金融APP越界？实测30款：有17款索取隐私权限

在不少安全专家看来，银行APP里面包含了很多重要的客户数据，而权限索取则是获取客户数据的途径之一，因此不论是出于业务考虑还是无心之失，过多收集客户数据的同时，如果银行的风控系统不到位，客户信息也很容易被黑产或“内鬼”所窃取。

新京报记者查阅黑猫投诉平台关于金融消费者的投诉情况发现，客户信息泄露成为了保险业的前三大“差评”之一，另外两个为违规销售和理赔难。

12月13日，奇安信集团副总裁梁志勇在接受新京报记者采访时表示，现在数据安全事件发生的频率越来越高，单个企业遭受的损失也越来越大。例如2017年美国的一家信用卡公司发生了1.5亿张信用卡信息泄露，给民众隐私和企业自身都带来了很大伤害。

“数据泄露的渠道包括外部黑产攻击以及内部威胁两种，其中内部威胁实际上是数据安全很重要的一个场景。例如一些机构有非常有价值的数据，内部人员一般都有合法的身份，但他们若出于利益或其他目的，就会违规地使用数据，这类事件在一些有重要数据的企业里较易发生。”梁志勇表示。

“金融机构汇聚了大量公民信息和交易数据，并且保障着社会生产秩序的有序进行。因此对于金融机构来说，首要的是保证数据不发生泄露，其次要保证金融服务的稳定性和持续性。网银、电子支付、手机银行也是普遍意义上金融机构易受到攻击的应用，主要风险包括：网络嗅探、拒绝服务、撞库等网络安全风险，数据防泄露、防篡改等数据安全风险以及内部数据窃取、恶意使用等业务风险。”12月16日，腾讯安全云鼎实验室负责人董志强对新京报记者表示。

12月11日，央行科技司司长李伟在2019年“中国金融科技全球峰会”上表示，前不久对金融类APP开展标准测评和认证后，近期注意到几部委开展的对APP风险的整治，其中银行类APP是风险重灾区，所以将加快推进有关工作，切实防范化解风险。

“随着互联网金融新的发展，风险也有了新的变化和特征。2019年的政府工作报告中，未曾提及互联网金融，却在金融领域提及23次‘风险’问题，可见，在新时期下，互联网金融的风险以及犯罪问题仍然是对互联网金融关注的重点。”中南财经政法大学法治发展与司法改革研究中心教授郭泽强表示。

监管要求下 金融机构加大移动端安全投入

“一直以来，金融行业都有自身需要面对的安全问题，如盗转、盗刷等，这些问题在移动互联时代更加明显。此外，金融行业是对安全级别要求最高的行业之一，从身份认证方式、国家密码算法使用、等级保护标准等各方面都有相应的要求。因此，近几年金融机构对业务安全的需求也逐渐增长。”12月12日，北京芯盾时代科技有限公司副总裁蔡准在接受新京报记者采访时表示。

“越来越多银行的业务从PC端转移到了移动端，尤其对中小银行来说，线下营业厅的成本相对较难负担，因此对手机端更加看重，许多业务都转移到线上来做了，在手机端购物和转账的操作也越来越多。”据蔡准介绍，芯盾时代主要的客户群就是金融机构客户，“我们300多个客户里有200多个客户是银行，还有不少是证券公司和保险公司。在移动应用的场景下，许多金融机构客户需要在手机端拥有足够安全的身份认证措施，这类认证措施在以前是U盾，但由于手机无法使用U盾，而人民银行和银监会对5万以上的转账额度又有相应的监管文件要求，因此我们就提供了能够符合监管要求的多因素认证产品，让APP的支付额度能够从几千元提高到二三十万。”

12月13日，奇安信集团副总裁梁志勇对新京报记者表示，信息化建设与合规需求是企业投入安全建设的两大原因。“现在很多企业都有做大数据、云计算的需求，而这些都附带有安全的要求。此外，国家也提出了很多需要企业达标的硬性标准。而不同行业的企业，也需要达到各自不同的垂直性很强的行业标准，银行、公安等系统都是如此。”

蔡准告诉记者，从2016年开始，银监会明确发文对普通转账要求进行短信验证，并要求对短信验证进行保护。2017年则对银行的风控系统提出了要求，这导致了2018年和2019年成为了银行风控系统建设的高峰期。与此同时，等保2.0标准也对移动终端提出了更高的要求体系。可以看到各个机构都意识到了互联网业务面临的风险，需要金融机构采用对应的防控措施。

根据央行发布的“237号文”，央行对移动金融APP安全问题进行管理规范，主要从提升安全防护、加强个人金融信息保护、提高风险监测能力、健全投诉处理机制、强化行业自律5个方面入手，并对备受关注的个人金融信息保护划定了四大红线。

多位金融行业受访者对新京报记者表示，受各类标准出台的影响，金融安全需求在近几年持续增多，金融行业不断在安全层面加大投入。

“我们在银行成立的第一天开始，科技部下面下设了一个独立的大数据中心，专职做数据的平台建设工作，数据治理的工作，目前我们行里面自己的开发人员大概200人左右，大数据开发人员占到1/3，数据对我们来说是核心资产。此外，在信息安全上的投入，相对来说我个人认为也是比较大的，尽管现在我们全行的开发人员才200人，但是专职的信息安全人员已经20人了，风险部门还有一个专职的反欺诈的团队，他们更多是做业务安全，我们科技这边更多的是做信息安全，几个不同的层次强化数据安全的保护工作。”新网银行信息科技部负责人周勇在新京报主办的“金融进化论：2019新京报金融科技论坛”上表示。

“前不久央行发文指导互联网金融协会启动了金融APP的备案管理试点工作，简单来说，就是对金融类APP开展标准测评和认证，实施动态监测，及时处置相关风险。”央行科技司司长李伟12月11日表示，加快标准供给的同时，也在积极推进标准的落地实施，把金融科技标准实施与加强金融科技创新监管相结合，通过标准、测评和认证三个环节的工作规范金融科技创新应用，提升金融科技的监管效能。

银行遭遇互联网黑产 提高风控水平成课题

蔡准告诉新京报记者，安全公司为金融机构提供安全技术支持的具体方式是集成一个SDK到银行的APP中，“我们SDK索要的权限只要银行APP本身要求开启的权限即可，没有额外要求。”