金融APP越界？实测30款：有17款索取隐私权限

近日，100款APP整改通告中多家金融机构“上榜”，让金融机构的数据安全与个人信息保护问题引起了广泛关注。

新京报记者采访金融、安全行业多位圈内人士发现，随着移动支付的发展，越来越多的金融机构将借贷、支付场景转移到了线上，在这一过程中，许多银行遭遇到了新麻烦，包括如何达到国家规定的安全标准、如何对抗浸淫互联网圈已久的黑产攻击，以及如何让APP既实现多项业务功能，还可在个人信息保护上合规。

12月10日至16日，新京报记者下载30款排名靠前的金融类APP测试发现，金融APP超范围索取权限问题仍然存在。30款APP中有17款APP索取了隐私权限，其中13款APP索取了位置权限。

“怎么判断APP的权限‘越界’，我们之前也不了解。但所有银行自成立之初，就一直有风控部门在把关风险。只不过，在从线下支付到移动端支付的发展过程中，我们遇到的风险形态已经发生了很大变化，金融机构在这方面的投入也逐年升高，内控、抵御黑产攻击、信息保护合规，很多地方需要注意。”某银行高管戴蒙（化名）告诉新京报记者。

测试30款APP：17款索取隐私权限，其中13款索取位置

金融APP近期正遭遇又一轮监管。12月初国家网络与信息安全通报中心发布通报指出，公安机关在开展APP违法违规采集个人信息集中整治中，下架整改100款违法违规APP，其中光大银行、天津银行等金融类APP上榜。

对此，一位不愿具名的接受整改APP的高管对新京报记者表示，“之前我们接到通知说我们的APP存在泄露客户隐私的问题，具体问题包括隐私协议不规范和超范围收集，但目前已经整改完了。”

12月10日至16日，新京报记者在华为应用市场随机下载了30款排名靠前的金融类APP测试发现，若按照全国信息安全标准化技术委员会2019年8月8日发布的《信息安全技术 移动互联网应用（APP）收集个人信息基本规范（草案）》规定的金融借贷类APP必要权限范围，这30款APP中有25款在首次打开时超范围申请了权限。如光大银行申请位置权限，好分期申请通讯录、位置，闪电借款申请位置，民贷天下申请录音、拍照权限等。这说明，金融APP超范围索取权限问题仍然存在。不过记者注意到，即便拒绝上述权限索取要求，这些APP仍可继续使用。

但需要注意的是，根据《信息安全技术 移动互联网应用（APP）收集个人信息基本规范（草案）》规定，金融借贷类APP为用户提供从金融机构进行个人消费贷款服务，包括授信、借款、还款与交易记录等功能（其中金融机构是指有放贷资质的银行、消费金融公司、小贷公司等在网络上提供借贷服务的机构）。金融借贷类APP的必要权限只有存储权限一个，即除了存储权限，对其他任何权限的索取都涉嫌超限索权。

新京报记者发现，许多金融类APP除了收集必要的手机存储权限外，往往还会收集设备信息权限，如360借条、度小满理财等，而这也是导致众多金融类APP涉嫌超限索权的原因。有熟悉隐私行业的专家表示，设备信息包含手机识别码，一些基本功能如认证登录等均需要手机识别码的支持，此外，该项权限在互联网广告领域也是用来追踪用户的重要标识，因此众多APP都会收集该项权限。

根据上述《规范》，相机、通讯录、位置、麦克风、短信等权限属于“隐私权限”范畴。新京报记者测试上述30款金融类APP发现，30款APP中有17款APP索取了隐私权限。其中位置权限被索取得最频繁，有13家APP均索取了位置权限。

上述金融类APP均在首页对隐私政策进行了弹窗公示，一些APP则对索取权限的理由也进行了解释。如拉卡拉在首次安装打开后便弹窗表示其有可能索取定位、相机权限。其中索取定位权限的目的是用位置信息评估业务风险，而相机则用于身份确认。而招商银行则弹窗提示开启定位权限，目的是提高查询本地城市服务、附近优惠商户的准确性。好分期申请了通讯录与位置权限，其在首页弹窗对申请权限的行为作出解释称，“允许访问通讯录可以有效提升审核效率，允许访问位置可以提升好分期商城体验”。

对此，金融科技专栏作家、资深观察人士毕研广对新京报记者表示，金融类APP正常收集个人信息，以便于风险控制、门槛设立、投资者测评等是有必要的。比如个人办理贷款时，银行需要掌握个人基本的身份信息、财力状况等，至于读取相应通讯录信息、短信信息等则没有必要。

超限索权、黑产、“内鬼”，银行类APP成风险“重灾区”

12月16日，戴蒙对新京报记者表示，其所在的银行曾遭遇监管机构的整改通告，原因是其索取了用户的通讯录权限与位置权限。戴蒙表示，索取通讯录权限仅是为了方便用户向好友转账，而位置权限则是告知线下网店的位置。他透露，监管部门并未全面禁止不允许索取上述权限，只是一定要在隐私协议里对索取权限的原因有所体现。

还有业内人士对新京报记者表示，其实很多银行的APP是找外包团队做的，“虽然在应用市场看到APP的运营商是银行自己，但实际上做APP的另有其人。而程序员如果在做APP时‘抄了’其他APP安装包的内容，就有可能导致权限索取的部分也一起‘抄’过来了，最后导致隐私不合规。”