31家消费金融公司大比拼!(2022版)
9月27日,建设银行获中国银保监会同意筹建建信消金公司,拟出资60亿元投资设立建信消金公司,作为该行所属一级控股子公司管理,这是继中银消金、中邮消金之后,第三家国有大行设立消费金融公司。
数据来源:银保监会,金融监管研究院
消费金融公司经历2009年到2013年的初步试点阶段,2015年试点扩大至全国发展至今,自建设银行获批同意筹建建信消金公司后,现数量已扩充到31家。绝大多数持牌消费金融公司大股东皆为金融机构,银行是主要玩家,同时互联网公司,实体企业也是主要参与方,其控股模式主要分为六类,并且以银行+产业合作为主流。分别如下:
以招联金融为代表的行业普遍的银行+产业合作模式以兴业消金为代表的银行控股模式以中信消金为代表的信托+产业合作以平安消金为代表的保险+产业模式以捷信为代表的外商独资模式以海尔消金为代表的产业控股模式自宁波银行购买华融消金70%的股权落地后便无AMC+产业的合作模式
数据来源:银保监会,天眼查,金融监管研究院
一、消金如何监管
自2017年规范现金贷、校园贷以来,对消费金融的监管政策密集出台,从合作机构、合规经营、消费者权益、线上互联网贷款全面规范,在联合出资红线、风控、跨区域经营等方面对资金方进行约束,同时更加关注消费者权益保护,暴力催收、借款成本高、用户隐私等问题随之逐渐规范,填补消费金融野蛮发展的政策缺位,形成了较为全面的监管框架。梳理各维度监管及主要影响如下:
数据来源:金融监管研究院整理
二、22上半年业绩表现盘点
消金公司的盈利模式相较于银行,具有更高的净息差,从而获得相对较高的盈利水平。但由于外部环境疫情反复叠加,线下渠道大受冲击,同时也抑制了正常的生产和消费信贷需求。
监管面2017年以来出台包括《商业银行互联网贷款管理暂行办法》在内的多项严监管政策,具有合规整改压力。同时随着行业新持牌消费金融公司的大量加入,竞争日趋激烈,面对贷款定价下行及信贷成本上升的双重压力,各公司由于资源禀赋不同盈利表现分化。
招联、兴业居于头部,上半年净利润水平超10亿,但也出现苏宁、小米开始出现巨额亏损的局面。
数据来源:官网、年报、wi,金融监管研究院
注:ROA(总资产收益率)和ROE(净资产收益率)为调整全年利润水平计算,负值不做计算
从业务集中度来看,披露数据的消费金融公司总资产规模合计超过5000亿,招联金融一骑绝尘,是唯一总资产超过千亿的消费金融公司,其次为马上金融、兴业消金。前三家总资产水平超过上表全部消金资产规模的50%。
从净利润来看,业绩分化非常明显,招联、兴业,处于第一梯队,在披露数据的消费金融公司当中净利润水平均超过10亿元,其中招联金融2022上半年净利润达19.37亿,消金净利润之首,其利润规模相当于马上、杭银等12家消金公司的净利润总和。
其他机构除马上消金净利润为5.84亿元外,其余机构净利润水平均不足3.1亿元,其中阳光消金实现净利润1.32亿元,同比扭亏为盈。
苏宁消金、华融消金和小米消金亏损严重,苏宁消金业绩持续下滑,华融消金长期亏损,小米消金2021年末全年净利润368万元,但旗下2020年成立的小米消金自承接原小米小贷公司旗下随星借业务后,今年上半年亏损9319万元,对消费金融公司来说,资金成本、获客成本和风控成本,风控成本最为关键,其管控能力直接大幅影响业绩水平。
无论是苏宁还是小米,作为产业方涉足金融业务良久,以小米为例,自2015年开始涉足金融业务以来,成立重庆小米小额贷款有限公司,随后参与保险、银行业发展至今,产业和金融深度链接,但作为产业方探寻金融业务发展并不顺利。
统计数据中无捷信,目前无最新数据,捷信消金在2019年披露数据总资产刚刚接近千亿,达1045亿元,在一年后资产便出现了严重收缩,2020年末仅为652.07亿元。作为曾经的消金霸主2017年其线下渠道规模发展至高峰,员工达到8万,但也或因其主要以线下渠道进行展业,随着数字化转型和疫情发酵开始掉队,总资产巨额缩水,净利润大幅下降。
数据来源:wi,金融监管研究院
同时捷信的投诉量也是高企不下,在众多消金公司中问题最多,从其黑猫投诉的投诉量中可见一斑,以“捷信金融”为关键词,在高达7.1万的投诉量中,暴力催收、高利贷为主要投诉内容。
数据来源:黑猫投诉,金融监管研究院
从净利润变动来看,行业头部营收增长放缓,腰部机构收益于基数原因显得增速显著,尚诚消金和长银五八净利润同比增幅较高,但尚诚消金其总资产回报率和净资产收益率并不高,主要受益于基数作用。中邮消费金融、中银消费金融的线下展业模式受疫情等多方面因素导致利润同比增速大跌。
数据来源:官网、年报、wi,金融监管研究院
从经营指标ROA(总资产收益率)和ROE(净资产收益率)来看,为公司创收能力最好的为兴业、招联和北京阳光,总资产收益率分别为3.61%、2.71%、2.8%,为股东创收能力最好的是兴业、招联和长银五八,净资产收益率分别28.4%、24.71%、25.08%。
从营业净利率来看,可一定程度看出各机构在成本费用上的管控程度,一般在10-25%之间,综合看招联、兴业消金是当之无愧的头部,发展趋于稳定,营业净利率水平较高,长银五八也处于行业较高水平。作为头部消金机构,马上消金较为不足,但也要分而视之,马上消金营业净利率较低主要原因有二,一是增加了对合作平台的分润,二是自主搭建自营渠道,加大自主获客营销,皆为公司可持续发展奠定基础。
三、资产质量如何
消金公司资产质量情况披露有限,主要来看头部消金公司的不良率情况,主要包括招联金融、兴业消金、马上金融,其他消金不良水平可能分化较为严重。
从不良率水平来看,招联主要得益于招联完全依靠线上展业,受到疫情冲击影响有限,在18-20年间发放贷款增速有所放缓,但在这一过程中主动优化资产质量,不良率水平有效较低,据披露的三家头部机构显示,招联金融不良率水平在18-20年间稳中有降,为之后的可持续增长奠定基础。兴业消金不良率触顶回降,马上金融不良率相对较高。
数据来源:wi,金融监管研究院
数据来源:wi,金融监管研究院
但需注意的是2020年不良率的统计口径监管要求将原逾期90天以上计入不良调整为逾期60天以上计入不良,更为严格,若以90天来看不良水平更低。
进一步与银行的信用卡不良率比较来看,根据中金21年末统计的各类型银行披露的不良水平,国有行/股份行/城商行/农商行平均信用卡不良率分别为1.56%/2.15%/1.56%/2.21%,其中招商银行和兴业银行信用卡不良率21年分别为1.65%和2.29%,对比来看,虽消费金融相对与银行客群更为下沉,但借助场景消费、大数据风控等优势,招联、兴业消金的不良率水平与银行信用卡业务不良率相仿。
数据来源:wi,金融监管研究院
从拨备覆盖率来看,招联金融明显偏高,以银行来看,越是不良率低的银行,拨备覆盖率越高,招联金融同样有此特点,拨备覆盖率高达450%,显著高于兴业和马上金融,说明招联金融在一定程度上隐藏其利润水平,如果进行释放,降到监管标准或行业水平,其业绩表现势必更加突出。
四、业务模式和产品形态如何
(一)放款模式
数据来源:中金公司
从放款模式来看,消费金融公司根据是否以自有资金放款,可分为直接放贷模式、助贷模式、联合贷款模式:
直接放贷模式以自有资金放款;
助贷模式只是在获客和初步风险把控,自身收取服务费。一般分为增信模式与非增信模式:
增信模式下,助贷机构为贷款购买保险或为产生的不良贷款承担代偿责任。
非增信模式下,贷款机构对发放贷款形成的零售资产全权负责,不良真实入表。
但需要说明的是,消费金融机构要打造核心竞争力,持续创造价值,依靠流量平台的助贷业务始终是中短期盈利的手段。同时央行2021年9月发布《征信业务管理办法》也会进一步削弱助贷机构在放款环节的价值。
联合贷款侧重于消费金融公司与银行等金融机构共同出资向借款人放款,承担的是贷款人角色。以马上金融为例,广泛开展联合贷款业务,今年国投泰康信托与马上消费金融开展联合贷款业务合作,在《商业银行互联网贷款管理暂行办法》出台后,对于合作方而言,其联合贷款机构放贷监管主要有红线有
联合贷合作方必须出资30%
与单一合作方发放的贷款余额不超过一级资本25%
加总的联合贷余额不超过本行全部贷款的50%
就联合贷款业务本身而言,可以形成对消金公司表内资源的节约,资本充足率压力降低,但对于部分消费金融公司而言,由于监管明确联合贷中合作机构的资金比例要求,部分联合贷业务规模较大且出资比例较低的机构面临较大资本补充压力。
(二)利率定价
从利率定价上限的演变来看,在最初的消费金融试点办法中规定,消费金融公司应当建立消费贷款利率的风险定价机制,并没有规定利率上限问题,随着最高法给出的意见文件,24%和36%的红线开始明确,同时消金公司在经历最高院修正司法解释4倍LPR利率定价上限的纠结中,2021年下半年,部分消费金融公司收到窗口指导,要求将产品年利率降至24%以内,定价范围得以明确。
数据来源:金融监管研究院整理
从消金公司相对于银行的消费贷业务利率定价来看,银行参与消费金融主要开展信用卡业务,聚焦优质客户,利率定价一般在18%以下,消费金融公司则主要通过发放现金贷与消费贷等方式聚焦长尾用户,由于融资成本、风控成本、运营成本和客户下沉等因素,定价一般集中在18%-24%,对于优质客户和有抵押用户贷款利率具有一定下浮空间。同时不同机构结合自身融资成本、风控水平以及具体贷款客群的差异制定的定价范围有所差异。
数据来源:各官网,金融监管研究院
以具体机构来看,由于口径不同,先看招联金融,21年招联金融利息支出/平均付息负债为4%,粗略估计招联金融平均贷款利率约为15.5-16%之间,再看兴业和马上,其净息差内涵为平均贷款利率,21年末分别为14.94%和19.03%,总体看,三家头部消金的平均贷款利率约为15-19%间,其中招联和兴业作为大型股份行控股的消费金融机构,其有一定的减费让利影响,比如兴业专门推出助学贷产品,费率还款期限较宽松,下文具体详述。
数据来源:评级报告,金融监管研究院
(三)产品形态
2013年出台的《消费金融公司试点管理办法》规定,消费金融公司的主营业务方向为:向个人客户发放以小额、分散为特点的个人消费贷款(不包括住房及汽车贷款),同时借款人贷款余额不得超过人民币20万元。其产品形态以小额、分散、短期的消费贷为主。
在放款资质上,商业银行由于自身的强监管和内控要求,只能筛选优质客群做业务,其面向客群往往具备良好的征信记录,且客户职业主要以稳定收入的公务员、企事业单位的白领为主,消费金融公司为避免与银行个人消费贷产品重合,业务主要集中于银行无法触达或较难服务的中低收入长尾客群,针对客群更为下沉。
从客群来看,消费金融公司广泛面向22-60岁的非学生客群,构成消金业务增长的主要集中在22-40岁中青年客群,以马上金融为例,截至2020年末,22-40岁人群借款占公司总贷款的约75.6%,其中22-30岁和30-40岁人群分别约37%和37.5%。招联金融公司主要面向拥有稳定工作的年轻群体,35岁以下客户占比为58.54%
数据来源:金融监管研究院整理
根据是否依托于特定的消费场景,目前消费金融公司主要的产品类型包括现金贷和消费贷,消费贷依托于具体的消费场景,包括特定的大额消费场景以及日常小额的商品贷,而现金贷在保障资金用于用户消费的前提下,并不限定资金实际用途。
以招联金融为例,旗下拥有“好期贷”和“信用付”两大产品体系,同时产业股东方给与招联较大支持,从股东中国联通协同合作来看,招联金融打通中国联通的消费场景,覆盖中国联通APP等主要线上渠道,使其2021年信用付贷款同比增长52.79%。
数据来源:招联金融,金融监管研究院
具体来看目前各消费金融公司主要推出的产品形态包括:
数据来源:各官网,金融监管研究院
消费贷
(1)应用于一般场景下的消费分期贷款,针对于自己搭建的消费商城,比如花呗于淘宝,招联自建商城与广泛商家合作。
(2)同时消金机构也会推出针对于特殊场景的大额专项产品,包括家居、教育、装修、租房、旅游、车险等,同时一些消费金融机构为响应国家政策,支持本地发展纷纷推出一些特色专项贷款产品,更加体现出商业价值与社会责任的平衡:
比如兴业消费金融成立的兴才计划,为大学生提供助学贷款,同时2022年,兴业消费金融向福建省教育厅捐资设立“兴才计划”奖助学金,奖励对象向福建省内建档立卡贫困户、低保家庭等。
湖北消费金融支持乡村振兴专门设立以面向农村客群的消费贷产品。
现金贷
(1)针对一般客户的无抵押信用贷款,包括一次性最高不超过20万、循环贷最高五万等贷款额度,针对不同客户资质以差别利率定价。
(2)同时多数消费金融公司部分逐渐上移客群,向学历和收入更优的用户群体渗透。推出专门对优质用户开放的消费贷产品:
比如锦程消费金融推出锦享贷,为有房产(全款房、按揭房)、有稳定经济来源且信用记录良好的客户提供服务,IRR(单利)年化利率15.30%-18.80%。
北银消费金融推出尊享时贷,为优质企业员工、高学历客群提供的无抵押、无担保个人信用消费贷款。
(3)同时部分机构也推出有抵押的消费贷款,与银行业务较为重合,以房产为抵押提供消费贷款,包括北银消金、中银消金、湖北消金、晋商消金等机构,以中银消金为例,抵押房产可接受无抵押的房产和二次抵押房产(申请地商业银行为第一抵押权人的房产)等,也是通过资产抵押提高风控,这也与一些机构专门为有房者或有房贷者提供的信用贷款类似,但更为严格,前者以抵押为抓手,后者以房产为优质客户的有效识别。
五、消金资金从哪来
我国消费金融公司的融资渠道包括股东增资、股东存款、债券、同业借款等途径,同时因股东背景、经营状况、资金需求程度等不同因素影响,各消费金融公司的融资结构不同导致综合融资成本不同。目前消费金融公司资金来源形成以同业借款为主,头部机构通过金融债、ABS和银团贷款等持续拓宽融资渠道的资金多元获取渠道。
数据来源:金融监管研究院整理
(一)股东增资
由于受到资本充足率的限制,消费金融公司为业务发展需要,通过股东增资的方式扩充资本金规模,实现融资目的的同时,做大贷款规模上限。
消费金融公司最初注册资本普遍较低,在2009年开始兴起,成立公司初步试水,由于最低注册资本3亿的限制,多数公司注册资本在3-10亿之间,在刚刚设立时普遍面临着资本不足的问题,随着消费环境趋好,支持政策频出,经营业绩逐渐开始爆发增长,接近80%的机构开始进行逐步进行增资。
对于股东而言,消费金融公司的业务属性具有相对高利差的属性也备受资本推崇。对其进行增资、引入新股东在扩张规模的同时可进一步满足资本充足率等监管要求,更好地提升公司流动性管理水平。
数据来源:天眼查、公开资料、银保监会,金融监管研究院
其中招联金融在2018、19年先后增资,在2021年更是以13亿元资本公积和48亿元未分配利润转增注册资本。注册资本由38.6896亿元增至100亿元,成为消费金融公司中注册资本最高的机构。
捷信消金其中进行三次增资,2016年10月,捷信集团增资11亿,注册资本由33亿变为44亿,2017年5月捷信集团增资26亿,2017年12月,捷信集团增资10亿元,注册资本由70亿变为80亿,注册资本金紧随招联其后。
目前蚂蚁消金和南银法巴(原苏宁金融)有增资举措,但尚未落实,包括2022年9月南京银行与法国巴黎银行对南银法巴拟增资44亿。21年蚂蚁消费金融向全体增资认购方增发注册资本人民币220亿元,若增资成功则极大的突破原有的业务上限,具有极大的赶超潜力。
(二)二级资本债
2020年3月,银保监会发布《非银行金融机构行政许可事项实施办法》,允许消费金融公司募集发行优先股、二级资本债券。
对于优先股,发行优先股条件消费金融公司几乎不适用(发行人须为上市公司或股东人数超过200人的非上市公司),目前招联金融与捷信消费金融、马上消费金融为前国内三家宣布拟IPO的持牌消费金融公司,但捷信可能性已不大。
对于二级资本债则可行性更大,2020年10月《关于促进消费金融公司和汽车金融公司增强可持续发展能力、提升金融服务质效的通知》,支持消费金融公司在银行间市场发行二级资本债券,拓宽资本补充渠道,但应符合《商业银行资本管理办法》。
虽然支持政策频出,银保监局批准两家消费金融公司二级资本债发行。但目前尚无成功发行二级资本债券的案例。
22年7月,广东银保监局同意中邮消费金融公司发行不超过18亿元的二级资本债券,并按照有关规定计入该公司二级资本。
21年9月,深圳银保监局批准招联消费金融发行不超过22亿元人民币的二级资本债券。
消费金融公司参照非系统性重要商业银行监管指标:资本充足率≥10.5%,一级资本充足率≥8.5%,核心一级资本充足率≥7.5%。在资本充足的指标约束下,二级资本债对于为最大化资本使用效率,扩充资本规模具有显著作用,而单纯依靠核心一级资本只能依赖于利润积累和股东增资,相对较为困难。
(三)信托贷款
信托贷款也是消费金融公司的资金来源渠道之一,贷款期限往往在半年以上,从用益信托网上来看,由于信托贷款的资金成本较高,开展该业务的机构较少,主要有马上金融和捷信金融两家机构,以部分产品为例,马上金融获取信托贷款后马上以信托资金以1:5比例配资发放消费贷款。
从产品预计收益来看,扣除计划管理方费率后平均在5-7之间,当然其实际贷款利率可能更高,由于其较高的贷款利率并不是大部分消费金融公司的资金获取来源渠道。
数据来源:用益信托网,金融监管研究院
(四)银团贷款
银团贷款是由一到两家商业银行牵头,由两家或两家以上银行基于相同贷款条件,依据同一贷款合同,按约定时间和比例,通过代理行向借款人提供的本外币贷款或授信业务。
银团成功组建是基于各参与银行对融资机构资质、经营情况及财务状况的充分认定,该融资渠道可树立融资机构良好的市场形象,扩大市场声誉。
自2017年中银消费金融首次募集银团贷款后,越来越多消费金融公司开始拓展此融资渠道,今年来,获得银团贷款的消费金融机构分别为小米、锦程、海尔、平安、马上、唯品富邦、苏银凯基消费金融。
数据来源:公开资料,官网,金融监管研究院
(五)ABS
ABS发行要求消费金融公司最近三年内没有重大违法、违规行为、不良记录等要求,其通过发行ABS融资相当于释放了这部分资金继续放贷,从而扩大业务规模。其发行利率除增信措施外比较看重消金机构所剥离的资产池质量。
分机构来看,目前已发行ABS的消费金融公司包括为9家,累计发行规模达800亿,其中捷信消金发行440亿,占比55%。
数据来源:wi,金融监管研究院
从历年发行规模看,消费金融公司发行ABS规模自19年触顶后开始回落,主要源于捷信消金发行缩量,在2019年捷信消费金融总资产刚刚接近千亿,达1045亿元,在一年后资产便出现了严重收缩,2020年末仅为652.07亿元,在金融债、ABS发行上开始乏力。
数据来源:wi,金融监管研究院
数据来源:wi,金融监管研究院
(六)金融债
发行金融债是消费金融公司直接获得融资的渠道之一,发行金融债需满足条件包括资本充足性监管指标不低于监管部门的最低要求;最近3个会计年度连续盈利,监管评级良好等一系列要求,对于资质良好但成立未满3年的金融租赁公司及其境内专业子公司,可由具有担保能力的担保人提供担保。
从发行机构来看,截至目前,招联、兴业、捷信、马上、中银均成功发行金融债券补充资金,累计发行295亿元,其中招联金融发行规模最大,融资成本也较低,兴业在发行规模上紧随其后。
数据来源:wi,金融监管研究院
从发行成本来看,随着近年来利率下行的趋势,各消费金融公司发行利率逐步下降,但是机构之间的分化也较为的明显。以2021年发行的金融债为例,以银行为股东背景的消费金融公司招联、兴业其发行利率为3-4%之间,而马上消金则为5.29%。
数据来源:wi,金融监管研究院
(七)同业借款
在各资金来源中,消费金融公司资金主要来自同业拆入。其源包括银行股东及其他金融机构,一般期限在92天以内,根据同业拆借管理办法规定,消费金融公司申请进入同业拆借市场前需满足最近两个年度连续盈利,因此,对于成立时间不足两年的和没有实现2个年度连续盈利的消金公司则没有同业拆借的资格。
目前获准进入同业拆借市场的非银行金融机构成员中已有25家持牌消费金融公司,截至2021年末,其中兴业消金于2018年成功加入银行间同业拆借市场,同业拆借占比约77%,其同业借款口径包括含同业借款、线上拆借及银团贷款。招联金融同业借款占总债务的87.03%,为其主要资金补充来源。
六、历年因何而受监管处罚
数据来源:金融监管研究院整理
注:统计受罚对象为机构,处罚针对个人不在其中。
总览近年来消费金融公司的监管处罚案例,对于机构的处罚集中涉及流程的各个方面,梳理来看,其中贷前贷后环节是重灾区,贷后如何保证资金用途使用合规是主要风险点。同时合理收费也是重要环节,该环节不仅在监管处罚当中,同时也是客户投诉的重灾区。
小米贷款能贷多少 2019小米贷款上征信吗贷款有什么条件
[闽南网]
小米金融旗下信贷产品“小米贷款”相信不少小伙伴都有使用过,毕竟是正规机构推出的产品,用户信赖的程度还是比较高的。那么,小米贷款一般能贷多少呢?下面小编就给大家简单的介绍一下小米贷款的相关信息吧。
小米贷款能贷多少钱
据小编了解,小米贷款的额度就在100元-100万元之间。从申贷资格上看,小米贷款主要参考的是借款人的小米信用,信用分达到600分以上,才具备申贷资格。据网友反馈,信用分672分可以获得的贷款额度为1300元左右。
如果你符合贷款申请条件,打开小米贷款APP或小米金融APP,确认授权信息后,即可看到贷款额度。若你的资料不满足小米贷款的授信条件,你可以提交实名认证或开启更多的服务,后续就有机会获得贷款额度。
要注意的是,小米贷款是会上征信的。但从小米贷款上借款的记录是不会上传到征信系统的,只有逾期还款才会体现在个人征信报告中,所以从小米贷款上借款后一定要按时还款,以免在个人信用上产生污点,影响在其它平台上申请借款。
此外,小米贷款一旦逾期,还会被收取相应的罚息,时间越长罚息就越多;工作人员还会对借款人每天进行电话催收,除非你及时将欠款还清,否则催收是不会停止的。严重的情况下,还有可能会被起诉,通过法律手段要求你快速还钱。
金融App谁家账户密码安全有隐患?新浪分期和浪小花测评垫底
随着一批批移动金融A备案名单出炉,规范金融数据安全也成为2020年上半年金融科技监管工作的主旋律,尤其密码防护、个人信息安全等方面,是治理的聚焦点。为给金融A治理工作进一步提供参考,南都金融合规研究课题组,以去年11月央行下发的《移动金融客户端应用软件安全管理规范》为依据,从消费者角度,针对64个主流移动金融A,围绕身份认证、密码操作和个人金融信息展示等维度进行实测,形成“2020财经半年报”之移动金融A账户密码安全合规榜。结果显示,近七成所测A在登陆、交易页面存在密码安全隐患。
南都金融合规研究课题组参考《移动金融客户端应用软件安全管理规范》(以下简称“规范”),设定了包括身份认证安全、密码操作安全和个人金融信息展示安全在内的3个一级维度、29个分项指标。通过下载、注册、实操使用等环节,对64个常用的移动金融A进行了两周的专项测评,主要涉及互联网公司旗下互金A22个、金融科技公司旗下互金A19个、消费金融公司A23个。
近两成被测移动金融A账户安全不及格
从整体排名情况来看,分数在80分以上的被测互金A与分数未达到60分的各占近两成。在“相对优秀生”中,60%以上都是持牌金融机构的消费金融公司旗下A;而在“相对后进生”中,近60%都是互联网公司旗下的A。
百度系的两款A“有钱花”和“度小满金融”拔得头筹,“支付宝”位列第6。值得注意的是,处于及格线以下的A中,也有的来自互联网巨头公司和头部金融科技企业,如新浪系的3个被测A“新浪金融”、“新浪分期”和“浪小花”都在垫底行列中,360金融旗下的“360信用生活”、小米金融旗下的“小米贷款”、金山集团旗下的“金山金融”和众安科技旗下的“众安小贷”成绩也不理想。
七成被测A可截屏密码
具体来看,比较严重的安全隐患集中在用户进行身份认证时的信息外泄问题。根据《规范》要求,客户端应用软件应事先身份认证过程的防截屏、录屏。但实测发现,近七成被测移动金融A在用户输入登录密码、登录验证码、交易密码,修改登录密码、交易密码时均无防截屏、录屏的功能。
南都金融合规研究课题组测评发现,在实名认证时,要求用户上传身份证图片,但未做敏感信息收集用途的承诺,存在身份证图片外泄风险。近半数所测A要求用户上传身份证正反面图片,但却无“仅用于身份验证”的水印,页面亦无任何安全性提示或承诺;另有两成被测A虽然未打水印,但在上传页面作出“仅为平台审核用”等安全性承诺;只有“支付宝”、“有钱花”、“度小满金融”、“维信卡卡贷”、“你我贷借款”、“还呗”和“小花钱包”7个A在用户上传的身份证正反面图片上打水印提示“仅为平台审核用”。
顺丰金融A等可展示用户信息
此外,《规范》要求,除交易对账、转账收款方确认等必须由用户确认的情况外,客户端应用软件在显示个人信息时,屏蔽关键字段。从测评记录来看,被测试A在对个人金融信息进行屏蔽展示方面做得都还不错,但有个别A对用户姓名进行了全部展示,例如“金山金融”、“顺丰金融”、“分期乐”、“拍拍贷借款”、“维信卡卡贷”;而“马上金融”、“小米贷款”未做屏蔽展示了用户的手机号码;“翼支付”未做屏蔽展示了用户的身份证住址。
苏宁消费金融等支付密码可设为123456
除了身份认证信息的外泄,更需要关注的是密码操作安全,这里的“密码操作安全”,包括登录A、在A内进行交易的认证要素安全和口令安全。
《规范》要求,在用户身份认证后,客户端应用软件进入终端系统后台时,如果超过设定时限后被唤醒切换到前台,应采取措施对用户身份重新认证。南都金融合规研究课题组测评发现,本次测评中,近半数被测移动金融A进入后台运行后再次唤醒时,处于默认登录状态,无需进行再次验证,其中包括“京东金融”、“苏宁金融”等。不过,南都记者发现,上述A可以在其“安全设置”板块内进行个性化设置,完成设置后,即可添加指纹、手势、刷脸等验证方式,但需要用户自主手动添加,而其他未检测出默认登录的A则主动引导用户进行重新认证。
南都金融合规研究课题组还发现,有部分A登录时的身份认证要素和方式太过单一。测试记录显示,有四分之一的被测A引导用户使用“本机号码一键登录”功能,虽然看起来比较方便,但这意味着任何一个拿到这台手机的人都可以在一款移动金融类A上来去自如。值得一提的是,消费金融公司旗下的所有A,都不允许使用“本机号码一键登录”功能。《规范》要求,移动金融A须采用两种或两种以上的要素对用户身份进行认证,而“众安小贷”只能提供“本机号码一键登录”这一种登陆验证方式,无法自主设置登录密码。
更为突出的问题在于,有超10%的被测A缺乏密码复杂度校验功能,密码安全存在隐患。《规范》规定,A应有采取有效措施提醒用户避免设置与常用软件、网站相同或相似的用户名和密码组合,并采取有效措施引导客户设置独立的支付密码。但测评中发现,如“新浪分期”、“永辉金融”、“小赢分期”、“中银消费金融”、“消邦”、“苏宁消费金融”等A,允许用户将“123456”、“111111”这类连续数字串作为登录密码或支付密码;“携程金融”的登录密码和支付密码一致,并未独立设置支付密码;还有“滴滴金融”、“金山金融”等23个A并未限制修改的登录密码不能与原密码相同。
【测评标准说明】
本次测评,设定了身份认证安全、密码操作安全和个人金融信息展示安全的3个一级维度。满分100分,计分权重分别占比50%、40%和10%。
在“身份认证安全”维度中,涉及用户登录A时,是否采用适宜的验证要素、用户进行身份认证时是否有防截屏录屏功能等14个具体指标。其中,南都金融合规研究课题组重点考查了A在要求用户上传身份证信息时,具体如何处理身份证图片这类隐私信息。
在“密码操作安全”维度中,涉及用户输入密码时是否有防护、修改登录密码、支付密码时,对用户的验证措施如何等11个具体指标。
在“个人金融信息展示安全”维度中,主要测评了A在未登录、已登录、认证失败状态时,如何展示用户个人信息,是否有对银行账号、身份证号码、手机号码、姓名等进行屏蔽展示等4个具体指标。
出品:南都财经新闻部
测评数据采集分析:南都记者熊润淼实习生温依雯陈琪琦
制图:杨晨悦