池内七海根据评测结果，在46个评测标准中，小米金融APP有30项符合标准，有16项不符合。

　　近年来，由于个人信息的泄露，连续引发“校园贷”、“套路贷”、“杀猪盘”等社会事件，对金融环境造成恶劣影响。其中，APP是个人信息泄露的重灾区，一些公司利用APP违法违规收集个人信息。例如，“暴风金融”、“51人品贷”和“融360”3款金融APP曾因涉嫌违法违规收集使用个人信息，被工信部点名。

　　为遏制这些违法乱纪行为，营造安全健康的金融环境，中国人民银行在2019年发布了《中国人民银行关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》，针对APP个人信息安全、帐户安全、密码安全、数据安全、隐私政策等方面进行规范，并要求金融机构按照该标准对各自的金融APP进行整改。

　　为鼓励金融机构、金融科技公司、互联网金融公司积极主动参与APP整改，规范个人信息收集、使用等行为，零壹智库整理了3大类、37个评测标准，通过下载、注册、使用等环节，对各公司的金融APP进行评测。

　　此次零壹财经对“小米金融”APP进行了评测。根据评测结果，在46个评测标准中，小米金融APP有30项符合标准，有16项不符合。

　　使用前：首先判断隐私政策是否满足要求。是否公开收集使用个人信息规则；是否明示收集使用个人信息的目的、方式和范围；是否未经用户同意收集使用个人信息；是否提供删除或更正个人信息功能；是否公布投诉、举报方式等信息。

　　注册时：判断密码是否存在安全漏洞。例如，登陆密码和交易密码是否独立；密码是否明文显示；是否具有密码即时防护功能；是否具有密码复杂度校验功能等。

　　使用时：判断个人信息是否存在泄露风险。例如，个人信息是否明文展示；是否具有即时防护功能等。

　　2. 评测标准：该评测报告除了依据央行发布的《移动金融客户端营业软件安全管理规范》，还包括工信部发布的《关于开展App违法违规收集使用个人信息专项治理的公告》、《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》以及《App违法违规收集使用个人信息行为认定方法》。

　　以支付业务为例，小米金融支付业务所收集的个人信息包括：姓名、国籍、性别、职业、住址、联系方式、身份证件的种类、号码和有效期、开户行、银行卡号、银行预留手机号、银行卡有效期外，还会收集订单信息、交易记录、转账记录、红包记录。如用户不提供上述信息，可能无法提供相关支付服务或功能。

　　根据2019年8月全国信息安全标准化技术委员会秘书处组织起草的《信息安全技术 移动互联网应用（App）收集个人信息基本规范（草案）》，网络支付业务包括支付、提现、转账、账单等功能。其最小信息收集范围包括24项，即网络访问日志；手机号码；身份基本信息；身份证信息；国际移动设备识别码；客户操作行为；交易信息；账号、口令；银行账户信息；交易身份验证信息；客服通话记录和聊天消息。

　　2）未建立并公布有效的个人信息安全投诉、举报渠道，同时并未承诺时限内(承诺时限不得超过15个工作日，无承诺时限的，以15个工作日为限)受理并处理的。

　　在小米金融APP隐私政策中，关于个人信息安全投诉和举报内容“如果您对收到的答复不满意，您可以将投诉移交给所在司法辖区的相关监管机构。如果您咨询我们，我们会根据您的实际情况，提供可能适用的相关投诉途径的信息。”而有关公司的联系方式，仅公司地址和邮箱。

　　根据网信办、工信部、公安部和市场监督管理总局发布的《App违法违规收集使用个人信息行为认定方法》，要求APP运营商建立并公布个人信息安全投诉、举报渠道，同时在承诺时限内受理并处理。

　　在小米的隐私政策中，关于个人信息安全的投诉和举报渠道，并未有提及，用户需要通过联系公司获取投诉途径。

　　3）以欺诈、诱骗等不正当方式误导用户同意收集个人 信息或打开可收集个人信息的权限。

　　当用户申请修改支付密码时，需要提交身份证照片和手持身份证照片进行身份认证。

　　App专项治理工作组对此表示，由于App运营者没有事先掌握手机号与“人证合一”照片之间的关联关系，这种所谓的核验毫无逻辑，属于典型的以“欺骗”等方式收集个人敏感信息。

　　注：根据《关于开展App违法违规收集使用个人信息专项治理的公告》，受中央网信办、工信部、公安部、市场监管总局委托，全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会成立App专项治理工作组。

　　评测依据：《移动金融客户端营业软件安全管理规范》在用户身份认证后，超过设定时限后，应采取措施对用户身份重新认证。

　　评测结果：小米金融会出现以下情况，1）如果用户设置了手势密码或面容ID，用户在退出APP之后，再次打开APP需要验证手势密码或面容ID；用户如果在选择“退出登录”操作之后，需重置验证手势密码和面容ID；2）如果用户未设置了手势密码和面容ID，在退出APP之后，在超过4个小时以上重新打开APP时，并没有采取任何措施对用户身份进行重新认证；3）用户在选择“退出登录”操作之后，只能通过手机验证码或登陆密码2中方式进行身份验证。

　　评测依据：《移动金融客户端营业软件安全管理规范》关于身份认证增强要求，客户端应用软件登录应采用两种或两种以上的要素对用户身份进行认证。

　　评测依据：《移动金融客户端营业软件安全管理规范》关于密码的设定与重置，修改登码前，应对用户身份进行重新验证；同时，要求在进行修改登录密码时，应采用两种或两种以上要素进行身份认证，如:数字证书、生物特征信息等。

　　评测依据：《移动金融客户端营业软件安全管理规范》客户端应用软件的口令框应默认屏蔽显示，屏蔽显示时应使用同一特殊字符(例如*或•)代替。

　　评测结果：当用户重新设置登录密码时，密码在没有任何防护措施的情况下，被明显显示。

　　评测依据：《移动金融客户端营业软件安全管理规范》应严格限制使用初始登录密码与初始交易密码，若设置初始密码，应强制用户在首次登录后修改初始密码。

　　评测结果：在使用小米金融APP时，并没有对用户进行要求修改初始登录密码和交易密码。

　　8）未采取有效措施提醒客户避免设置与常用软件、网站相同或相似的用户名和密码组合，并采取有效措施引导客户设置独立的支付密码。

　　评测依据：《移动金融客户端营业软件安全管理规范》应采取有效措施提醒客户避免设置与常用软件、网站相同或相似的用户名和密码组合，并采取有效措施引导客户设置独立的支付密码。

　　9）客户端应用软件应实现身份认证过程的防截屏、录屏，如:输入手势验证码、登录口令等。

　　评测依据：《移动金融客户端营业软件安全管理规范》客户端应用软件应实现身份认证过程的防截屏、录屏，如:输入手势验证码、登录口令等。

　　评测结果：用户可在打开录屏的情况下，可输入登录密码、输入交易密码，并修改登录密码。

　　评测标准：《移动金融客户端营业软件安全管理规范》客户端应用软件应提供客户输入信息的即时防护功能，如:卡片验证码、卡片有效期、银行卡账号、身份证号码、手机号码等信息。

　　评测结果：用户在输入银行卡、身份证号码、手机号码时，均未对个人信息进行屏蔽。

　　评测标准：《移动金融客户端营业软件安全管理规范》除交易对账、转账收款方确认等必须由用户确认的情况外，客户端应用软件在显示个人信息，如: 银行账号、身份证号码、手机号码、姓名等时应屏蔽关键字段。

　　12）APP处于已登录状态时，个人金融信息展示，未做任何屏蔽，直接进行展示，同时也没有屏蔽展示功能，由用户选择是否屏蔽展示。

　　评测标准；《移动金融客户端营业软件安全管理规范》处于已登录状态时，个人金融信息展示 ，对于银行卡号、客户法定名称、手机号码、证件类或其他识别标识信息等可以直接或组合后确定信息主体的信息应进行屏蔽展示，或由用户选择是否屏蔽展示。

　　评测结果：在使用小米金融APP时，并没有屏蔽选项可以供用户是否展示个人信息。

　　免责申明：评测最终解释权归零壹财经APP评测中心所有。本文不构成任何投资建议！

　　数据作为数字经济时代最核心、最具价值的生产要素，正加速成为全球经济增长的新动力、新引擎。近年来，我国深入布局数字经济战略，加快培育数据要素市场。“释放数据价值：数据要素市场研究”专题聚焦数据的存储开发、开放共享、交易流通、综合治理以及安全防护，从参与主体、商业模式创新及监管动向等多维度研究数据要素市场发展趋势。（点击下图进入专题）

　　普惠小微科技力——银行普惠小微金融战略与科技解决方案研究报告（2022）

　　海外创新案例 Spiff：销售佣金RPA领头羊，2022年收入增长100%

　　零壹元宇宙周报：上海经信委阮力：加快运用元宇宙、AR/VR等技术推进；百度副总裁马杰离职，元宇宙业务“希壤”陷入边缘化危机