中国产业新闻网
全方位报道中国产业经济新闻资讯
分享微信微博APP

“反欺诈”,金融类App需要更多手机“权限”吗?

来源:城市金融报 编辑:金子 2019-09-26 18:47:21

  在今年App违法违规收集使用个人信息专项治理的当下,多家金融类App被“点名”超范围收集用户信息。

  对此,包括银行、互联网金融等机构迅速公布其最新的用户数据隐私协议。如招行9月5日发布最新版本的App用户隐私政策;工行8月31日对“融e行”App制定信息保护指引。

  机构多须读取权限才可使用App

  随着移动支付兴起,大多数金融机构需要转向移动端,一个App即承载了经营所需的大多数功能。

  不过,由于金融服务的特殊性,大多数银行App要求强制读取部分手机隐私权限,否则将无法使用相关App功能。

  调查显示,四大行中,工商银行App要求读取用户手机设备ID等电话权限、存储权限,否则将无法使用App;建设银行App亦要求读取手机状态和身份等基础信息、照片和媒体文件、获取位置、获取已安装应用列表;农行、中行App要求获取设备通话状态和识别码等设备信息,否则不能使用App。

  其中,所谓手机识别码,也称手机序列号、IMEI,用于在移动电话网络中识别每一部独立的手机等移动通信设备,相当于移动电话的身份证。

  有业内人士介绍称,对于IMEI等手机识别码,在于确定机主个人信息,从而确保手机端设备登录的安全性。

  值得注意的是,银行类App还要求读取手机位置权限。

  获取多类权限是否必要

  金融类App强制读取这些权限,是必须且必要的吗?

  一位国有大行风控团队人士表示,银行App读取定位权限、IMEI等,一般用于银行“反欺诈”模型的验证,主要观察行为轨迹是否正常,是否有被集体操纵,从而防范“羊毛党”等欺诈团伙。

  顶象反欺诈专家梁家辉认为,IMEI号类数据可以作为设备唯一标识,用来跟踪设备与用户绑定匹配等关系。如果一个账户经常换设备登录,或者一台设备上登录多个账户,这台设备就可以被判定为“风险设备”,在该设备上登录过的账号都是存在风险的。

  梁家辉介绍称,现实情况中,一般不会采用IMEI作为设备唯一标识,因为IMEI非常容易被篡改,一般是依赖多个字段组合生成唯一标识。设备的定位信息在反欺诈识别的权重属中等。相比之下,设备当前的环境风险情况(如是否运行在模拟器、是否多开、是否被注入等等)权重更高。

  这其中,智能手机的地理位置权限对于信贷等交易至关重要。

  梁家辉认为,定位权限可以根据用户的地理位置来判断异地登录、异地消费是否存在欺诈、盗刷等风险交易的可能。

  一位资深消费金融人士称,在其风控模型中,举例而言,设想一个人如果多年没换手机号码说明至少不会突然“失踪”,通话关系比较稳定说明有稳定的交际,若有稳定的出现位置,即使没有聚焦位置但长期在同一个基站,说明其生活和工作范围,这就可能排除掉很多其他风险。如果“羊毛党”买个号码,绝对不是上述这种表现,将这一数据与其他的数据结合,再与放贷放在一起,具有很强的相关性。

  DCCI互联网数据中心高级分析师胡修昊认为,对于那些越界获取权限的行为,用户一旦授权,不仅会给手机带来不必要的负担,还会留下各种安全隐患,从而可能引发各种问题,因此在使用手机时,对于APP越界获取权限问题,用户需要更加注意。

  据了解,目前我国针对App隐私安全的治理刚刚起步。不久前,《App违法违规收集使用个人信息行为认定方法》等系列制度文件才开始公开征求意见。辛继召

责任编辑:金子
相关新闻


地址:北京市朝阳区北三环东路静安东街8号 | 值班热线:(+86)13520653807

京icp备10210212号 中国产业新闻网 © 版权所有2018-2022