子公司上海信托作为氪信科技的财务投资人之一,正在了解相关情况。
作为央视315晚会曝光的当事人,氪信于同一天(7月17日)在官网发声明称,“SDK技术是一个互联网常用的技术,但经内部评估,我们认为该技术有被滥用的风险。因此,在2019年底前,已完全停用该技术。”