為了「反欺詐」,金融類App需要更多手機「權限」?

金融類App的與眾不同之處在於，其與貸款、理財等密切相關，合理範圍內的手機權限是金融「反欺詐」大數據風控策略的重要一環。

圖片來源：攝圖網

一款名叫「ZAO」的換臉手機App迅速走紅後又因收集用戶隱私信息備受爭議。

在今年App違法違規收集使用個人信息專項治理的當下，多家金融類App也被「點名」超範圍收集用戶信息。

近期，包括銀行、網際網路金融等機構迅速公布其最新的用戶數據隱私協議。最近的案例是9月27日，京東金融App即將更新其最新版本的App隱私政策。不僅如此，近日，多家金融機構App亦更新了「用戶信息保護指引」。

例如，招行9月5日發布最新版本的App用戶隱私政策；工行8月31日對「融e行」App制定信息保護指引，當用戶使用一些功能時，會收集地理位置、相冊等敏感信息。如，工行註冊「融e行」App，需要用戶手機號碼、暱稱、頭像、身份證信息、銀行卡號並驗證銀行卡密碼。

但金融類App與眾不同之處在於，其與貸款、理財等密切相關，合理範圍內的手機權限是金融「反欺詐」大數據風控策略的重要一環。

機構多須讀取權限才可使用App

隨著行動支付興起，大多數金融機構需要轉向移動端，一個App即承載了經營所需的大多數功能。

不過，由於金融服務的特殊性，大多數銀行App要求強制讀取部分手機隱私權限，否則將無法使用相關App功能。

9月24日，記者測試各大銀行手機App權限發現，四大行中，工商銀行App要求讀取用戶手機設備ID等電話權限、存儲權限，否則將無法使用App。建設銀行App要求讀取手機狀態和身份等基礎信息、照片和媒體文件、獲取位置、獲取已安裝應用列表。農行、中行App要求獲取設備通話狀態和識別碼等設備信息，否則不能使用App。

其中，所謂手機識別碼，也稱手機序列號、IMEI，用於在行動電話網絡中識別每一部獨立的手機等移動通信設備，相當於行動電話的身份證。

再觀察股份制銀行App，招商銀行App要求讀取存儲、設備ID、位置等信息。平安口袋銀行App要求讀取識別碼和存儲權限。

網際網路信貸類產品中，微眾銀行App、百信銀行App也均要求讀取設備標識和存儲權限，否則將無法使用App。此外，百信銀行App也指出，關閉位置權限，會影響貸款等產品使用。此外消費金融公司中，招聯消費金融要求讀取存儲空間、電話和位置權限。

銀行讀取這些隱私權限有何用途？對於IMEI等手機識別碼，在於確定機主個人信息，從而確保手機端設備登錄的安全性。

值得注意的是，銀行類App要求讀取手機位置權限。多位業內人士指出，這與金融機構的反欺詐策略有關。

建行App顯示，獲取位置信息用於電子銀行交易風控，同時查看周邊網點、優惠商戶及所在城市的生活、信用卡及貸款等生活服務。掃描已安裝應用列表是為了驗證是否存在仿冒建行App的應用。

招行App明確指出，讀取地理位置主要用於App交易風控，另外展示城市服務，包括網點預約、搜索結果匹配、飯票和影票，系統後臺將保存交易時的位置信息、IP位址和埠等網絡信息。

獲取多類權限必須且必要？

金融類App強制讀取這些權限，是必須且必要的嗎？

9月24日，一位大行風控團隊人士對記者表示，銀行App讀取定位權限、IMEI等，一般用於銀行「反欺詐」模型的驗證，主要觀察行為軌跡是否正常，是否有被集體操縱，從而防範「羊毛黨」等欺詐團夥。

頂象反欺詐專家梁家輝認為，IMEI號類數據可以作為設備唯一標識，用來跟蹤設備與用戶綁定匹配等關係。如果一個帳戶經常換設備登錄，或者一臺設備上登錄多個帳戶，這臺設備就可以被判定為「風險設備」，在該設備上登錄過的帳號都是存在風險的。

他指出，IMEI如果作「設備唯一標識」，屬於高權重欄位。但現實情況中，一般不會採用IMEI作為設備唯一標識，因為IMEI非常容易被篡改，一般是依賴多個欄位組合生成唯一標識。設備的定位信息在反欺詐識別的權重屬中等。相比之下，設備當前的環境風險情況（如是否運行在模擬器、是否多開、是否被注入等等）權重更高。

這其中，智慧型手機的地理位置權限對於信貸等交易至關重要。

一位資深消費金融人士指出，在其風控模型中，舉例而言，設想一個人如果多年沒換手機號碼說明至少不會突然「失蹤」，通話關係比較穩定說明有穩定的交際，若有穩定的出現位置，即使沒有聚焦位置但長期在同一個基站，說明其生活和工作範圍，這就可能排除掉很多其他風險。如果「羊毛黨」買個號碼，絕對不是上述這種表現，將這一數據與其他的數據結合，再與放貸放在一起，具有很強的相關性。

梁家輝認為，定位權限可以根據用戶的地理位置來判斷異地登錄、異地消費是否存在欺詐、盜刷等風險交易的可能。

違規App被點名

電子支付、人臉識別的盛行，也讓其成為驗證個人身份的重要工具，部分銀行等金融類App要求大額轉帳時需要人臉識別認證。

但過度收集隱私數據導致公眾一度恐慌。換臉App受追捧僅過一天，公司被曝光將上傳的肖像據為己有，可隨意使用、再授權，被質疑可用於盜刷。支付寶緊急闢謠稱，「假臉」無法突破風控手段，不影響安全，但其表示採集用戶信息時，應遵循最少、夠用的原則。

今年1月，網信辦、工信部、公安部、市場監管總局等聯合發布《關於開展App違法違規收集使用個人信息專項治理的公告》。

公告指出，近年來，移動網際網路應用程式（App）得到廣泛應用，但App強制授權、過度索權、超範圍收集個人信息的現象大量存在，違法違規使用個人信息的問題十分突出。決定自2019年1月至12月，在全國範圍組織開展App違法違規收集使用個人信息專項治理。

9月21日，國家網絡安全宣傳周傳出消息，截至目前，App違法違規收集使用個人信息專項治理工作組已經評估近600款用戶量大、與民眾生活密切相關的App，並向其中問題嚴重的200餘款App運營者告知評估結果，建議其及時整改，整改問題達800餘個。

其中，理財貸款類App成重災區，多款理財貸款類App被「點名」。某網絡貸款App開發公司為多家「套路貸」公司提供App開發集成服務，並開設公司，採用技術手段在網上扒取用戶的通話詳單、充值記錄、消費記錄，用以判斷受害人消費能力和家庭準確住址。

自8月底以來，廣東警方先後曝光86款存在違規行為的App，其中多款為金融類App。

例如，廣東警方指出，日照銀行App 4.2.3版本超範圍讀取用戶聯繫人通訊錄信息、收集用戶位置信息、獲取用戶設備上已知帳號列表、允許應用隨時使用麥克風進行錄音，且其無隱私政策。

此外，網際網路金融類App中，廣東警方指出，微貸網App 6.5.1版本超範圍收集手機用戶位置信息，允許應用隨時使用麥克風進行錄音，且未在隱私協議中說明錄音、訪問用戶位置的用途；小牛在線App 5.1.6 超範圍收集讀取用戶聯繫人數據、通話記錄日誌、允許應用程式錄製音頻。

同時，一款名為「口袋貴金屬」App 8.7.3版本被指出，該App讀取用戶簡訊內容，可在用戶未執行操作的情況下撥打電話號碼，可能導致意外收費或呼叫，允許應用隨時使用麥克風進行錄音。南京某公司開發的兩款借錢類App，均超範圍收集讀取用戶聯繫人數據，接受並讀取用戶簡訊內容。

目前，針對App隱私安全的治理仍在起步。不久前，《App違法違規收集使用個人信息行為認定方法》等系列制度文件剛公開徵求意見。

21世紀經濟報導 辛繼召