为了“反欺诈”,金融类App需要更多手机“权限”?

日期:09-25
金融类反欺诈App

原标题:为了“反欺诈”金融类App需要更多手机“权限”?

金融类App的与众不同之处在于,其与贷款、理财等密切相关,合理范围内的手机权限是金融“反欺诈”大数据风控策略的重要一环。

一款名叫“ZAO”的换脸手机App迅速走红后又因收集用户隐私信息备受争议。

在今年App违法违规收集使用个人信息专项治理的当下,多家金融类App也被“点名”超范围收集用户信息。

近期,包括银行、互联网金融等机构迅速公布其最新的用户数据隐私协议。最近的案例是9月27日,京东金融App即将更新其最新版本的App隐私政策。不仅如此,近日,多家金融机构App亦更新了“用户信息保护指引”。

例如,招行9月5日发布最新版本的App用户隐私政策;工行8月31日对“融e行”App制定信息保护指引,当用户使用一些功能时,会收集地理位置、相册等敏感信息。如,工行注册“融e行”App,需要用户手机号码、昵称、头像、身份证信息、银行卡号并验证银行卡密码。

但金融类App与众不同之处在于,其与贷款、理财等密切相关,合理范围内的手机权限是金融“反欺诈”大数据风控策略的重要一环。

机构多须读取权限才可使用App

随着移动支付兴起,大多数金融机构需要转向移动端,一个App即承载了经营所需的大多数功能。

不过,由于金融服务的特殊性,大多数银行App要求强制读取部分手机隐私权限,否则将无法使用相关App功能。

9月24日,记者测试各大银行手机App权限发现,四大行中,工商银行App要求读取用户手机设备ID等电话权限、存储权限,否则将无法使用App。建设银行App要求读取手机状态和身份等基础信息、照片和媒体文件、获取位置、获取已安装应用列表。农行、中行App要求获取设备通话状态和识别码等设备信息,否则不能使用App。

其中,所谓手机识别码,也称手机序列号、IMEI,用于在移动电话网络中识别每一部独立的手机等移动通信设备,相当于移动电话的身份证。

再观察股份制银行App,招商银行App要求读取存储、设备ID、位置等信息。平安口袋银行App要求读取识别码和存储权限。

互联网信贷类产品中,微众银行App、百信银行App也均要求读取设备标识和存储权限,否则将无法使用App。此外,百信银行App也指出,关闭位置权限,会影响贷款等产品使用。此外消费金融公司中,招联消费金融要求读取存储空间、电话和位置权限。

银行读取这些隐私权限有何用途?对于IMEI等手机识别码,在于确定机主个人信息,从而确保手机端设备登录的安全性。

值得注意的是,银行类App要求读取手机位置权限。多位业内人士指出,这与金融机构的反欺诈策略有关。

建行App显示,获取位置信息用于电子银行交易风控,同时查看周边网点、优惠商户及所在城市的生活、信用卡及贷款等生活服务。扫描已安装应用列表是为了验证是否存在仿冒建行App的应用。

招行App明确指出,读取地理位置主要用于App交易风控,另外展示城市服务,包括网点预约、搜索结果匹配、饭票和影票,系统后台将保存交易时的位置信息、IP地址和端口等网络信息。

获取多类权限必须且必要?

金融类App强制读取这些权限,是必须且必要的吗?

9月24日,一位大行风控团队人士对记者表示,银行App读取定位权限、IMEI等,一般用于银行“反欺诈”模型的验证,主要观察行为轨迹是否正常,是否有被集体操纵,从而防范“羊毛党”等欺诈团伙。

顶象反欺诈专家梁家辉认为,IMEI号类数据可以作为设备唯一标识,用来跟踪设备与用户绑定匹配等关系。如果一个账户经常换设备登录,或者一台设备上登录多个账户,这台设备就可以被判定为“风险设备”,在该设备上登录过的账号都是存在风险的。

他指出,IMEI如果作“设备唯一标识”,属于高权重字段。但现实情况中,一般不会采用IMEI作为设备唯一标识,因为IMEI非常容易被篡改,一般是依赖多个字段组合生成唯一标识。设备的定位信息在反欺诈识别的权重属中等。相比之下,设备当前的环境风险情况(如是否运行在模拟器、是否多开、是否被注入等等)权重更高。

这其中,智能手机的地理位置权限对于信贷等交易至关重要。

一位资深消费金融人士指出,在其风控模型中,举例而言,设想一个人如果多年没换手机号码说明至少不会突然“失踪”,通话关系比较稳定说明有稳定的交际,若有稳定的出现位置,即使没有聚焦位置但长期在同一个基站,说明其生活和工作范围,这就可能排除掉很多其他风险。如果“羊毛党”买个号码,绝对不是上述这种表现,将这一数据与其他的数据结合,再与放贷放在一起,具有很强的相关性。

梁家辉认为,定位权限可以根据用户的地理位置来判断异地登录、异地消费是否存在欺诈、盗刷等风险交易的可能。

违规App被点名

电子支付、人脸识别的盛行,也让其成为验证个人身份的重要工具,部分银行等金融类App要求大额转账时需要人脸识别认证。

但过度收集隐私数据导致公众一度恐慌。换脸App受追捧仅过一天,公司被曝光将上传的肖像据为己有,可随意使用、再授权,被质疑可用于盗刷。支付宝紧急辟谣称,“假脸”无法突破风控手段,不影响安全,但其表示采集用户信息时,应遵循最少、够用的原则。

今年1月,网信办、工信部、公安部、市场监管总局等联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》。

公告指出,近年来,移动互联网应用程序(App)得到广泛应用,但App强制授权、过度索权、超范围收集个人信息的现象大量存在,违法违规使用个人信息的问题十分突出。决定自2019年1月至12月,在全国范围组织开展App违法违规收集使用个人信息专项治理。

9月21日,国家网络安全宣传周传出消息,截至目前,App违法违规收集使用个人信息专项治理工作组已经评估近600款用户量大、与民众生活密切相关的App,并向其中问题严重的200余款App运营者告知评估结果,建议其及时整改,整改问题达800余个。

其中,理财贷款类App成重灾区,多款理财贷款类App被“点名”。某网络贷款App开发公司为多家“套路贷”公司提供App开发集成服务,并开设公司,采用技术手段在网上扒取用户的通话详单、充值记录、消费记录,用以判断受害人消费能力和家庭准确住址。

自8月底以来,广东警方先后曝光86款存在违规行为的App,其中多款为金融类App。

例如,广东警方指出,日照银行App 4.2.3版本超范围读取用户联系人通讯录信息、收集用户位置信息、获取用户设备上已知账号列表、允许应用随时使用麦克风进行录音,且其无隐私政策。

此外,互联网金融类App中,广东警方指出,微贷网App 6.5.1版本超范围收集手机用户位置信息,允许应用随时使用麦克风进行录音,且未在隐私协议中说明录音、访问用户位置的用途;小牛在线App 5.1.6超范围收集读取用户联系人数据、通话记录日志、允许应用程序录制音频。

同时,一款名为“口袋贵金属”App 8.7.3版本被指出,该App读取用户短信内容,可在用户未执行操作的情况下拨打电话号码,可能导致意外收费或呼叫,允许应用随时使用麦克风进行录音。南京某公司开发的两款借钱类App,均超范围收集读取用户联系人数据,接受并读取用户短信内容。

目前,针对App隐私安全的治理仍在起步。不久前,《App违法违规收集使用个人信息行为认定方法》等系列制度文件刚公开征求意见。

4年巨亏400亿 发布最新财报后蔚来汽车股价暴跌20% 共享充电宝告别一元时代?企业:并非网传集体涨价
相关阅读: