搜索
当前位置: 首页 > 热点 >

金融APP信息保护受关注 测试30款有17款索取隐私权限

发表于 2020-07-28 19:27 | 查看:



近日,100款APP整改通告中多家金融机构“上榜”,让金融机构的数据安全与个人信息保护问题引起了广泛关注。

新京报记者采访金融、安全行业多位圈内人士发现,随着移动支付的发展,越来越多的金融机构将借贷、支付场景转移到了线上,在这一过程中,许多银行遭遇到了新麻烦,包括如何达到国家规定的安全标准、如何对抗浸淫互联网圈已久的黑产攻击,以及如何让APP既实现多项业务功能,还可在个人信息保护上合规。

12月10日至16日,新京报记者下载30款排名靠前的金融类APP测试发现,金融APP超范围索取权限问题仍然存在。30款APP中有17款APP索取了隐私权限,其中13款APP索取了位置权限。

“怎么判断APP的权限‘越界’,我们之前也不了解。但所有银行自成立之初,就一直有风控部门在把关风险。只不过,在从线下支付到移动端支付的发展过程中,我们遇到的风险形态已经发生了很大变化,金融机构在这方面的投入也逐年升高,内控、抵御黑产攻击、信息保护合规,很多地方需要注意。”某银行高管戴蒙(化名)告诉新京报记者。

测试30款APP:17款索取隐私权限,其中13款索取位置

金融APP近期正遭遇又一轮监管。12月初国家网络与信息安全通报中心发布通报指出,公安机关在开展APP违法违规采集个人信息集中整治中,下架整改100款违法违规APP,其中光大银行、天津银行等金融类APP上榜。

对此,一位不愿具名的接受整改APP的高管对新京报记者表示,“之前我们接到通知说我们的APP存在泄露客户隐私的问题,具体问题包括隐私协议不规范和超范围收集,但目前已经整改完了。”

12月10日至16日,新京报记者在华为应用市场随机下载了30款排名靠前的金融类APP测试发现,若按照全国信息安全标准化技术委员会2019年8月8日发布的《信息安全技术移动互联网应用(APP)收集个人信息基本规范(草案)》规定的金融借贷类APP必要权限范围,这30款APP中有25款在首次打开时超范围申请了权限。如光大银行申请位置权限,好分期申请通讯录、位置,闪电借款申请位置,民贷天下申请录音、拍照权限等。这说明,金融APP超范围索取权限问题仍然存在。不过记者注意到,即便拒绝上述权限索取要求,这些APP仍可继续使用。

但需要注意的是,根据《信息安全技术移动互联网应用(APP)收集个人信息基本规范(草案)》规定,金融借贷类APP为用户提供从金融机构进行个人消费贷款服务,包括授信、借款、还款与交易记录等功能(其中金融机构是指有放贷资质的银行、消费金融公司、小贷公司等在网络上提供借贷服务的机构)。金融借贷类APP的必要权限只有存储权限一个,即除了存储权限,对其他任何权限的索取都涉嫌超限索权。

新京报记者发现,许多金融类APP除了收集必要的手机存储权限外,往往还会收集设备信息权限,如360借条、度小满理财等,而这也是导致众多金融类APP涉嫌超限索权的原因。有熟悉隐私行业的专家表示,设备信息包含手机识别码,一些基本功能如认证登录等均需要手机识别码的支持,此外,该项权限在互联网广告领域也是用来追踪用户的重要标识,因此众多APP都会收集该项权限。

根据上述《规范》,相机、通讯录、位置、麦克风、短信等权限属于“隐私权限”范畴。新京报记者测试上述30款金融类APP发现,30款APP中有17款APP索取了隐私权限。其中位置权限被索取得最频繁,有13家APP均索取了位置权限。

上述金融类APP均在首页对隐私政策进行了弹窗公示,一些APP则对索取权限的理由也进行了解释。如拉卡拉在首次安装打开后便弹窗表示其有可能索取定位、相机权限。其中索取定位权限的目的是用位置信息评估业务风险,而相机则用于身份确认。而招商银行则弹窗提示开启定位权限,目的是提高查询本地城市服务、附近优惠商户的准确性。好分期申请了通讯录与位置权限,其在首页弹窗对申请权限的行为作出解释称,“允许访问通讯录可以有效提升审核效率,允许访问位置可以提升好分期商城体验”。

对此,金融科技专栏作家、资深观察人士毕研广对新京报记者表示,金融类APP正常收集个人信息,以便于风险控制、门槛设立、投资者测评等是有必要的。比如个人办理贷款时,银行需要掌握个人基本的身份信息、财力状况等,至于读取相应通讯录信息、短信信息等则没有必要。

超限索权、黑产、“内鬼”,银行类APP成风险“重灾区”

12月16日,戴蒙对新京报记者表示,其所在的银行曾遭遇监管机构的整改通告,原因是其索取了用户的通讯录权限与位置权限。戴蒙表示,索取通讯录权限仅是为了方便用户向好友转账,而位置权限则是告知线下网店的位置。他透露,监管部门并未全面禁止不允许索取上述权限,只是一定要在隐私协议里对索取权限的原因有所体现。

还有业内人士对新京报记者表示,其实很多银行的APP是找外包团队做的,“虽然在应用市场看到APP的运营商是银行自己,但实际上做APP的另有其人。而程序员如果在做APP时‘抄了’其他APP安装包的内容,就有可能导致权限索取的部分也一起‘抄’过来了,最后导致隐私不合规。”

根据中国信息通信研究院此前发布的《2019金融行业移动APP安全观测报告》,在具有典型代表性的12款下载量过亿的金融行业APP中,多款APP存在不同程度的超范围索取用户权限的情况,在隐私政策方面也存在多种违法违规行为,给用户个人隐私信息安全带来隐患。APP用户的个人隐私信息一旦泄露,将带来严重的后果,如骚扰电话、信息诈骗、恶意推销、网络情感诈骗等,会严重损害APP用户的利益。

在不少安全专家看来,银行APP里面包含了很多重要的客户数据,而权限索取则是获取客户数据的途径之一,因此不论是出于业务考虑还是无心之失,过多收集客户数据的同时,如果银行的风控系统不到位,客户信息也很容易被黑产或“内鬼”所窃取。

新京报记者查阅黑猫投诉平台关于金融消费者的投诉情况发现,客户信息泄露成为了保险业的前三大“差评”之一,另外两个为违规销售和理赔难。

12月13日,奇安信集团副总裁梁志勇在接受新京报记者采访时表示,现在数据安全事件发生的频率越来越高,单个企业遭受的损失也越来越大。例如2017年美国的一家信用卡公司发生了1.5亿张信用卡信息泄露,给民众隐私和企业自身都带来了很大伤害。

“数据泄露的渠道包括外部黑产攻击以及内部威胁两种,其中内部威胁实际上是数据安全很重要的一个场景。例如一些机构有非常有价值的数据,内部人员一般都有合法的身份,但他们若出于利益或其他目的,就会违规地使用数据,这类事件在一些有重要数据的企业里较易发生。”梁志勇表示。

【详细】
随机为您推荐
热门内容

联系我们 | 关于我们 | 网友投稿 | 版权声明 | 广告服务 | 网站地图 | Tag标签

版权声明:本站资源均来自互联网,如果侵犯了您的权益请与我们联系,我们将在24小时内删除。

Copyright © 2020 快三群 版权所有  

回顶部