金融類App的與眾不同之處在于，其與貸款、理財(cái)?shù)让芮邢嚓P(guān)，合理范圍內(nèi)的手機(jī)權(quán)限是金融“反欺詐”大數(shù)據(jù)風(fēng)控策略的重要一環(huán)。

　　一款名叫“ZAO”的換臉手機(jī)App迅速走紅后又因收集用戶隱私信息備受爭(zhēng)議。

　　在今年App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理的當(dāng)下，多家金融類App也被“點(diǎn)名”超范圍收集用戶信息。

　　近期，包括銀行、互聯(lián)網(wǎng)金融等機(jī)構(gòu)迅速公布其最新的用戶數(shù)據(jù)隱私協(xié)議。最近的案例是9月27日，京東金融App即將更新其最新版本的App隱私政策。不僅如此，近日，多家金融機(jī)構(gòu)App亦更新了“用戶信息保護(hù)指引”。

　　例如，招行9月5日發(fā)布最新版本的App用戶隱私政策；工行8月31日對(duì)“融e行”App制定信息保護(hù)指引，當(dāng)用戶使用一些功能時(shí)，會(huì)收集地理位置、相冊(cè)等敏感信息。如，工行注冊(cè)“融e行”App，需要用戶手機(jī)號(hào)碼、昵稱、頭像、身份證信息、銀行卡號(hào)并驗(yàn)證銀行卡密碼。

　　但金融類App與眾不同之處在于，其與貸款、理財(cái)?shù)让芮邢嚓P(guān)，合理范圍內(nèi)的手機(jī)權(quán)限是金融“反欺詐”大數(shù)據(jù)風(fēng)控策略的重要一環(huán)。

　　機(jī)構(gòu)多須讀取權(quán)限才可使用App

　　隨著移動(dòng)支付興起，大多數(shù)金融機(jī)構(gòu)需要轉(zhuǎn)向移動(dòng)端，一個(gè)App即承載了經(jīng)營(yíng)所需的大多數(shù)功能。

　　不過，由于金融服務(wù)的特殊性，大多數(shù)銀行App要求強(qiáng)制讀取部分手機(jī)隱私權(quán)限，否則將無(wú)法使用相關(guān)App功能。

　　9月24日，記者測(cè)試各大銀行手機(jī)App權(quán)限發(fā)現(xiàn)，四大行中，工商銀行App要求讀取用戶手機(jī)設(shè)備ID等電話權(quán)限、存儲(chǔ)權(quán)限，否則將無(wú)法使用App。建設(shè)銀行App要求讀取手機(jī)狀態(tài)和身份等基礎(chǔ)信息、照片和媒體文件、獲取位置、獲取已安裝應(yīng)用列表。農(nóng)行、中行App要求獲取設(shè)備通話狀態(tài)和識(shí)別碼等設(shè)備信息，否則不能使用App。

　　其中，所謂手機(jī)識(shí)別碼，也稱手機(jī)序列號(hào)、IMEI，用于在移動(dòng)電話網(wǎng)絡(luò)中識(shí)別每一部獨(dú)立的手機(jī)等移動(dòng)通信設(shè)備，相當(dāng)于移動(dòng)電話的身份證。

　　再觀察股份制銀行App，招商銀行App要求讀取存儲(chǔ)、設(shè)備ID、位置等信息。平安口袋銀行App要求讀取識(shí)別碼和存儲(chǔ)權(quán)限。

　　互聯(lián)網(wǎng)信貸類產(chǎn)品中，微眾銀行App、百信銀行App也均要求讀取設(shè)備標(biāo)識(shí)和存儲(chǔ)權(quán)限，否則將無(wú)法使用App。此外，百信銀行App也指出，關(guān)閉位置權(quán)限，會(huì)影響貸款等產(chǎn)品使用。此外消費(fèi)金融公司中，招聯(lián)消費(fèi)金融要求讀取存儲(chǔ)空間、電話和位置權(quán)限。

　　銀行讀取這些隱私權(quán)限有何用途？對(duì)于IMEI等手機(jī)識(shí)別碼，在于確定機(jī)主個(gè)人信息，從而確保手機(jī)端設(shè)備登錄的安全性。

　　值得注意的是，銀行類App要求讀取手機(jī)位置權(quán)限。多位業(yè)內(nèi)人士指出，這與金融機(jī)構(gòu)的反欺詐策略有關(guān)。

　　建行App顯示，獲取位置信息用于電子銀行交易風(fēng)控，同時(shí)查看周邊網(wǎng)點(diǎn)、優(yōu)惠商戶及所在城市的生活、信用卡及貸款等生活服務(wù)。掃描已安裝應(yīng)用列表是為了驗(yàn)證是否存在仿冒建行App的應(yīng)用。

　　招行App明確指出，讀取地理位置主要用于App交易風(fēng)控，另外展示城市服務(wù)，包括網(wǎng)點(diǎn)預(yù)約、搜索結(jié)果匹配、飯票和影票，系統(tǒng)后臺(tái)將保存交易時(shí)的位置信息、IP地址和端口等網(wǎng)絡(luò)信息。

　　獲取多類權(quán)限必須且必要？

　　金融類App強(qiáng)制讀取這些權(quán)限，是必須且必要的嗎？

　　9月24日，一位大行風(fēng)控團(tuán)隊(duì)人士對(duì)記者表示，銀行App讀取定位權(quán)限、IMEI等，一般用于銀行“反欺詐”模型的驗(yàn)證，主要觀察行為軌跡是否正常，是否有被集體操縱，從而防范“羊毛黨”等欺詐團(tuán)伙。

　　頂象反欺詐專家梁家輝認(rèn)為，IMEI號(hào)類數(shù)據(jù)可以作為設(shè)備唯一標(biāo)識(shí)，用來(lái)跟蹤設(shè)備與用戶綁定匹配等關(guān)系。如果一個(gè)賬戶經(jīng)常換設(shè)備登錄，或者一臺(tái)設(shè)備上登錄多個(gè)賬戶，這臺(tái)設(shè)備就可以被判定為“風(fēng)險(xiǎn)設(shè)備”，在該設(shè)備上登錄過的賬號(hào)都是存在風(fēng)險(xiǎn)的。

　　他指出，IMEI如果作“設(shè)備唯一標(biāo)識(shí)”，屬于高權(quán)重字段。但現(xiàn)實(shí)情況中，一般不會(huì)采用IMEI作為設(shè)備唯一標(biāo)識(shí)，因?yàn)镮MEI非常容易被篡改，一般是依賴多個(gè)字段組合生成唯一標(biāo)識(shí)。設(shè)備的定位信息在反欺詐識(shí)別的權(quán)重屬中等。相比之下，設(shè)備當(dāng)前的環(huán)境風(fēng)險(xiǎn)情況(如是否運(yùn)行在模擬器、是否多開、是否被注入等等)權(quán)重更高。

　　這其中，智能手機(jī)的地理位置權(quán)限對(duì)于信貸等交易至關(guān)重要。

　　一位資深消費(fèi)金融人士指出，在其風(fēng)控模型中，舉例而言，設(shè)想一個(gè)人如果多年沒換手機(jī)號(hào)碼說明至少不會(huì)突然“失蹤”，通話關(guān)系比較穩(wěn)定說明有穩(wěn)定的交際，若有穩(wěn)定的出現(xiàn)位置，即使沒有聚焦位置但長(zhǎng)期在同一個(gè)基站，說明其生活和工作范圍，這就可能排除掉很多其他風(fēng)險(xiǎn)。如果“羊毛黨”買個(gè)號(hào)碼，絕對(duì)不是上述這種表現(xiàn)，將這一數(shù)據(jù)與其他的數(shù)據(jù)結(jié)合，再與放貸放在一起，具有很強(qiáng)的相關(guān)性。

　　梁家輝認(rèn)為，定位權(quán)限可以根據(jù)用戶的地理位置來(lái)判斷異地登錄、異地消費(fèi)是否存在欺詐、盜刷等風(fēng)險(xiǎn)交易的可能。

　　違規(guī)App被點(diǎn)名

　　電子支付、人臉識(shí)別的盛行，也讓其成為驗(yàn)證個(gè)人身份的重要工具，部分銀行等金融類App要求大額轉(zhuǎn)賬時(shí)需要人臉識(shí)別認(rèn)證。

　　但過度收集隱私數(shù)據(jù)導(dǎo)致公眾一度恐慌。換臉App受追捧僅過一天，公司被曝光將上傳的肖像據(jù)為己有，可隨意使用、再授權(quán)，被質(zhì)疑可用于盜刷。支付寶緊急辟謠稱，“假臉”無(wú)法突破風(fēng)控手段，不影響安全，但其表示采集用戶信息時(shí)，應(yīng)遵循最少、夠用的原則。

　　今年1月，網(wǎng)信辦、工信部、公安部、市場(chǎng)監(jiān)管總局等聯(lián)合發(fā)布《關(guān)于開展App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理的公告》。

　　公告指出，近年來(lái)，移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(App)得到廣泛應(yīng)用，但App強(qiáng)制授權(quán)、過度索權(quán)、超范圍收集個(gè)人信息的現(xiàn)象大量存在，違法違規(guī)使用個(gè)人信息的問題十分突出。決定自2019年1月至12月，在全國(guó)范圍組織開展App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理。

　　9月21日，國(guó)家網(wǎng)絡(luò)安全宣傳周傳出消息，截至目前，App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理工作組已經(jīng)評(píng)估近600款用戶量大、與民眾生活密切相關(guān)的App，并向其中問題嚴(yán)重的200余款A(yù)pp運(yùn)營(yíng)者告知評(píng)估結(jié)果，建議其及時(shí)整改，整改問題達(dá)800余個(gè)。

　　其中，理財(cái)貸款類App成重災(zāi)區(qū)，多款理財(cái)貸款類App被“點(diǎn)名”。某網(wǎng)絡(luò)貸款A(yù)pp開發(fā)公司為多家“套路貸”公司提供App開發(fā)集成服務(wù)，并開設(shè)公司，采用技術(shù)手段在網(wǎng)上扒取用戶的通話詳單、充值記錄、消費(fèi)記錄，用以判斷受害人消費(fèi)能力和家庭準(zhǔn)確住址。

　　自8月底以來(lái)，廣東警方先后曝光86款存在違規(guī)行為的App，其中多款為金融類App。

　　例如，廣東警方指出，日照銀行App 4.2.3版本超范圍讀取用戶聯(lián)系人通訊錄信息、收集用戶位置信息、獲取用戶設(shè)備上已知賬號(hào)列表、允許應(yīng)用隨時(shí)使用麥克風(fēng)進(jìn)行錄音，且其無(wú)隱私政策。

　　此外，互聯(lián)網(wǎng)金融類App中，廣東警方指出，微貸網(wǎng)App 6.5.1版本超范圍收集手機(jī)用戶位置信息，允許應(yīng)用隨時(shí)使用麥克風(fēng)進(jìn)行錄音，且未在隱私協(xié)議中說明錄音、訪問用戶位置的用途；小牛在線App 5.1.6 超范圍收集讀取用戶聯(lián)系人數(shù)據(jù)、通話記錄日志、允許應(yīng)用程序錄制音頻。

　　同時(shí)，一款名為“口袋貴金屬”App 8.7.3版本被指出，該App讀取用戶短信內(nèi)容，可在用戶未執(zhí)行操作的情況下?lián)艽螂娫捥?hào)碼，可能導(dǎo)致意外收費(fèi)或呼叫，允許應(yīng)用隨時(shí)使用麥克風(fēng)進(jìn)行錄音。南京某公司開發(fā)的兩款借錢類App，均超范圍收集讀取用戶聯(lián)系人數(shù)據(jù)，接受并讀取用戶短信內(nèi)容。

　　目前，針對(duì)App隱私安全的治理仍在起步。不久前，《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》等系列制度文件剛公開征求意見。