11月18日，中国银联下发《关于开展收单机构信用卡违规代还专项规范工作的通知》，要求各收单机构立即关停信用卡违规代还业务，明确此类业务存在巨大风险隐患，限期两周内清退完毕，从12月2日起，一经发现，从严处置。

信用卡代还主要业务模式有三种，一、“套现贷”模式：代还平台利用信用卡账单日和还款日的时差，用户只需要在信用卡中存入少量资金，代还平台循环刷取资金返给用户，从而达到全额还款的目的。二、平台代偿模式：信用卡代还平台垫付用户信用卡欠款，并取得对用户的债权，用户需定期向代还平台偿还贷款。三、信用卡套现模式：用户有多张信用卡，利用信用卡刷卡消费存在免息期的漏洞，循环刷多张卡来维持免息借款。

信用卡代还应用平台收取高利率的同时，因其掌握了用户身份证号、信用卡号、储蓄卡号等敏感信息，若遭到恶意利用或泄露，便会造成银行卡被盗刷等严重后果。爱加密大数据监管平台对此类应用进行个人信息检测发现，信用卡代还应用不仅存在获取用户身份证号、家庭住址、手机号码、个人征信等敏感信息，还存在超范围获取个人人像信息、指纹等生物信息以及住房公积金账户、社保账号、收集营业厅账号等与业务无关的敏感信息。

据全国信息安全标准化技术委员今年发布的《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》规定，金融借贷类应用可收集的必要信息“紧急联系人信息”应采用用户手动输入的方式，不应强制读取用户通讯录，而网络支付类应用可收集的必要信息没有“联系人信息”这一项。更有甚者，通过获取营业厅账号密码读取用户手机通话详情。按照最少够用原则，包括金融借贷类、网络支付类应用在内的具备信用卡代还功能的金融类应用，均存在超范围采集个人信息现象，埋下了巨大安全隐患。

应用主体过度索权的同时，对用户个人信息保护意识堪忧。多数信用卡代还应用任意分享用户个人信息给合作机构。有的应用服务协议或隐私政策中声明，需要对用户进行催收和追索债务等工作时，不用经过用户再次授权可为催收机构等第三方提供用户身份信息、联络信息等个人敏感信息。从而导致个人信息泄露等严重后果，且协议中并未声明责任主体，存在极大的隐私信息泄露风险。

据爱加密大数据平台数据统计，信用卡代还应用达1710款。基于这1710款应用我们发现，信用卡代还应用分布在28个省份，广东及湖北两地占据半数市场。全国529个应用市场中，有103个应用市场收录有具备信用卡代还功能的应用，66.02%的应用市场收录信用卡代还应用不超过10个。通过爱加密个人信息安全检测平台对这些App进行个人信息检测后发现，大多数App存在超范围采集、过度申请权限的现象。主要检测情况如下：

1、安全漏洞检测情况

83.98%的信用卡代还应用（1436款）存在安全漏洞，平均每款应用存在19.3个漏洞。共计检测出55种漏洞类型，其中高危漏洞类型20种。

从高危漏洞类型来看，存在动态注册Receiver风险的应用最多，占监测总数的62.11%；其次是Janus漏洞，占监测总数的60.64%；排名第三的是WebView远程代码执行漏洞，有59.94%的应用存在该安全漏洞。

漏洞类型top10

2、恶意程序检测情况

有71款应用检测到恶意程序，占监测总数的4.15%，近6成分布在广东地区。从恶意程序类型来看，92.96%的病毒App存在流氓行为，这类病毒会在用户未授权的情况下，弹出广告窗口等。

恶意程序类型分布

3、第三方SDK嵌入情况

28.48%的信用卡代还应用嵌入第三方SDK。从SDK功能类型来看，嵌入推送功能SDK的应用最多，占嵌入SDK应用总数的62.83%；其次是统计功能，占嵌入SDK应用总数的51.33%。

嵌入的SDK功能类型分布

如今，个人信息安全已上升至国家层面，国家网络安全政策更是密集出台。爱加密长期关注我国移动应用安全问题，致力于构建以物联网和安全威胁大数据为核心的3.0生态体系。针对备受关注的个人信息安全问题，爱加密推出移动应用个人信息安全检测平台。

该平台针对个人信息安全合规问题，对移动应用提供多维度的验证。可对静态检测、动态检测过程中产生的原始数据进行分析运算，并对App隐私条款可能导致的隐私政策文本、收集使用个人信息行为、运营者对用户权利保障等30多个评估点进行检测，同时出具个人信息安全检测报告，为监管机构行政执法提供辅助依据，为企业提供App整改意见，从而推动个人信息安全的保护和建设。