金融APP信息保护受关注 测试30款有17款索取隐私权限
拉卡拉在首页弹窗解释索取权限原因。
拉卡拉索取位置信息。
近日,100款APP整改通告中多家金融机构“上榜”,让金融机构的数据安全与个人信息保护问题引起了广泛关注。
新京报记者采访金融、安全行业多位圈内人士发现,随着移动支付的发展,越来越多的金融机构将借贷、支付场景转移到了线上,在这一过程中,许多银行遭遇到了新麻烦,包括如何达到国家规定的安全标准、如何对抗浸淫互联网圈已久的黑产攻击,以及如何让APP既实现多项业务功能,还可在个人信息保护上合规。
12月10日至16日,新京报记者下载30款排名靠前的金融类APP测试发现,金融APP超范围索取权限问题仍然存在。30款APP中有17款APP索取了隐私权限,其中13款APP索取了位置权限。
“怎么判断APP的权限‘越界’,我们之前也不了解。但所有银行自成立之初,就一直有风控部门在把关风险。只不过,在从线下支付到移动端支付的发展过程中,我们遇到的风险形态已经发生了很大变化,金融机构在这方面的投入也逐年升高,内控、抵御黑产攻击、信息保护合规,很多地方需要注意。”某银行高管戴蒙(化名)告诉新京报记者。
测试30款APP:17款索取隐私权限,其中13款索取位置
金融APP近期正遭遇又一轮监管。12月初国家网络与信息安全通报中心发布通报指出,公安机关在开展APP违法违规采集个人信息集中整治中,下架整改100款违法违规APP,其中光大银行、天津银行等金融类APP上榜。
对此,一位不愿具名的接受整改APP的高管对新京报记者表示,“之前我们接到通知说我们的APP存在泄露客户隐私的问题,具体问题包括隐私协议不规范和超范围收集,但目前已经整改完了。”
12月10日至16日,新京报记者在华为应用市场随机下载了30款排名靠前的金融类APP测试发现,若按照全国信息安全标准化技术委员会2019年8月8日发布的《信息安全技术 移动互联网应用(APP)收集个人信息基本规范(草案)》规定的金融借贷类APP必要权限范围,这30款APP中有25款在首次打开时超范围申请了权限。如光大银行申请位置权限,好分期申请通讯录、位置,闪电借款申请位置,民贷天下申请录音、拍照权限等。这说明,金融APP超范围索取权限问题仍然存在。不过记者注意到,即便拒绝上述权限索取要求,这些APP仍可继续使用。
但需要注意的是,根据《信息安全技术 移动互联网应用(APP)收集个人信息基本规范(草案)》规定,金融借贷类APP为用户提供从金融机构进行个人消费贷款服务,包括授信、借款、还款与交易记录等功能(其中金融机构是指有放贷资质的银行、消费金融公司、小贷公司等在网络上提供借贷服务的机构)。金融借贷类APP的必要权限只有存储权限一个,即除了存储权限,对其他任何权限的索取都涉嫌超限索权。
新京报记者发现,许多金融类APP除了收集必要的手机存储权限外,往往还会收集设备信息权限,如360借条、度小满理财等,而这也是导致众多金融类APP涉嫌超限索权的原因。有熟悉隐私行业的专家表示,设备信息包含手机识别码,一些基本功能如认证登录等均需要手机识别码的支持,此外,该项权限在互联网广告领域也是用来追踪用户的重要标识,因此众多APP都会收集该项权限。
根据上述《规范》,相机、通讯录、位置、麦克风、短信等权限属于“隐私权限”范畴。新京报记者测试上述30款金融类APP发现,30款APP中有17款APP索取了隐私权限。其中位置权限被索取得最频繁,有13家APP均索取了位置权限。
上述金融类APP均在首页对隐私政策进行了弹窗公示,一些APP则对索取权限的理由也进行了解释。如拉卡拉在首次安装打开后便弹窗表示其有可能索取定位、相机权限。其中索取定位权限的目的是用位置信息评估业务风险,而相机则用于身份确认。而招商银行则弹窗提示开启定位权限,目的是提高查询本地城市服务、附近优惠商户的准确性。好分期申请了通讯录与位置权限,其在首页弹窗对申请权限的行为作出解释称,“允许访问通讯录可以有效提升审核效率,允许访问位置可以提升好分期商城体验”。