為了“反欺詐”金融類App需要更多手機“權限”?
2019年09月25日06:08

  原標題:為了“反欺詐”金融類App需要更多手機“權限”?

  金融類App的與眾不同之處在於,其與貸款、理財等密切相關,合理範圍內的手機權限是金融“反欺詐”大數據風控策略的重要一環。

  一款名叫“ZAO”的換臉手機App迅速走紅後又因收集用戶隱私信息備受爭議。

  在今年App違法違規收集使用個人信息專項治理的當下,多家金融類App也被“點名”超範圍收集用戶信息。

  近期,包括銀行、互聯網金融等機構迅速公佈其最新的用戶數據隱私協議。最近的案例是9月27日,京東金融App即將更新其最新版本的App隱私政策。不僅如此,近日,多家金融機構App亦更新了“用戶信息保護指引”。

  例如,招行9月5日發佈最新版本的App用戶隱私政策;工行8月31日對“融e行”App製定信息保護指引,當用戶使用一些功能時,會收集地理位置、相冊等敏感信息。如,工行註冊“融e行”App,需要用戶手機號碼、昵稱、頭像、身份證信息、銀行卡號並驗證銀行卡密碼。

  但金融類App與眾不同之處在於,其與貸款、理財等密切相關,合理範圍內的手機權限是金融“反欺詐”大數據風控策略的重要一環。

  機構多須讀取權限才可使用App

  隨著移動支付興起,大多數金融機構需要轉向移動端,一個App即承載了經營所需的大多數功能。

  不過,由於金融服務的特殊性,大多數銀行App要求強製讀取部分手機隱私權限,否則將無法使用相關App功能。

  9月24日,記者測試各大銀行手機App權限發現,四大行中,工商銀行App要求讀取用戶手機設備ID等電話權限、存儲權限,否則將無法使用App。建設銀行App要求讀取手機狀態和身份等基礎信息、照片和媒體文件、獲取位置、獲取已安裝應用列表。農行、中行App要求獲取設備通話狀態和識別碼等設備信息,否則不能使用App。

  其中,所謂手機識別碼,也稱手機序列號、IMEI,用於在移動電話網絡中識別每一部獨立的手機等移動通信設備,相當於移動電話的身份證。

  再觀察股份製銀行App,招商銀行App要求讀取存儲、設備ID、位置等信息。平安口袋銀行App要求讀取識別碼和存儲權限。

  互聯網信貸類產品中,微眾銀行App、百信銀行App也均要求讀取設備標識和存儲權限,否則將無法使用App。此外,百信銀行App也指出,關閉位置權限,會影響貸款等產品使用。此外消費金融公司中,招聯消費金融要求讀取存儲空間、電話和位置權限。

  銀行讀取這些隱私權限有何用途?對於IMEI等手機識別碼,在於確定機主個人信息,從而確保手機端設備登錄的安全性。

  值得注意的是,銀行類App要求讀取手機位置權限。多位業內人士指出,這與金融機構的反欺詐策略有關。

  建行App顯示,獲取位置信息用於電子銀行交易風控,同時查看周邊網點、優惠商戶及所在城市的生活、信用卡及貸款等生活服務。掃瞄已安裝應用列表是為了驗證是否存在仿冒建行App的應用。

  招行App明確指出,讀取地理位置主要用於App交易風控,另外展示城市服務,包括網點預約、搜索結果匹配、飯票和影票,系統後台將保存交易時的位置信息、IP地址和端口等網絡信息。

  獲取多類權限必須且必要?

  金融類App強製讀取這些權限,是必須且必要的嗎?

  9月24日,一位大行風控團隊人士對記者表示,銀行App讀取定位權限、IMEI等,一般用於銀行“反欺詐”模型的驗證,主要觀察行為軌跡是否正常,是否有被集體操縱,從而防範“羊毛黨”等欺詐團夥。

  頂象反欺詐專家梁家輝認為,IMEI號類數據可以作為設備唯一標識,用來跟蹤設備與用戶綁定匹配等關係。如果一個賬戶經常換設備登錄,或者一台設備上登錄多個賬戶,這台設備就可以被判定為“風險設備”,在該設備上登錄過的賬號都是存在風險的。

  他指出,IMEI如果作“設備唯一標識”,屬於高權重字段。但現實情況中,一般不會採用IMEI作為設備唯一標識,因為IMEI非常容易被篡改,一般是依賴多個字段組合生成唯一標識。設備的定位信息在反欺詐識別的權重屬中等。相比之下,設備當前的環境風險情況(如是否運行在模擬器、是否多開、是否被注入等等)權重更高。

  這其中,智能手機的地理位置權限對於信貸等交易至關重要。

  一位資深消費金融人士指出,在其風控模型中,舉例而言,設想一個人如果多年沒換手機號碼說明至少不會突然“失蹤”,通話關係比較穩定說明有穩定的交際,若有穩定的出現位置,即使沒有聚焦位置但長期在同一個基站,說明其生活和工作範圍,這就可能排除掉很多其他風險。如果“羊毛黨”買個號碼,絕對不是上述這種表現,將這一數據與其他的數據結合,再與放貸放在一起,具有很強的相關性。

  梁家輝認為,定位權限可以根據用戶的地理位置來判斷異地登錄、異地消費是否存在欺詐、盜刷等風險交易的可能。

  違規App被點名

  電子支付、人臉識別的盛行,也讓其成為驗證個人身份的重要工具,部分銀行等金融類App要求大額轉賬時需要人臉識別認證。

  但過度收集隱私數據導致公眾一度恐慌。換臉App受追捧僅過一天,公司被曝光將上傳的肖像據為己有,可隨意使用、再授權,被質疑可用於盜刷。支付寶緊急闢謠稱,“假臉”無法突破風控手段,不影響安全,但其表示採集用戶信息時,應遵循最少、夠用的原則。

  今年1月,網信辦、工信部、公安部、市場監管總局等聯合發佈《關於開展App違法違規收集使用個人信息專項治理的公告》。

  公告指出,近年來,移動互聯網應用程式(App)得到廣泛應用,但App強製授權、過度索權、超範圍收集個人信息的現象大量存在,違法違規使用個人信息的問題十分突出。決定自2019年1月至12月,在全國範圍組織開展App違法違規收集使用個人信息專項治理。

  9月21日,國家網絡安全宣傳週傳出消息,截至目前,App違法違規收集使用個人信息專項治理工作組已經評估近600款用戶量大、與民眾生活密切相關的App,並向其中問題嚴重的200餘款App運營者告知評估結果,建議其及時整改,整改問題達800餘個。

  其中,理財貸款類App成重災區,多款理財貸款類App被“點名”。某網絡貸款App開發公司為多家“套路貸”公司提供App開發集成服務,並開設公司,採用技術手段在網上扒取用戶的通話詳單、充值記錄、消費記錄,用以判斷受害人消費能力和家庭準確住址。

  自8月底以來,廣東警方先後曝光86款存在違規行為的App,其中多款為金融類App。

  例如,廣東警方指出,日照銀行App 4.2.3版本超範圍讀取用戶聯繫人通訊錄信息、收集用戶位置信息、獲取用戶設備上已知賬號列表、允許應用隨時使用麥克風進行錄音,且其無隱私政策。

  此外,互聯網金融類App中,廣東警方指出,微貸網App 6.5.1版本超範圍收集手機用戶位置信息,允許應用隨時使用麥克風進行錄音,且未在隱私協議中說明錄音、訪問用戶位置的用途;小牛在線App 5.1.6 超範圍收集讀取用戶聯繫人數據、通話記錄日誌、允許應用程式錄製音頻。

  同時,一款名為“口袋貴金屬”App 8.7.3版本被指出,該App讀取用戶短信內容,可在用戶未執行操作的情況下撥打電話號碼,可能導致意外收費或呼叫,允許應用隨時使用麥克風進行錄音。南京某公司開發的兩款借錢類App,均超範圍收集讀取用戶聯繫人數據,接受並讀取用戶短信內容。

  目前,針對App隱私安全的治理仍在起步。不久前,《App違法違規收集使用個人信息行為認定方法》等系列製度文件剛公開徵求意見。

關注我們Facebook專頁
    相關新聞
      更多瀏覽