北京尼尔投资贷款信息提供专业的股票、保险、银行、投资、贷款、理财服务

拉卡拉超限贷款

本文目录

金融APP信息保护受关注 测试30款有17款索取隐私权限

新京报

拉卡拉在首页弹窗解释索取权限原因。

拉卡拉索取位置信息。

近日,100款APP整改通告中多家金融机构“上榜”,让金融机构的数据安全与个人信息保护问题引起了广泛关注。

新京报记者采访金融、安全行业多位圈内人士发现,随着移动支付的发展,越来越多的金融机构将借贷、支付场景转移到了线上,在这一过程中,许多银行遭遇到了新麻烦,包括如何达到国家规定的安全标准、如何对抗浸淫互联网圈已久的黑产攻击,以及如何让APP既实现多项业务功能,还可在个人信息保护上合规。

12月10日至16日,新京报记者下载30款排名靠前的金融类APP测试发现,金融APP超范围索取权限问题仍然存在。30款APP中有17款APP索取了隐私权限,其中13款APP索取了位置权限。

“怎么判断APP的权限‘越界’,我们之前也不了解。但所有银行自成立之初,就一直有风控部门在把关风险。只不过,在从线下支付到移动端支付的发展过程中,我们遇到的风险形态已经发生了很大变化,金融机构在这方面的投入也逐年升高,内控、抵御黑产攻击、信息保护合规,很多地方需要注意。”某银行高管戴蒙(化名)告诉新京报记者。

测试30款APP:17款索取隐私权限,其中13款索取位置

金融APP近期正遭遇又一轮监管。12月初国家网络与信息安全通报中心发布通报指出,公安机关在开展APP违法违规采集个人信息集中整治中,下架整改100款违法违规APP,其中光大银行、天津银行等金融类APP上榜。

对此,一位不愿具名的接受整改APP的高管对新京报记者表示,“之前我们接到通知说我们的APP存在泄露客户隐私的问题,具体问题包括隐私协议不规范和超范围收集,但目前已经整改完了。”

12月10日至16日,新京报记者在华为应用市场随机下载了30款排名靠前的金融类APP测试发现,若按照全国信息安全标准化技术委员会2019年8月8日发布的《信息安全技术移动互联网应用(APP)收集个人信息基本规范(草案)》规定的金融借贷类APP必要权限范围,这30款APP中有25款在首次打开时超范围申请了权限。如光大银行申请位置权限,好分期申请通讯录、位置,闪电借款申请位置,民贷天下申请录音、拍照权限等。这说明,金融APP超范围索取权限问题仍然存在。不过记者注意到,即便拒绝上述权限索取要求,这些APP仍可继续使用。

但需要注意的是,根据《信息安全技术移动互联网应用(APP)收集个人信息基本规范(草案)》规定,金融借贷类APP为用户提供从金融机构进行个人消费贷款服务,包括授信、借款、还款与交易记录等功能(其中金融机构是指有放贷资质的银行、消费金融公司、小贷公司等在网络上提供借贷服务的机构)。金融借贷类APP的必要权限只有存储权限一个,即除了存储权限,对其他任何权限的索取都涉嫌超限索权。

新京报记者发现,许多金融类APP除了收集必要的手机存储权限外,往往还会收集设备信息权限,如360借条、度小满理财等,而这也是导致众多金融类APP涉嫌超限索权的原因。有熟悉隐私行业的专家表示,设备信息包含手机识别码,一些基本功能如认证登录等均需要手机识别码的支持,此外,该项权限在互联网广告领域也是用来追踪用户的重要标识,因此众多APP都会收集该项权限。

根据上述《规范》,相机、通讯录、位置、麦克风、短信等权限属于“隐私权限”范畴。新京报记者测试上述30款金融类APP发现,30款APP中有17款APP索取了隐私权限。其中位置权限被索取得最频繁,有13家APP均索取了位置权限。

上述金融类APP均在首页对隐私政策进行了弹窗公示,一些APP则对索取权限的理由也进行了解释。如拉卡拉在首次安装打开后便弹窗表示其有可能索取定位、相机权限。其中索取定位权限的目的是用位置信息评估业务风险,而相机则用于身份确认。而招商银行则弹窗提示开启定位权限,目的是提高查询本地城市服务、附近优惠商户的准确性。好分期申请了通讯录与位置权限,其在首页弹窗对申请权限的行为作出解释称,“允许访问通讯录可以有效提升审核效率,允许访问位置可以提升好分期商城体验”。

对此,金融科技专栏作家、资深观察人士毕研广对新京报记者表示,金融类APP正常收集个人信息,以便于风险控制、门槛设立、投资者测评等是有必要的。比如个人办理贷款时,银行需要掌握个人基本的身份信息、财力状况等,至于读取相应通讯录信息、短信信息等则没有必要。

超限索权、黑产、“内鬼”,银行类APP成风险“重灾区”

12月16日,戴蒙对新京报记者表示,其所在的银行曾遭遇监管机构的整改通告,原因是其索取了用户的通讯录权限与位置权限。戴蒙表示,索取通讯录权限仅是为了方便用户向好友转账,而位置权限则是告知线下网店的位置。他透露,监管部门并未全面禁止不允许索取上述权限,只是一定要在隐私协议里对索取权限的原因有所体现。

还有业内人士对新京报记者表示,其实很多银行的APP是找外包团队做的,“虽然在应用市场看到APP的运营商是银行自己,但实际上做APP的另有其人。而程序员如果在做APP时‘抄了’其他APP安装包的内容,就有可能导致权限索取的部分也一起‘抄’过来了,最后导致隐私不合规。”

根据中国信息通信研究院此前发布的《2019金融行业移动APP安全观测报告》,在具有典型代表性的12款下载量过亿的金融行业APP中,多款APP存在不同程度的超范围索取用户权限的情况,在隐私政策方面也存在多种违法违规行为,给用户个人隐私信息安全带来隐患。APP用户的个人隐私信息一旦泄露,将带来严重的后果,如骚扰电话、信息诈骗、恶意推销、网络情感诈骗等,会严重损害APP用户的利益。

在不少安全专家看来,银行APP里面包含了很多重要的客户数据,而权限索取则是获取客户数据的途径之一,因此不论是出于业务考虑还是无心之失,过多收集客户数据的同时,如果银行的风控系统不到位,客户信息也很容易被黑产或“内鬼”所窃取。

新京报记者查阅黑猫投诉平台关于金融消费者的投诉情况发现,客户信息泄露成为了保险业的前三大“差评”之一,另外两个为违规销售和理赔难。

12月13日,奇安信集团副总裁梁志勇在接受新京报记者采访时表示,现在数据安全事件发生的频率越来越高,单个企业遭受的损失也越来越大。例如2017年美国的一家信用卡公司发生了1.5亿张信用卡信息泄露,给民众隐私和企业自身都带来了很大伤害。

“数据泄露的渠道包括外部黑产攻击以及内部威胁两种,其中内部威胁实际上是数据安全很重要的一个场景。例如一些机构有非常有价值的数据,内部人员一般都有合法的身份,但他们若出于利益或其他目的,就会违规地使用数据,这类事件在一些有重要数据的企业里较易发生。”梁志勇表示。

“金融机构汇聚了大量公民信息和交易数据,并且保障着社会生产秩序的有序进行。因此对于金融机构来说,首要的是保证数据不发生泄露,其次要保证金融服务的稳定性和持续性。网银、电子支付、手机银行也是普遍意义上金融机构易受到攻击的应用,主要风险包括:网络嗅探、拒绝服务、撞库等网络安全风险,数据防泄露、防篡改等数据安全风险以及内部数据窃取、恶意使用等业务风险。”12月16日,腾讯安全云鼎实验室负责人董志强对新京报记者表示。

12月11日,央行科技司司长李伟在2019年“中国金融科技全球峰会”上表示,前不久对金融类APP开展标准测评和认证后,近期注意到几部委开展的对APP风险的整治,其中银行类APP是风险重灾区,所以将加快推进有关工作,切实防范化解风险。

“随着互联网金融新的发展,风险也有了新的变化和特征。2019年的政府工作报告中,未曾提及互联网金融,却在金融领域提及23次‘风险’问题,可见,在新时期下,互联网金融的风险以及犯罪问题仍然是对互联网金融关注的重点。”中南财经政法大学法治发展与司法改革研究中心教授郭泽强表示。

监管要求下金融机构加大移动端安全投入

“一直以来,金融行业都有自身需要面对的安全问题,如盗转、盗刷等,这些问题在移动互联时代更加明显。此外,金融行业是对安全级别要求最高的行业之一,从身份认证方式、国家密码算法使用、等级保护标准等各方面都有相应的要求。因此,近几年金融机构对业务安全的需求也逐渐增长。”12月12日,北京芯盾时代科技有限公司副总裁蔡准在接受新京报记者采访时表示。

“越来越多银行的业务从PC端转移到了移动端,尤其对中小银行来说,线下营业厅的成本相对较难负担,因此对手机端更加看重,许多业务都转移到线上来做了,在手机端购物和转账的操作也越来越多。”据蔡准介绍,芯盾时代主要的客户群就是金融机构客户,“我们300多个客户里有200多个客户是银行,还有不少是证券公司和保险公司。在移动应用的场景下,许多金融机构客户需要在手机端拥有足够安全的身份认证措施,这类认证措施在以前是U盾,但由于手机无法使用U盾,而人民银行和银监会对5万以上的转账额度又有相应的监管文件要求,因此我们就提供了能够符合监管要求的多因素认证产品,让APP的支付额度能够从几千元提高到二三十万。”

12月13日,奇安信集团副总裁梁志勇对新京报记者表示,信息化建设与合规需求是企业投入安全建设的两大原因。“现在很多企业都有做大数据、云计算的需求,而这些都附带有安全的要求。此外,国家也提出了很多需要企业达标的硬性标准。而不同行业的企业,也需要达到各自不同的垂直性很强的行业标准,银行、公安等系统都是如此。”

蔡准告诉记者,从2016年开始,银监会明确发文对普通转账要求进行短信验证,并要求对短信验证进行保护。2017年则对银行的风控系统提出了要求,这导致了2018年和2019年成为了银行风控系统建设的高峰期。与此同时,等保2.0标准也对移动终端提出了更高的要求体系。可以看到各个机构都意识到了互联网业务面临的风险,需要金融机构采用对应的防控措施。

根据央行发布的“237号文”,央行对移动金融APP安全问题进行管理规范,主要从提升安全防护、加强个人金融信息保护、提高风险监测能力、健全投诉处理机制、强化行业自律5个方面入手,并对备受关注的个人金融信息保护划定了四大红线。

多位金融行业受访者对新京报记者表示,受各类标准出台的影响,金融安全需求在近几年持续增多,金融行业不断在安全层面加大投入。

“我们在银行成立的第一天开始,科技部下面下设了一个独立的大数据中心,专职做数据的平台建设工作,数据治理的工作,目前我们行里面自己的开发人员大概200人左右,大数据开发人员占到1/3,数据对我们来说是核心资产。此外,在信息安全上的投入,相对来说我个人认为也是比较大的,尽管现在我们全行的开发人员才200人,但是专职的信息安全人员已经20人了,风险部门还有一个专职的反欺诈的团队,他们更多是做业务安全,我们科技这边更多的是做信息安全,几个不同的层次强化数据安全的保护工作。”新网银行信息科技部负责人周勇在新京报主办的“金融进化论:2019新京报金融科技论坛”上表示。

“前不久央行发文指导互联网金融协会启动了金融APP的备案管理试点工作,简单来说,就是对金融类APP开展标准测评和认证,实施动态监测,及时处置相关风险。”央行科技司司长李伟12月11日表示,加快标准供给的同时,也在积极推进标准的落地实施,把金融科技标准实施与加强金融科技创新监管相结合,通过标准、测评和认证三个环节的工作规范金融科技创新应用,提升金融科技的监管效能。

银行遭遇互联网黑产提高风控水平成课题

蔡准告诉新京报记者,安全公司为金融机构提供安全技术支持的具体方式是集成一个SDK到银行的APP中,“我们SDK索要的权限只要银行APP本身要求开启的权限即可,没有额外要求。”

根据中国信息通信研究院发布的《2019金融行业移动APP安全观测报告》,截至2019年9月11日,该报告团队从232个安卓应用市场中收录了13.33万款金融行业APP,发现有70.22%的金融行业APP存在高危漏洞,攻击者可利用这些漏洞窃取用户数据、进行APP仿冒、植入恶意程序、攻击服务等,对APP安全具有严重威胁。其中T3的高危漏洞均存在导致APP数据泄露的风险。

“从银联卡支付到银联手机闪付,再到银联云闪付APP以及二维码支付,随着时代的发展,目前风险也加速向线上移动端转移,向支付业务全链条全方位渗透,由单一风险向各类风险交织并存发展,金融科技与新型风险相结合,催生团伙犯罪以及黑色产业链条,增大了风控的压力。”12月14日,中国银联法律合规部总经理郑晓琴在互联网安全与刑事法制高峰论坛上称。

那么,金融机构面对的风险主要有哪些?

在腾讯安全云鼎实验室负责人董志强看来,网点时代银行业的安全防护主要体现在业务连续性安全保障,集中在基础环境安全、网络连通性安全、应用安全等领域。而从网银时代开始,防止业务攻击和数据篡改、越权等安全防护成为了安全防护重点,同时针对普通用户银行账户的犯罪越来越多,如转账类诈骗、“四件套”交易等,这都需要银行方面有更强的监管能力。

微众银行反欺诈负责人诸劼称,薅羊毛对银行和互联网黑产来说都不是新鲜事,传统银行会遭遇套积分行为,互联网黑产则会经常薅电商的优惠券。但当金融机构逐步向移动端转移的过程中,银行碰到互联网黑产,就会出现问题。“银行没有见过这么大的账号群控黑产群体,而黑产则在电商外又找到一块大蛋糕。对于银行传统的注册账户必须手机验证和领券必须提供有效身份证的监管机制,互联网黑产往往可以使用大量手机号资源,接码平台以及大量身份信息去绕过,对此银行只能采取新方式对抗。”

蔡准对新京报记者举例称,此前有一家银行上线了其提供的风控系统后,在其APP的商城里拦截到一些商户的订单。“这些商户在该银行APP里出售商品时,使用同一个设备购买自己的商品‘刷单’,以这样的方式来‘薅’银行为商户提供的交易补贴,该银行此前承受了两年的损失,采用了反欺诈系统后才发现问题。”

董志强表示,目前,随着移动网络时代开始,移动安全、云安全、数据安全成为防护重点,同时语音支付、人脸支付等方面,银行也会面临新的威胁,比如AI伪造语音、AI伪造人脸的攻击,如何对此类新型攻击做到有效防护,也是需要银行等机构进行持续性研究。

“从2015年至今,金融机构与黑产的‘战况’一直很胶着,这是因为移动互联领域涉及很多风险点,而且相关的技术一直在升级,道高一尺魔高一丈的事情一直在发生。银行除了自身的风控团队外,还需要安全技术人员的配合,未来希望有更多的法律法规出台可以保护金融机构的数据安全。”戴蒙表示。

中国平安短信轰炸强推产品?用户退订后换号码继续骚扰

315金融曝光台

移动互联网时代,智能终端设备得到了极大普及,短信这一通讯工具已经不复当年辉煌。然而尽管荣光不再,许多机构却仍旧频繁利用短信,对用户进行“地毯式轰炸宣传”。而这其中,不乏许多持牌金融机构身影。

今日,身份认证为“互联网资讯博主、四川省第八届残运会乒乓球男子单打第四名“的微博用户@赵世权发布微博称,中国平安经常发送短信骚扰自己,并附上了其收到的十条来自平安方面的推销短信。

根据赵世权提供的短信截图,这些推销短信均为推荐贷款类产品的广告,形式多以“储备金”、“应急资金额度”等暧昧不明的说法为主,金额也动辄便高达数十万。同时,每条短信的发送号码均不相同,用户即便按照短信内容,回复了特定字母进行退订,对相关号码进行拉黑处理,此后也还会收到类似内容的短信。

这些推销短信是否真的均由中国平安发送?中国平安此举又是否涉嫌侵犯用户的隐私安全、虚假宣传?移动互联网时代,用户的数据安全隐私又应该由谁来保障?

短信轰炸不断退订也没用“尊敬的客户,恭喜您可获得我行预审XX万元额度,随借随还,如有需要,请回1。”对于这段话术,想必多大数人都不陌生。随着近年来个人消费信贷业务的蓬勃发展,许多金融机构也不断大力拓展相关业务。

销售之道,宣传为先。为了发展个人消费信贷业务,许多金融机构都在宣传工作方面下了极大功夫。然而,注重业务发展固然是好事,但若为此频频骚扰客户,并给用户生活带来困扰,则明显欠妥。同时,这些推销短信因为缺乏明显的辨识标志,导致用户的短信收件箱中经常“鱼龙混杂”、真伪难辨。

具体到本次赵世权投诉中国平安的事件来看,根据赵世权提供的图片内容,这十条推销短信均在开头部分“自报家门”,明确称该条短信内容发自“中国平安/平安银行”。然而,上述十条短信的发件号码均非中国平安的官方客服电话“95511”,也没有任何一条的发件号码中包含“95511”字串。

更加值得注意的是,上述十条推销短信发件号码的开头四位数字均为“1069”。据了解,1069开头的短信是指跨省或全国范围内非经营性短消息类服务第三方平台,为其他企业提供短消息平台服务,不对最终用户收费。

对此,中国平安方面表示,若要确定短信内容是否发自平安,需要用户提供个人手机号码进行查询后方能验证。这意味着,如果用户不进行主动查询,则无法辨识短信内容的真伪。平安方面客服同时表示,在验证短信真伪前,用户不要擅自点击短信内容中的链接或回复退订,以防诈骗。

然而,尽管平安方面声称不要擅自回复退订,据赵世权提供的短信截图来看,其曾经两度次回复了申请退订的数字,但在之后仍旧收到了平安方面类似的推销短信,发件号码与此前的号码也并不相同,退订操作并没有成功。

天天喊你来贷款真能借到几十万?除了短信的来源真伪难辨外,中国平安的这些推销短信的内容,也存在着夸大其实、误导宣传的部分。

以赵世权提供的一条短信截图来看,短信称根据平安的综合评估,用户可获得平安预审20万元“储备金”,且“全线上办理无需上门”。但据了解,即便用户真的就此申请平安贷款,也不会获得短信内容中动辄几十万的贷款额度。有业内人士指出,此类短信内容中的高额贷款额度,通常是作为诱导客户办理业务的噱头,涉嫌虚假营销。

此外,短信内容中经常出现的“储备金”、”应急金”、“预审额度”等一类词汇含义暧昧不清,令用户很难分辨出产品实际为贷款,导致其在并不清楚产品性质的情况下办理和申请。至于该贷款产品是否真的能“随借随还”、“全程线上办理”,真实性也有待考证。

今年1月份,人民银行等四部门联合发布了《关于进一步规范金融营销宣传行为的通知》,其中便明确提出了金融机构不得以欺诈或引人误解的方式对金融产品或金融服务进行营销宣传。同时,金融机构不得违规向金融消费者发送金融营销宣传信息。

个人数据频遭机构滥用用户隐私安全谁来保护?2019年,江苏淮安警方依法打击了7家涉嫌侵犯公民个人信息犯罪的公司,涉嫌非法缓存公民个人信息1亿多条。其中,拉卡拉支付旗下的考拉征信涉嫌非法提供身份证返照查询9800多万次,获利3800万元。

随着地下数据交易黑产被曝光,许多用户都惊叹自己的个人信息竟然遭到了极大泄露,“自己一直近乎裸奔”。而作为持牌金融机构,我国的许多银行都会通过正规渠道,得到用户的授权后对其个人信息数据进行收集整理。在这其中,手机号码作为个人隐私的一项重要数据,尤其为机构所看重。

然而,用户对于机构的个人信息授权应当存在一定限度。以本次赵世权举办的案例来看,平安方面频繁发送营销类短信,且不能提供有效的退订功能,应当属于超限使用数据行为,不利于用户隐私安全。同时,据赵世权表示,平安方面还给其一个从未开通过任何平安方面业务的手机号码发送了推销短信,目前尚不清楚平安方面是如何获取其信息的。

对于正深受营销短信骚扰的用户来说,应当勇于通过正规渠道维权。针对营销短信类骚扰信息,用户可通过工业和信息化部委托中国互联网协会设立的公众举报机构:12321网络不良与垃圾信息举报受理中心进行投诉,维护自身切实利益。

“双11”刷“爆”信用卡,还款不及时或影响房贷申请

经历“双11”的消费狂欢后,市民在信用卡还款时需要注意哪些事项?昨日,银行工作人员提醒,购物旺季期间,对于有大额消费需求的持卡人,一般会申请提升信用卡的临时额度,但需要注意的是,持卡人获得的临时授信额度是有“有效期”的,大多为30天。到期后持卡人的信用卡授信额度将自动恢复到原来的额度。

“有客户办理房贷时发现自己存在信用不良记录,查询发现是申请临时额度后单月还款额不足。”西岗区长春路附近一家股份制商业银行工作人员告诉记者,临时额度不享受循环信用,实际刷卡额度超过原信用额度的部分将计入当期对账单的最低还款额,需要在到期还款日前一次还清。“一般来说,临时申请调高的额度是不能分期还的,而且期限大都在一个月内,因此临时申请的额度若在本月产生了消费,自然就属于当期需归还的账款。所以,一定要记得按时还清,以免造成不必要的损失。”

该工作人员说,若临时额度到期时,持卡人尚未归还临时额度中已使用部分,银行会按一定比例收取超限费,通常为超限部分的5%。另外还要收取利息和滞纳金。但也有部分银行规定,如果到期没有归还超出原额度的欠款不会收取超限费,只是在这期间这张卡将无法使用,并会影响个人信用记录。

除了信用卡支付,有的消费者为了快捷还款,开通了第三方支付平台。据了解,除了支付宝以外,目前通过财付通、快钱等第三方支付平台多数都可以免费为信用卡进行还款。不过需要注意的是,各家银行在这些第三方支付平台上开通的跨行还款合作银行会有所不同。部分银行信用卡通过拉卡拉还款,需要交纳2元/笔的手续费。而目前使用电脑在支付宝给自己的信用卡还款,仍免收服务费,给他人还款将收取还款金额0.2%的服务费,最少2元/笔,最多25元/笔。不过持卡人在手机、P使用支付宝手机客户端,无论给自己还是他人的信用卡还款,都免收服务费。

另外,消费者还需要注意,通过第三方支付平台还款通常不能实时到账。持卡人在通过第三方支付平台还款时要留意银行的到账时间规定,最好预留出足够的时间以便资金到账,需要提前进行还款。如果持信用卡消费时,一时疏忽错过了还款时间,消费者可以致电信用卡客服电话,向客服人员申请延长还款期限。银行给予延长的还款期限一般为3天。过了3天,如果持卡人还没有还款,那么银行将向持卡人收取规定的滞纳金和利息等相关费用。

半岛晨报、海力网记者苏琳

分享:
扫描分享到社交APP