近日，100款A(yù)PP整改通告中多家金融機(jī)構(gòu)“上榜”，讓金融機(jī)構(gòu)的數(shù)據(jù)安全與個(gè)人信息保護(hù)問題引起了廣泛關(guān)注。

新京報(bào)記者采訪金融、安全行業(yè)多位圈內(nèi)人士發(fā)現(xiàn)，隨著移動支付的發(fā)展，越來越多的金融機(jī)構(gòu)將借貸、支付場景轉(zhuǎn)移到了線上，在這一過程中，許多銀行遭遇到了新麻煩，包括如何達(dá)到國家規(guī)定的安全標(biāo)準(zhǔn)、如何對抗浸淫互聯(lián)網(wǎng)圈已久的黑產(chǎn)攻擊，以及如何讓APP既實(shí)現(xiàn)多項(xiàng)業(yè)務(wù)功能，還可在個(gè)人信息保護(hù)上合規(guī)。

12月10日至16日，新京報(bào)記者下載30款排名靠前的金融類APP測試發(fā)現(xiàn)，金融APP超范圍索取權(quán)限問題仍然存在。30款A(yù)PP中有17款A(yù)PP索取了隱私權(quán)限，其中13款A(yù)PP索取了位置權(quán)限。

“怎么判斷APP的權(quán)限‘越界’，我們之前也不了解。但所有銀行自成立之初，就一直有風(fēng)控部門在把關(guān)風(fēng)險(xiǎn)。只不過，在從線下支付到移動端支付的發(fā)展過程中，我們遇到的風(fēng)險(xiǎn)形態(tài)已經(jīng)發(fā)生了很大變化，金融機(jī)構(gòu)在這方面的投入也逐年升高，內(nèi)控、抵御黑產(chǎn)攻擊、信息保護(hù)合規(guī)，很多地方需要注意?！蹦炽y行高管戴蒙（化名）告訴新京報(bào)記者。

測試30款A(yù)PP：17款索取隱私權(quán)限，其中13款索取位置

金融APP近期正遭遇又一輪監(jiān)管。12月初國家網(wǎng)絡(luò)與信息安全通報(bào)中心發(fā)布通報(bào)指出，公安機(jī)關(guān)在開展APP違法違規(guī)采集個(gè)人信息集中整治中，下架整改100款違法違規(guī)APP，其中光大銀行、天津銀行等金融類APP上榜。

對此，一位不愿具名的接受整改APP的高管對新京報(bào)記者表示，“之前我們接到通知說我們的APP存在泄露客戶隱私的問題，具體問題包括隱私協(xié)議不規(guī)范和超范圍收集，但目前已經(jīng)整改完了?！?/p>

12月10日至16日，新京報(bào)記者在華為應(yīng)用市場隨機(jī)下載了30款排名靠前的金融類APP測試發(fā)現(xiàn)，若按照全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會2019年8月8日發(fā)布的《信息安全技術(shù) 移動互聯(lián)網(wǎng)應(yīng)用（APP）收集個(gè)人信息基本規(guī)范（草案）》規(guī)定的金融借貸類APP必要權(quán)限范圍，這30款A(yù)PP中有25款在首次打開時(shí)超范圍申請了權(quán)限。如光大銀行申請位置權(quán)限，好分期申請通訊錄、位置，閃電借款申請位置，民貸天下申請錄音、拍照權(quán)限等。這說明，金融APP超范圍索取權(quán)限問題仍然存在。不過記者注意到，即便拒絕上述權(quán)限索取要求，這些APP仍可繼續(xù)使用。

但需要注意的是，根據(jù)《信息安全技術(shù) 移動互聯(lián)網(wǎng)應(yīng)用（APP）收集個(gè)人信息基本規(guī)范（草案）》規(guī)定，金融借貸類APP為用戶提供從金融機(jī)構(gòu)進(jìn)行個(gè)人消費(fèi)貸款服務(wù)，包括授信、借款、還款與交易記錄等功能（其中金融機(jī)構(gòu)是指有放貸資質(zhì)的銀行、消費(fèi)金融公司、小貸公司等在網(wǎng)絡(luò)上提供借貸服務(wù)的機(jī)構(gòu)）。金融借貸類APP的必要權(quán)限只有存儲權(quán)限一個(gè)，即除了存儲權(quán)限，對其他任何權(quán)限的索取都涉嫌超限索權(quán)。

新京報(bào)記者發(fā)現(xiàn)，許多金融類APP除了收集必要的手機(jī)存儲權(quán)限外，往往還會收集設(shè)備信息權(quán)限，如360借條、度小滿理財(cái)?shù)?，而這也是導(dǎo)致眾多金融類APP涉嫌超限索權(quán)的原因。有熟悉隱私行業(yè)的專家表示，設(shè)備信息包含手機(jī)識別碼，一些基本功能如認(rèn)證登錄等均需要手機(jī)識別碼的支持，此外，該項(xiàng)權(quán)限在互聯(lián)網(wǎng)廣告領(lǐng)域也是用來追蹤用戶的重要標(biāo)識，因此眾多APP都會收集該項(xiàng)權(quán)限。

根據(jù)上述《規(guī)范》，相機(jī)、通訊錄、位置、麥克風(fēng)、短信等權(quán)限屬于“隱私權(quán)限”范疇。新京報(bào)記者測試上述30款金融類APP發(fā)現(xiàn)，30款A(yù)PP中有17款A(yù)PP索取了隱私權(quán)限。其中位置權(quán)限被索取得最頻繁，有13家APP均索取了位置權(quán)限。

上述金融類APP均在首頁對隱私政策進(jìn)行了彈窗公示，一些APP則對索取權(quán)限的理由也進(jìn)行了解釋。如拉卡拉在首次安裝打開后便彈窗表示其有可能索取定位、相機(jī)權(quán)限。其中索取定位權(quán)限的目的是用位置信息評估業(yè)務(wù)風(fēng)險(xiǎn)，而相機(jī)則用于身份確認(rèn)。而招商銀行則彈窗提示開啟定位權(quán)限，目的是提高查詢本地城市服務(wù)、附近優(yōu)惠商戶的準(zhǔn)確性。好分期申請了通訊錄與位置權(quán)限，其在首頁彈窗對申請權(quán)限的行為作出解釋稱，“允許訪問通訊錄可以有效提升審核效率，允許訪問位置可以提升好分期商城體驗(yàn)”。

對此，金融科技專欄作家、資深觀察人士畢研廣對新京報(bào)記者表示，金融類APP正常收集個(gè)人信息，以便于風(fēng)險(xiǎn)控制、門檻設(shè)立、投資者測評等是有必要的。比如個(gè)人辦理貸款時(shí)，銀行需要掌握個(gè)人基本的身份信息、財(cái)力狀況等，至于讀取相應(yīng)通訊錄信息、短信信息等則沒有必要。

超限索權(quán)、黑產(chǎn)、“內(nèi)鬼”，銀行類APP成風(fēng)險(xiǎn)“重災(zāi)區(qū)”

12月16日，戴蒙對新京報(bào)記者表示，其所在的銀行曾遭遇監(jiān)管機(jī)構(gòu)的整改通告，原因是其索取了用戶的通訊錄權(quán)限與位置權(quán)限。戴蒙表示，索取通訊錄權(quán)限僅是為了方便用戶向好友轉(zhuǎn)賬，而位置權(quán)限則是告知線下網(wǎng)店的位置。他透露，監(jiān)管部門并未全面禁止不允許索取上述權(quán)限，只是一定要在隱私協(xié)議里對索取權(quán)限的原因有所體現(xiàn)。

還有業(yè)內(nèi)人士對新京報(bào)記者表示，其實(shí)很多銀行的APP是找外包團(tuán)隊(duì)做的，“雖然在應(yīng)用市場看到APP的運(yùn)營商是銀行自己，但實(shí)際上做APP的另有其人。而程序員如果在做APP時(shí)‘抄了’其他APP安裝包的內(nèi)容，就有可能導(dǎo)致權(quán)限索取的部分也一起‘抄’過來了，最后導(dǎo)致隱私不合規(guī)?！?/p>

根據(jù)中國信息通信研究院此前發(fā)布的《2019金融行業(yè)移動APP安全觀測報(bào)告》，在具有典型代表性的12款下載量過億的金融行業(yè)APP中，多款A(yù)PP存在不同程度的超范圍索取用戶權(quán)限的情況，在隱私政策方面也存在多種違法違規(guī)行為，給用戶個(gè)人隱私信息安全帶來隱患。APP用戶的個(gè)人隱私信息一旦泄露，將帶來嚴(yán)重的后果，如騷擾電話、信息詐騙、惡意推銷、網(wǎng)絡(luò)情感詐騙等，會嚴(yán)重?fù)p害APP用戶的利益。

在不少安全專家看來，銀行APP里面包含了很多重要的客戶數(shù)據(jù)，而權(quán)限索取則是獲取客戶數(shù)據(jù)的途徑之一，因此不論是出于業(yè)務(wù)考慮還是無心之失，過多收集客戶數(shù)據(jù)的同時(shí)，如果銀行的風(fēng)控系統(tǒng)不到位，客戶信息也很容易被黑產(chǎn)或“內(nèi)鬼”所竊取。

新京報(bào)記者查閱黑貓投訴平臺關(guān)于金融消費(fèi)者的投訴情況發(fā)現(xiàn)，客戶信息泄露成為了保險(xiǎn)業(yè)的前三大“差評”之一，另外兩個(gè)為違規(guī)銷售和理賠難。

12月13日，奇安信集團(tuán)副總裁梁志勇在接受新京報(bào)記者采訪時(shí)表示，現(xiàn)在數(shù)據(jù)安全事件發(fā)生的頻率越來越高，單個(gè)企業(yè)遭受的損失也越來越大。例如2017年美國的一家信用卡公司發(fā)生了1.5億張信用卡信息泄露，給民眾隱私和企業(yè)自身都帶來了很大傷害。

“數(shù)據(jù)泄露的渠道包括外部黑產(chǎn)攻擊以及內(nèi)部威脅兩種，其中內(nèi)部威脅實(shí)際上是數(shù)據(jù)安全很重要的一個(gè)場景。例如一些機(jī)構(gòu)有非常有價(jià)值的數(shù)據(jù)，內(nèi)部人員一般都有合法的身份，但他們?nèi)舫鲇诶婊蚱渌康?，就會違規(guī)地使用數(shù)據(jù)，這類事件在一些有重要數(shù)據(jù)的企業(yè)里較易發(fā)生?！绷褐居卤硎?。

“金融機(jī)構(gòu)匯聚了大量公民信息和交易數(shù)據(jù)，并且保障著社會生產(chǎn)秩序的有序進(jìn)行。因此對于金融機(jī)構(gòu)來說，首要的是保證數(shù)據(jù)不發(fā)生泄露，其次要保證金融服務(wù)的穩(wěn)定性和持續(xù)性。網(wǎng)銀、電子支付、手機(jī)銀行也是普遍意義上金融機(jī)構(gòu)易受到攻擊的應(yīng)用，主要風(fēng)險(xiǎn)包括：網(wǎng)絡(luò)嗅探、拒絕服務(wù)、撞庫等網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，數(shù)據(jù)防泄露、防篡改等數(shù)據(jù)安全風(fēng)險(xiǎn)以及內(nèi)部數(shù)據(jù)竊取、惡意使用等業(yè)務(wù)風(fēng)險(xiǎn)。”12月16日，騰訊安全云鼎實(shí)驗(yàn)室負(fù)責(zé)人董志強(qiáng)對新京報(bào)記者表示。

12月11日，央行科技司司長李偉在2019年“中國金融科技全球峰會”上表示，前不久對金融類APP開展標(biāo)準(zhǔn)測評和認(rèn)證后，近期注意到幾部委開展的對APP風(fēng)險(xiǎn)的整治，其中銀行類APP是風(fēng)險(xiǎn)重災(zāi)區(qū)，所以將加快推進(jìn)有關(guān)工作，切實(shí)防范化解風(fēng)險(xiǎn)。

“隨著互聯(lián)網(wǎng)金融新的發(fā)展，風(fēng)險(xiǎn)也有了新的變化和特征。2019年的政府工作報(bào)告中，未曾提及互聯(lián)網(wǎng)金融，卻在金融領(lǐng)域提及23次‘風(fēng)險(xiǎn)’問題，可見，在新時(shí)期下，互聯(lián)網(wǎng)金融的風(fēng)險(xiǎn)以及犯罪問題仍然是對互聯(lián)網(wǎng)金融關(guān)注的重點(diǎn)?！敝心县?cái)經(jīng)政法大學(xué)法治發(fā)展與司法改革研究中心教授郭澤強(qiáng)表示。

監(jiān)管要求下 金融機(jī)構(gòu)加大移動端安全投入

“一直以來，金融行業(yè)都有自身需要面對的安全問題，如盜轉(zhuǎn)、盜刷等，這些問題在移動互聯(lián)時(shí)代更加明顯。此外，金融行業(yè)是對安全級別要求最高的行業(yè)之一，從身份認(rèn)證方式、國家密碼算法使用、等級保護(hù)標(biāo)準(zhǔn)等各方面都有相應(yīng)的要求。因此，近幾年金融機(jī)構(gòu)對業(yè)務(wù)安全的需求也逐漸增長?！?2月12日，北京芯盾時(shí)代科技有限公司副總裁蔡準(zhǔn)在接受新京報(bào)記者采訪時(shí)表示。

“越來越多銀行的業(yè)務(wù)從PC端轉(zhuǎn)移到了移動端，尤其對中小銀行來說，線下營業(yè)廳的成本相對較難負(fù)擔(dān)，因此對手機(jī)端更加看重，許多業(yè)務(wù)都轉(zhuǎn)移到線上來做了，在手機(jī)端購物和轉(zhuǎn)賬的操作也越來越多。”據(jù)蔡準(zhǔn)介紹，芯盾時(shí)代主要的客戶群就是金融機(jī)構(gòu)客戶，“我們300多個(gè)客戶里有200多個(gè)客戶是銀行，還有不少是證券公司和保險(xiǎn)公司。在移動應(yīng)用的場景下，許多金融機(jī)構(gòu)客戶需要在手機(jī)端擁有足夠安全的身份認(rèn)證措施，這類認(rèn)證措施在以前是U盾，但由于手機(jī)無法使用U盾，而人民銀行和銀監(jiān)會對5萬以上的轉(zhuǎn)賬額度又有相應(yīng)的監(jiān)管文件要求，因此我們就提供了能夠符合監(jiān)管要求的多因素認(rèn)證產(chǎn)品，讓APP的支付額度能夠從幾千元提高到二三十萬?！?/p>

12月13日，奇安信集團(tuán)副總裁梁志勇對新京報(bào)記者表示，信息化建設(shè)與合規(guī)需求是企業(yè)投入安全建設(shè)的兩大原因?！艾F(xiàn)在很多企業(yè)都有做大數(shù)據(jù)、云計(jì)算的需求，而這些都附帶有安全的要求。此外，國家也提出了很多需要企業(yè)達(dá)標(biāo)的硬性標(biāo)準(zhǔn)。而不同行業(yè)的企業(yè)，也需要達(dá)到各自不同的垂直性很強(qiáng)的行業(yè)標(biāo)準(zhǔn)，銀行、公安等系統(tǒng)都是如此?！?/p>

蔡準(zhǔn)告訴記者，從2016年開始，銀監(jiān)會明確發(fā)文對普通轉(zhuǎn)賬要求進(jìn)行短信驗(yàn)證，并要求對短信驗(yàn)證進(jìn)行保護(hù)。2017年則對銀行的風(fēng)控系統(tǒng)提出了要求，這導(dǎo)致了2018年和2019年成為了銀行風(fēng)控系統(tǒng)建設(shè)的高峰期。與此同時(shí)，等保2.0標(biāo)準(zhǔn)也對移動終端提出了更高的要求體系?？梢钥吹礁鱾€(gè)機(jī)構(gòu)都意識到了互聯(lián)網(wǎng)業(yè)務(wù)面臨的風(fēng)險(xiǎn)，需要金融機(jī)構(gòu)采用對應(yīng)的防控措施。

根據(jù)央行發(fā)布的“237號文”，央行對移動金融APP安全問題進(jìn)行管理規(guī)范，主要從提升安全防護(hù)、加強(qiáng)個(gè)人金融信息保護(hù)、提高風(fēng)險(xiǎn)監(jiān)測能力、健全投訴處理機(jī)制、強(qiáng)化行業(yè)自律5個(gè)方面入手，并對備受關(guān)注的個(gè)人金融信息保護(hù)劃定了四大紅線。

多位金融行業(yè)受訪者對新京報(bào)記者表示，受各類標(biāo)準(zhǔn)出臺的影響，金融安全需求在近幾年持續(xù)增多，金融行業(yè)不斷在安全層面加大投入。

“我們在銀行成立的第一天開始，科技部下面下設(shè)了一個(gè)獨(dú)立的大數(shù)據(jù)中心，專職做數(shù)據(jù)的平臺建設(shè)工作，數(shù)據(jù)治理的工作，目前我們行里面自己的開發(fā)人員大概200人左右，大數(shù)據(jù)開發(fā)人員占到1/3，數(shù)據(jù)對我們來說是核心資產(chǎn)。此外，在信息安全上的投入，相對來說我個(gè)人認(rèn)為也是比較大的，盡管現(xiàn)在我們?nèi)械拈_發(fā)人員才200人，但是專職的信息安全人員已經(jīng)20人了，風(fēng)險(xiǎn)部門還有一個(gè)專職的反欺詐的團(tuán)隊(duì)，他們更多是做業(yè)務(wù)安全，我們科技這邊更多的是做信息安全，幾個(gè)不同的層次強(qiáng)化數(shù)據(jù)安全的保護(hù)工作。”新網(wǎng)銀行信息科技部負(fù)責(zé)人周勇在新京報(bào)主辦的“金融進(jìn)化論：2019新京報(bào)金融科技論壇”上表示。

“前不久央行發(fā)文指導(dǎo)互聯(lián)網(wǎng)金融協(xié)會啟動了金融APP的備案管理試點(diǎn)工作，簡單來說，就是對金融類APP開展標(biāo)準(zhǔn)測評和認(rèn)證，實(shí)施動態(tài)監(jiān)測，及時(shí)處置相關(guān)風(fēng)險(xiǎn)?！毖胄锌萍妓舅鹃L李偉12月11日表示，加快標(biāo)準(zhǔn)供給的同時(shí)，也在積極推進(jìn)標(biāo)準(zhǔn)的落地實(shí)施，把金融科技標(biāo)準(zhǔn)實(shí)施與加強(qiáng)金融科技創(chuàng)新監(jiān)管相結(jié)合，通過標(biāo)準(zhǔn)、測評和認(rèn)證三個(gè)環(huán)節(jié)的工作規(guī)范金融科技創(chuàng)新應(yīng)用，提升金融科技的監(jiān)管效能。

銀行遭遇互聯(lián)網(wǎng)黑產(chǎn) 提高風(fēng)控水平成課題

蔡準(zhǔn)告訴新京報(bào)記者，安全公司為金融機(jī)構(gòu)提供安全技術(shù)支持的具體方式是集成一個(gè)SDK到銀行的APP中，“我們SDK索要的權(quán)限只要銀行APP本身要求開啟的權(quán)限即可，沒有額外要求?！?/p>

根據(jù)中國信息通信研究院發(fā)布的《2019金融行業(yè)移動APP安全觀測報(bào)告》，截至2019年9月11日，該報(bào)告團(tuán)隊(duì)從232個(gè)安卓應(yīng)用市場中收錄了13.33萬款金融行業(yè)APP，發(fā)現(xiàn)有70.22%的金融行業(yè)APP存在高危漏洞，攻擊者可利用這些漏洞竊取用戶數(shù)據(jù)、進(jìn)行APP仿冒、植入惡意程序、攻擊服務(wù)等，對APP安全具有嚴(yán)重威脅。其中Top3的高危漏洞均存在導(dǎo)致APP數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

“從銀聯(lián)卡支付到銀聯(lián)手機(jī)閃付，再到銀聯(lián)云閃付APP以及二維碼支付，隨著時(shí)代的發(fā)展，目前風(fēng)險(xiǎn)也加速向線上移動端轉(zhuǎn)移，向支付業(yè)務(wù)全鏈條全方位滲透，由單一風(fēng)險(xiǎn)向各類風(fēng)險(xiǎn)交織并存發(fā)展，金融科技與新型風(fēng)險(xiǎn)相結(jié)合，催生團(tuán)伙犯罪以及黑色產(chǎn)業(yè)鏈條，增大了風(fēng)控的壓力?！?2月14日，中國銀聯(lián)法律合規(guī)部總經(jīng)理鄭曉琴在互聯(lián)網(wǎng)安全與刑事法制高峰論壇上稱。

那么，金融機(jī)構(gòu)面對的風(fēng)險(xiǎn)主要有哪些？

在騰訊安全云鼎實(shí)驗(yàn)室負(fù)責(zé)人董志強(qiáng)看來，網(wǎng)點(diǎn)時(shí)代銀行業(yè)的安全防護(hù)主要體現(xiàn)在業(yè)務(wù)連續(xù)性安全保障，集中在基礎(chǔ)環(huán)境安全、網(wǎng)絡(luò)連通性安全、應(yīng)用安全等領(lǐng)域。而從網(wǎng)銀時(shí)代開始，防止業(yè)務(wù)攻擊和數(shù)據(jù)篡改、越權(quán)等安全防護(hù)成為了安全防護(hù)重點(diǎn)，同時(shí)針對普通用戶銀行賬戶的犯罪越來越多，如轉(zhuǎn)賬類詐騙、“四件套”交易等，這都需要銀行方面有更強(qiáng)的監(jiān)管能力。

微眾銀行反欺詐負(fù)責(zé)人諸劼稱，薅羊毛對銀行和互聯(lián)網(wǎng)黑產(chǎn)來說都不是新鮮事，傳統(tǒng)銀行會遭遇套積分行為，互聯(lián)網(wǎng)黑產(chǎn)則會經(jīng)常薅電商的優(yōu)惠券。但當(dāng)金融機(jī)構(gòu)逐步向移動端轉(zhuǎn)移的過程中，銀行碰到互聯(lián)網(wǎng)黑產(chǎn)，就會出現(xiàn)問題?！般y行沒有見過這么大的賬號群控黑產(chǎn)群體，而黑產(chǎn)則在電商外又找到一塊大蛋糕。對于銀行傳統(tǒng)的注冊賬戶必須手機(jī)驗(yàn)證和領(lǐng)券必須提供有效身份證的監(jiān)管機(jī)制，互聯(lián)網(wǎng)黑產(chǎn)往往可以使用大量手機(jī)號資源，接碼平臺以及大量身份信息去繞過，對此銀行只能采取新方式對抗?！?/p>

蔡準(zhǔn)對新京報(bào)記者舉例稱，此前有一家銀行上線了其提供的風(fēng)控系統(tǒng)后，在其APP的商城里攔截到一些商戶的訂單?！斑@些商戶在該銀行APP里出售商品時(shí)，使用同一個(gè)設(shè)備購買自己的商品‘刷單’，以這樣的方式來‘薅’銀行為商戶提供的交易補(bǔ)貼，該銀行此前承受了兩年的損失，采用了反欺詐系統(tǒng)后才發(fā)現(xiàn)問題?！?/p>

董志強(qiáng)表示，目前，隨著移動網(wǎng)絡(luò)時(shí)代開始，移動安全、云安全、數(shù)據(jù)安全成為防護(hù)重點(diǎn)，同時(shí)語音支付、人臉支付等方面，銀行也會面臨新的威脅，比如AI偽造語音、AI偽造人臉的攻擊，如何對此類新型攻擊做到有效防護(hù)，也是需要銀行等機(jī)構(gòu)進(jìn)行持續(xù)性研究。

“從2015年至今，金融機(jī)構(gòu)與黑產(chǎn)的‘戰(zhàn)況’一直很膠著，這是因?yàn)橐苿踊ヂ?lián)領(lǐng)域涉及很多風(fēng)險(xiǎn)點(diǎn)，而且相關(guān)的技術(shù)一直在升級，道高一尺魔高一丈的事情一直在發(fā)生。銀行除了自身的風(fēng)控團(tuán)隊(duì)外，還需要安全技術(shù)人員的配合，未來希望有更多的法律法規(guī)出臺可以保護(hù)金融機(jī)構(gòu)的數(shù)據(jù)安全。”戴蒙表示。