在今年App违法违规收集使用个人信息专项治理的当下，多家金融类App被“点名”超范围收集用户信息。
　　对此，包括银行、互联网金融等机构迅速公布其最新的用户数据隐私协议。如招行9月5日发布最新版本的App用户隐私政策；工行8月31日对“融e行”App制定信息保护指引。
　　机构多须读取权限才可使用App
　　随着移动支付兴起，大多数金融机构需要转向移动端，一个App即承载了经营所需的大多数功能。
　　不过，由于金融服务的特殊性，大多数银行App要求强制读取部分手机隐私权限，否则将无法使用相关App功能。
　　调查显示，四大行中，工商银行App要求读取用户手机设备ID等电话权限、存储权限，否则将无法使用App；建设银行App亦要求读取手机状态和身份等基础信息、照片和媒体文件、获取位置、获取已安装应用列表；农行、中行App要求获取设备通话状态和识别码等设备信息，否则不能使用App。
　　其中，所谓手机识别码，也称手机序列号、IMEI，用于在移动电话网络中识别每一部独立的手机等移动通信设备，相当于移动电话的身份证。
　　有业内人士介绍称，对于IMEI等手机识别码，在于确定机主个人信息，从而确保手机端设备登录的安全性。
　　值得注意的是，银行类App还要求读取手机位置权限。
　　获取多类权限是否必要
　　金融类App强制读取这些权限，是必须且必要的吗？
　　一位国有大行风控团队人士表示，银行App读取定位权限、IMEI等，一般用于银行“反欺诈”模型的验证，主要观察行为轨迹是否正常，是否有被集体操纵，从而防范“羊毛党”等欺诈团伙。
　　顶象反欺诈专家梁家辉认为，IMEI号类数据可以作为设备唯一标识，用来跟踪设备与用户绑定匹配等关系。如果一个账户经常换设备登录，或者一台设备上登录多个账户，这台设备就可以被判定为“风险设备”，在该设备上登录过的账号都是存在风险的。
　　梁家辉介绍称，现实情况中，一般不会采用IMEI作为设备唯一标识，因为IMEI非常容易被篡改，一般是依赖多个字段组合生成唯一标识。设备的定位信息在反欺诈识别的权重属中等。相比之下，设备当前的环境风险情况（如是否运行在模拟器、是否多开、是否被注入等等）权重更高。
　　这其中，智能手机的地理位置权限对于信贷等交易至关重要。
　　梁家辉认为，定位权限可以根据用户的地理位置来判断异地登录、异地消费是否存在欺诈、盗刷等风险交易的可能。
　　一位资深消费金融人士称，在其风控模型中，举例而言，设想一个人如果多年没换手机号码说明至少不会突然“失踪”，通话关系比较稳定说明有稳定的交际，若有稳定的出现位置，即使没有聚焦位置但长期在同一个基站，说明其生活和工作范围，这就可能排除掉很多其他风险。如果“羊毛党”买个号码，绝对不是上述这种表现，将这一数据与其他的数据结合，再与放贷放在一起，具有很强的相关性。
　　DCCI互联网数据中心高级分析师胡修昊认为，对于那些越界获取权限的行为，用户一旦授权，不仅会给手机带来不必要的负担，还会留下各种安全隐患，从而可能引发各种问题，因此在使用手机时，对于APP越界获取权限问题，用户需要更加注意。
　　据了解，目前我国针对App隐私安全的治理刚刚起步。不久前，《App违法违规收集使用个人信息行为认定方法》等系列制度文件才开始公开征求意见。辛继召