支付曝光台(ZFBGT.COM)讯:近日,100款APP整改通告中多家金融机构“上榜”,让金融机构的数据安全与个人信息保护问题引起了广泛关注。
新京报记者采访金融、安全行业多位圈内人士发现,随着移动支付的发展,越来越多的金融机构将借贷、支付场景转移到了线上,在这一过程中,许多银行遭遇到了新麻烦,包括如何达到国家规定的安全标准、如何对抗浸淫互联网圈已久的黑产攻击,以及如何让APP既实现多项业务功能,还可在个人信息保护上合规。
12月10日至16日,新京报记者下载30款排名靠前的金融类APP测试发现,金融APP超范围索取权限问题仍然存在。30款APP中有17款APP索取了隐私权限,其中13款APP索取了位置权限。
测试30款APP:17款索取隐私权限,其中13款索取位置
12月10日至16日,新京报记者在华为应用市场随机下载了30款排名靠前的金融类APP测试发现,若按照全国信息安全标准化技术委员会2019年8月8日发布的《信息安全技术 移动互联网应用(APP)收集个人信息基本规范(草案)》规定的金融借贷类APP必要权限范围,这30款APP中有25款在首次打开时超范围申请了权限。如光大银行申请位置权限,好分期申请通讯录、位置,闪电借款申请位置,民贷天下申请录音、拍照权限等。这说明,金融APP超范围索取权限问题仍然存在。不过记者注意到,即便拒绝上述权限索取要求,这些APP仍可继续使用。
但需要注意的是,根据《信息安全技术 移动互联网应用(APP)收集个人信息基本规范(草案)》规定,金融借贷类APP为用户提供从金融机构进行个人消费贷款服务,包括授信、借款、还款与交易记录等功能(其中金融机构是指有放贷资质的银行、消费金融公司、小贷公司等在网络上提供借贷服务的机构)。金融借贷类APP的必要权限只有存储权限一个,即除了存储权限,对其他任何权限的索取都涉嫌超限索权。
新京报记者发现,许多金融类APP除了收集必要的手机存储权限外,往往还会收集设备信息权限,如360借条、度小满理财等,而这也是导致众多金融类APP涉嫌超限索权的原因。有熟悉隐私行业的专家表示,设备信息包含手机识别码,一些基本功能如认证登录等均需要手机识别码的支持,此外,该项权限在互联网广告领域也是用来追踪用户的重要标识,因此众多APP都会收集该项权限。
根据上述《规范》,相机、通讯录、位置、麦克风、短信等权限属于“隐私权限”范畴。新京报记者测试上述30款金融类APP发现,30款APP中有17款APP索取了隐私权限。其中位置权限被索取得最频繁,有13家APP均索取了位置权限。
上述金融类APP均在首页对隐私政策进行了弹窗公示,一些APP则对索取权限的理由也进行了解释。如拉卡拉在首次安装打开后便弹窗表示其有可能索取定位、相机权限。其中索取定位权限的目的是用位置信息评估业务风险,而相机则用于身份确认。而招商银行则弹窗提示开启定位权限,目的是提高查询本地城市服务、附近优惠商户的准确性。好分期申请了通讯录与位置权限,其在首页弹窗对申请权限的行为作出解释称,“允许访问通讯录可以有效提升审核效率,允许访问位置可以提升好分期商城体验”。
拉卡拉在首页弹窗解释索取权限原因
拉卡拉索取位置信息
对此,金融科技专栏作家、资深观察人士毕研广对新京报记者表示,金融类APP正常收集个人信息,以便于风险控制、门槛设立、投资者测评等是有必要的。比如个人办理贷款时,银行需要掌握个人基本的身份信息、财力状况等,至于读取相应通讯录信息、短信信息等则没有必要。
超限索权、黑产、“内鬼”,银行类APP成风险“重灾区”
还有业内人士对新京报记者表示,其实很多银行的APP是找外包团队做的,“虽然在应用市场看到APP的运营商是银行自己,但实际上做APP的另有其人。而程序员如果在做APP时‘抄了’其他APP安装包的内容,就有可能导致权限索取的部分也一起‘抄’过来了,最后导致隐私不合规。”
根据中国信息通信研究院此前发布的《2019金融行业移动APP安全观测报告》,在具有典型代表性的12款下载量过亿的金融行业APP中,多款APP存在不同程度的超范围索取用户权限的情况,在隐私政策方面也存在多种违法违规行为,给用户个人隐私信息安全带来隐患。APP用户的个人隐私信息一旦泄露,将带来严重的后果,如骚扰电话、信息诈骗、恶意推销、网络情感诈骗等,会严重损害APP用户的利益。
在不少安全专家看来,银行APP里面包含了很多重要的客户数据,而权限索取则是获取客户数据的途径之一,因此不论是出于业务考虑还是无心之失,过多收集客户数据的同时,如果银行的风控系统不到位,客户信息也很容易被黑产或“内鬼”所窃取。
新京报记者查阅黑猫投诉平台关于金融消费者的投诉情况发现,客户信息泄露成为了保险业的前三大“差评”之一,另外两个为违规销售和理赔难。
“金融机构汇聚了大量公民信息和交易数据,并且保障着社会生产秩序的有序进行。因此对于金融机构来说,首要的是保证数据不发生泄露,其次要保证金融服务的稳定性和持续性。网银、电子支付、手机银行也是普遍意义上金融机构易受到攻击的应用,主要风险包括:网络嗅探、拒绝服务、撞库等网络安全风险,数据防泄露、防篡改等数据安全风险以及内部数据窃取、恶意使用等业务风险。”12月16日,腾讯安全云鼎实验室负责人董志强对新京报记者表示。
12月11日,央行科技司司长李伟在2019年“中国金融科技全球峰会”上表示,前不久对金融类APP开展标准测评和认证后,近期注意到几部委开展的对APP风险的整治,其中银行类APP是风险重灾区,所以将加快推进有关工作,切实防范化解风险。
“随着互联网金融新的发展,风险也有了新的变化和特征。2019年的政府工作报告中,未曾提及互联网金融,却在金融领域提及23次‘风险’问题,可见,在新时期下,互联网金融的风险以及犯罪问题仍然是对互联网金融关注的重点。”中南财经政法大学法治发展与司法改革研究中心教授郭泽强表示。
閱讀更多 支付投訴網 的文章
