為了“反欺詐”金融類App需要更多手機“權限”？

　　金融類App的與眾不同之處在于，其與貸款、理財等密切相關，合理范圍內的手機權限是金融“反欺詐”大數據風控策略的重要一環。

　　一款名叫“ZAO”的換臉手機App迅速走紅后又因收集用戶隱私信息備受爭議。

　　在今年App違法違規收集使用個人信息專項治理的當下，多家金融類App也被“點名”超范圍收集用戶信息。

　　近期，包括銀行、互聯網金融等機構迅速公布其最新的用戶數據隱私協議。最近的案例是9月27日，京東金融App即將更新其最新版本的App隱私政策。不僅如此，近日，多家金融機構App亦更新了“用戶信息保護指引”。

　　例如，招行9月5日發布最新版本的App用戶隱私政策；工行8月31日對“融e行”App制定信息保護指引，當用戶使用一些功能時，會收集地理位置、相冊等敏感信息。如，工行注冊“融e行”App，需要用戶手機號碼、昵稱、頭像、身份證信息、銀行卡號并驗證銀行卡密碼。

　　但金融類App與眾不同之處在于，其與貸款、理財等密切相關，合理范圍內的手機權限是金融“反欺詐”大數據風控策略的重要一環。

　　機構多須讀取權限才可使用App

　　隨著移動支付興起，大多數金融機構需要轉向移動端，一個App即承載了經營所需的大多數功能。

　　不過，由于金融服務的特殊性，大多數銀行App要求強制讀取部分手機隱私權限，否則將無法使用相關App功能。

　　9月24日，記者測試各大銀行手機App權限發現，四大行中，工商銀行App要求讀取用戶手機設備ID等電話權限、存儲權限，否則將無法使用App。建設銀行App要求讀取手機狀態和身份等基礎信息、照片和媒體文件、獲取位置、獲取已安裝應用列表。農行、中行App要求獲取設備通話狀態和識別碼等設備信息，否則不能使用App。

　　其中，所謂手機識別碼，也稱手機序列號、IMEI，用于在移動電話網絡中識別每一部獨立的手機等移動通信設備，相當于移動電話的身份證。

　　再觀察股份制銀行App，招商銀行App要求讀取存儲、設備ID、位置等信息。平安口袋銀行App要求讀取識別碼和存儲權限。

　　互聯網信貸類產品中，微眾銀行App、百信銀行App也均要求讀取設備標識和存儲權限，否則將無法使用App。此外，百信銀行App也指出，關閉位置權限，會影響貸款等產品使用。此外消費金融公司中，招聯消費金融要求讀取存儲空間、電話和位置權限。

　　銀行讀取這些隱私權限有何用途？對于IMEI等手機識別碼，在于確定機主個人信息，從而確保手機端設備登錄的安全性。

　　值得注意的是，銀行類App要求讀取手機位置權限。多位業內人士指出，這與金融機構的反欺詐策略有關。

　　建行App顯示，獲取位置信息用于電子銀行交易風控，同時查看周邊網點、優惠商戶及所在城市的生活、信用卡及貸款等生活服務。掃描已安裝應用列表是為了驗證是否存在仿冒建行App的應用。

　　招行App明確指出，讀取地理位置主要用于App交易風控，另外展示城市服務，包括網點預約、搜索結果匹配、飯票和影票，系統后臺將保存交易時的位置信息、IP地址和端口等網絡信息。

　　獲取多類權限必須且必要？

　　金融類App強制讀取這些權限，是必須且必要的嗎？

　　9月24日，一位大行風控團隊人士對記者表示，銀行App讀取定位權限、IMEI等，一般用于銀行“反欺詐”模型的驗證，主要觀察行為軌跡是否正常，是否有被集體操縱，從而防范“羊毛黨”等欺詐團伙。

　　頂象反欺詐專家梁家輝認為，IMEI號類數據可以作為設備唯一標識，用來跟蹤設備與用戶綁定匹配等關系。如果一個賬戶經常換設備登錄，或者一臺設備上登錄多個賬戶，這臺設備就可以被判定為“風險設備”，在該設備上登錄過的賬號都是存在風險的。

　　他指出，IMEI如果作“設備唯一標識”，屬于高權重字段。但現實情況中，一般不會采用IMEI作為設備唯一標識，因為IMEI非常容易被篡改，一般是依賴多個字段組合生成唯一標識。設備的定位信息在反欺詐識別的權重屬中等。相比之下，設備當前的環境風險情況(如是否運行在模擬器、是否多開、是否被注入等等)權重更高。

　　這其中，智能手機的地理位置權限對于信貸等交易至關重要。

　　一位資深消費金融人士指出，在其風控模型中，舉例而言，設想一個人如果多年沒換手機號碼說明至少不會突然“失蹤”，通話關系比較穩定說明有穩定的交際，若有穩定的出現位置，即使沒有聚焦位置但長期在同一個基站，說明其生活和工作范圍，這就可能排除掉很多其他風險。如果“羊毛黨”買個號碼，絕對不是上述這種表現，將這一數據與其他的數據結合，再與放貸放在一起，具有很強的相關性。

　　梁家輝認為，定位權限可以根據用戶的地理位置來判斷異地登錄、異地消費是否存在欺詐、盜刷等風險交易的可能。

　　違規App被點名

　　電子支付、人臉識別的盛行，也讓其成為驗證個人身份的重要工具，部分銀行等金融類App要求大額轉賬時需要人臉識別認證。

　　但過度收集隱私數據導致公眾一度恐慌。換臉App受追捧僅過一天，公司被曝光將上傳的肖像據為己有，可隨意使用、再授權，被質疑可用于盜刷。支付寶緊急辟謠稱，“假臉”無法突破風控手段，不影響安全，但其表示采集用戶信息時，應遵循最少、夠用的原則。

　　今年1月，網信辦、工信部、公安部、市場監管總局等聯合發布《關于開展App違法違規收集使用個人信息專項治理的公告》。

　　公告指出，近年來，移動互聯網應用程序(App)得到廣泛應用，但App強制授權、過度索權、超范圍收集個人信息的現象大量存在，違法違規使用個人信息的問題十分突出。決定自2019年1月至12月，在全國范圍組織開展App違法違規收集使用個人信息專項治理。

　　9月21日，國家網絡安全宣傳周傳出消息，截至目前，App違法違規收集使用個人信息專項治理工作組已經評估近600款用戶量大、與民眾生活密切相關的App，并向其中問題嚴重的200余款App運營者告知評估結果，建議其及時整改，整改問題達800余個。

　　其中，理財貸款類App成重災區，多款理財貸款類App被“點名”。某網絡貸款App開發公司為多家“套路貸”公司提供App開發集成服務，并開設公司，采用技術手段在網上扒取用戶的通話詳單、充值記錄、消費記錄，用以判斷受害人消費能力和家庭準確住址。

　　自8月底以來，廣東警方先后曝光86款存在違規行為的App，其中多款為金融類App。

　　例如，廣東警方指出，日照銀行App 4.2.3版本超范圍讀取用戶聯系人通訊錄信息、收集用戶位置信息、獲取用戶設備上已知賬號列表、允許應用隨時使用麥克風進行錄音，且其無隱私政策。

　　此外，互聯網金融類App中，廣東警方指出，微貸網App 6.5.1版本超范圍收集手機用戶位置信息，允許應用隨時使用麥克風進行錄音，且未在隱私協議中說明錄音、訪問用戶位置的用途；小牛在線App 5.1.6 超范圍收集讀取用戶聯系人數據、通話記錄日志、允許應用程序錄制音頻。

　　同時，一款名為“口袋貴金屬”App 8.7.3版本被指出，該App讀取用戶短信內容，可在用戶未執行操作的情況下撥打電話號碼，可能導致意外收費或呼叫，允許應用隨時使用麥克風進行錄音。南京某公司開發的兩款借錢類App，均超范圍收集讀取用戶聯系人數據，接受并讀取用戶短信內容。

　　目前，針對App隱私安全的治理仍在起步。不久前，《App違法違規收集使用個人信息行為認定方法》等系列制度文件剛公開征求意見。