注册  |  登录
声明

APP成窃数马甲:谁来呵护涉税数据安全

2018-10-17 15:45:28    来源:光明网    

原标题:当心!这些个税查询APP“有毒”

抓住大众关注个税的心理,一些心机商家上线疑似官方的个税查询APP。这类APP以免费使用、方便可靠吸引用户,实则依靠非法爬虫技术窃取用户个税隐私信息,并着力以金融衍生产品或服务交易获利。

有统计显示,这些APP的平均下载量在百万规模,拥有60%~70%的活跃使用量。有关人士提醒纳税人,进行涉税信息查询时,务必到当地税务机关办理或通过官方认可的正规渠道。

近期,个人所得税法修正案草案的审议、征求意见,让个税改革再度成为公众关注的焦点。但是,伴随个税话题的持续升温,个税相关概念也成为一些人用以牟取利益的工具。

前不久,杭州一家公司员工王伟一家就遇到一件烦心事儿。今年4月,听人介绍后,王伟的父亲在手机上下载了一款个人所得税查询APP,用于查询老两口的个税缴纳情况。之后,受APP平台附带理财广告的吸引,老人几次在网上进行投资,指望得到相应的回报。

不想3个月后,王父突然发现这款APP怎么也打不开了,先前的投资随之杳无踪迹。“很显然,是APP的开发商跑路了。可我父母把自己养老的钱都赔了进去,现在后悔莫及。对老人而言,打击太大了!”王伟说,这款APP打着官方查询的旗号,轻易赢得了老人的信任,谁承想却是个陷阱。

那么,像王伟父亲使用过的这种能够查询个人所得税的APP,到底是怎样的平台?调查发现,此类平台确实暗藏玄机。

手段:模糊身份吸引用户安装

“直联政府系统,可查询全国个税!”这是一款APP的宣传语。

进一步调查发现,仅在苹果手机应用商店,这类号称可以全国查询个税的应用就有十几个。以排名靠前的一款叫“全国个税查询”的APP为例,这款应用在功能介绍中写道“全国个税查询APP,线上联结全国地方税务局信息系统”,并称“支持全国400余城市”“12万个税申报上传无压力”,乍一看,还让人以为是税务局官方的APP。

下载安装APP后,其“用户服务协议”中写有“打通了与政府相关网站的接口”。具体使用个税查询功能时,用户需输入当地税务机关网站的自然人实名登录账号信息。登录成功后,确实能够查询到个人个税缴纳数据,并且能直接下载完税证明PDF文件。

可事实上,这些打着官方旗号的APP并未经过官方认可。那么,这些APP是如何实现个税查询功能的?

据业内软件工程师王先生介绍,当用户成功登录这些APP后,其在当地税务机关网站的自然人实名登录账号信息就被窃取了。紧接着,这类APP根据实名登录账号信息,利用爬虫技术伪装成自然人模拟登录各地税务局网站,然后自行爬取自然人在网站上的各种纳税信息数据。

“本质就是窃取数据。”王先生说。

仔细查询这些APP背后的开发商也能发现,他们通常既非官方认可的税务软件开发商,也非官方税务软件服务商,公司注册成立时间普遍在近两年。

危害:个人信息遭到窃取滥用

据王先生介绍,使用这类APP更大的风险隐患在于,APP会保存用户在税务局网站端的登录用户名、密码、个税数据等所有隐私信息,并用作他途。即便用户只使用过一次后就再没关注使用,在不自主登录的情况下,这类APP依然可以通过前期保存的用户名、密码,登录网站并任意拉取数据。

我们选取了这类APP中排名靠前的几家进行了对比分析。

从表面上看,此类APP以个税查询功能为核心,零星提供部分收入的计算功能,并无其他显性的商业价值诉求功能,看似是公益型应用。但深入对比会发现,多个APP背后单位的实际控制人相同,且这些控制人都紧密关联了P2P金融产业,涉及P2P借贷、金融信息整合类产品服务。比如,“全国个税查询”APP关联了“利得行”,“51个税管家”APP与“优借”、“51查个税”APP与“51金薪贷”进行了关联。

再仔细看此类APP的用户协议,能进一步发现端倪:此类APP的用户协议中都包含了要求用户隐私数据无偿共享给其他第三方的条款。如“51个税管家”用户协议里写道:“有权将相关的信息提供给第三方。”更有甚者,直接在协议中写道“提交/传输给相关主体/项目”,并列明了明确的金融类平台如“51有钱”“51有钱花”“零点花花公司”“花栗鼠”“51人品”等。

“如今,小到办理一张信用卡,大到贷款、买房、买车、落户等,都需要个人提交个税完税证明信息。作为公民的重要隐私,大家一定要保护好自己的个税纳税信息数据。”王伟说,“我父母的例子就是个教训。”

业内税务专家、注册税务师韩先生分析说,今年个人所得税法修正案草案面向社会公开征求意见,一个多月收到意见数超过13万条,足以说明社会公众对个税的关注度。正是在这一背景下,一些APP开发商乘虚而入,抓住大众关注个税改革的心理,开发出这类看似官方并且免费使用的APP,吸引用户下载安装,然后依靠非法爬虫技术获取用户个税隐私数据,再进一步吸引下载者从事金融衍生产品或服务交易。

统计数据显示,目前这些APP的平均下载量都在百万规模,其中60%~70%左右为活跃使用量。以此推算,这意味着每个APP可能违规爬取掌握个税纳税信息达六七十万条之多。

提醒:使用官方正规查询平台

“在未经各地税务部门安全评测、应用许可的情况下,假借政府和税务局官方之名,通过不透明的网络爬虫技术诱导开展自然人查询服务,已经扰乱了正常的个人所得税征管秩序。”韩先生说。

韩先生认为,在个税查询过程中截取的自然人个人账户登录信息,属于各地电子税务局非常重要的实名安全信息。一旦泄露,会给各地网上办税业务造成很大的风险隐患。这些风险隐患既面向纳税人,也面向税务机关。而纳税人发现信息泄露后,可能第一时间把矛头指向税务机关,可能严重影响征纳关系。

一位应用过此类APP的人士介绍说,“比起拿身份证到税务局查询个税缴税情况,这类APP应用起来确实很方便。超百万的下载量也表明,个税查询业务的需求量之大。”

“税务局内部对数据安全的管控是非常严格的。”一位省级税务局主管个人所得税业务的负责人表示,“目前我省公众个人查询个人所得税,只能凭有效证件到办税服务厅,通过税务局内部网络查询。但在一些地区,官方已经开通移动端查询平台。纳税人如果要查询个税纳税信息,请登录官方网站和软件平台。”

该负责人表示,“下一步,我们也将在确保数据安全的前提下,尽快开通网上官方查询个税渠道,为公众提供便捷服务。”

王伟也提醒广大纳税人,“要避免个税纳税信息泄露,千万不要贪图一时便利,随意使用税务系统登录账号和密码。平时,不要乱点来路不明的链接。针对市场上五花八门的理财陷阱,也要抵抗得住诱惑。”

对于如何防范数据泄露,也有技术人士建议,政府网站应该加强登录时的身份校验,比如采用实名制手机短信验证,就可以杜绝第三方在用户不知情的情况下偷偷获取数据。对于敏感数据的查看,则可以安排短信二次验证。

有关业内专家表示:安全和便捷在很多时候存在冲突。处理好这对矛盾,对征纳双方都是不小的挑战。从纳税人的角度看,有必要适当增加对税收知识、税收工作的了解,增强信息安全意识,提高辨别能力,防范风险;从税务部门的角度看,要正视纳税人日益增长的涉税需求,努力在保证安全的前提下提供尽可能便捷的涉税服务,回应公众关切;从社会治理的角度看,相关部门和行业,要进一步规范和加强监督管理,及时高效地打击侵害公民权益的行为,维护健康有序的社会经济环境。(许忱)

[责任编辑:李莹]

相关新闻

能源
关注留守儿童
精准扶贫
绿色生活
低碳

关于华讯| About huaxun| 法律顾问| 服务条款| 人员查询| 广告服务| 华讯公益| 合作伙伴| 网站导航| 版权所有| 联系我们

有害短信息举报 抵制违法广告承诺书 阳光· 绿色网络工程 版权保护投诉指引 网络法制和道德教育基地 北京通信局 新闻信息服务许可证 互联网出版许可证

邮箱:hx@huaxunnews.cn    电话:010-63607677

备案号:京ICP备16016777号-1

Copyright© 2015 Huaxun.All Rights Reserved