11月18日，中国银联下发《关于开展收单机构***违规代还专项规范工作的通知》，要求各收单机构立即关停***违规代还业务，明确此类业务存在巨大风险隐患，限期两周内清退完毕，从12月2日起，一经发现，从严处置。

***代还主要业务模式有三种，一、 “套现贷”模式 ：代还平台利用***账单日和还款日的时差，用户只需要在***中存入少量资金，代还平台循环刷取资金返给用户，从而达到全额还款的目的。二、 平台代偿模式 ：***代还平台垫付用户***欠款，并取得对用户的债权，用户需定期向代还平台偿还贷款。三、 ***套现模式 ：用户有多张***，利用***刷卡消费存在免息期的漏洞，循环刷多张卡来维持免息借款。

***代还应用平台收取高利率的同时，因其掌握了用户***号、***号、***号等敏感信息，若遭到恶意利用或泄露，便会造成***被盗刷等严重后果。 爱加密大数据监管平台 对此类应用进行个人信息检测发现，***代还应用不仅存在获取用户***号、家庭住址、手机号码、个人征信等敏感信息，还存在超范围获取个人人像信息、指纹等生物信息以及住房公积金账户、社保账号、收集营业厅账号等与业务无关的敏感信息。

据全国信息安全标准化技术委员今年发布的《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》规定，金融借贷类应用可收集的必要信息“紧急联系人信息”应采用用户手动输入的方式，不应强制读取用户通讯录，而网络支付类应用可收集的必要信息没有“联系人信息”这一项。 更有甚者，通过获取营业厅账号密码读取用户手机通话详情。 按照最少够用原则，包括金融借贷类、网络支付类应用在内的具备***代还功能的金融类应用，均存在 超范围采集个人信息 现象，埋下了巨大安全隐患。

应用主体 过度索权 的同时，对用户个人信息保护意识堪忧。 多数***代还应用任意分享用户个人信息给合作机构。 有的应用服务协议或隐私政策中声明，需要对用户进行催收和追索债务等工作时，不用经过用户再次授权可为催收机构等第三方提供用户身份信息、联络信息等个人敏感信息。 从而导致个人信息泄露等严重后果，且协议中并未声明责任主体，存在极大的隐私信息泄露风险。

据 爱加密大数据平台 数据统计，***代还应用达1710款。基于这1710款应用我们发现，***代还应用分布在28个省份，广东及湖北两地占据半数市场。全国529个应用市场中，有103个应用市场收录有具备***代还功能的应用，66.02%的应用市场收录***代还应用不超过10个。通过爱加密个人信息安全检测平台对 这些 App进行个人信息检测后发现，大多数App存在 超范围采集、过度申请权限的现象。 主要检测情况如下：

1、安全漏洞检测情况

83.98% 的***代还应用（1436款）存在安全漏洞，平均每款应用存在19.3个漏洞。共计检测出55种漏洞类型，其中高危漏洞类型20种。

从高危漏洞类型来看，存在动态注册Receiver风险的应用最多，占监测总数的62.11%；其次是Janus漏洞，占监测总数的60.64%；排名第三的是WebView远程代码执行漏洞，有59.94%的应用存在该安全漏洞。

漏洞类型top10

2、恶意程序检测情况

有71款应用检测到恶意程序，占监测总数的 4.15% ，近6成分布在广东地区。从恶意程序类型来看，92.96%的病毒App存在流氓行为，这类病毒会在用户未授权的情况下，弹出广告窗口等。

恶意程序类型分布

3、第三方SDK嵌入情况

28.48%的***代还应用嵌入第三方SDK。从SDK功能类型来看，嵌入推送功能SDK的应用最多，占嵌入SDK应用总数的62.83%；其次是统计功能，占嵌入SDK应用总数的51.33%。

嵌入的SDK功能类型分布

如今，个人信息安全已上升至国家层面 ，国家网络安全政策更是密集出台。 爱加密长期关注我国移动应用安全问题，致力于构建以物联网和安全威胁大数据为核心的 3.0生态体系。针对备受关注的个人信息安全问题，爱加密推出 移动应用个人信息安全检测平台 。

该平台针对个人信息安全合规问题，对移动应用提供多维度的验证。可对静态检测、动态检测过程中产生的原始数据进行分析运算，并对App隐私条款可能导致的隐私政策文本、收集使用个人信息行为、运营者对用户权利保障等 30多个评估点 进行检测，同时出具个人信息安全检测报告，为监管机构行政执法提供辅助依据，为企业提供App整改意见，从而 推动个人信息安全的保护和建设。

爱加密