个人信息保护是重灾区，互金协会通报部分中小银行APP违规

来源：@华夏时报微博

华夏时报记者 李明会 见习记者 林佳茹 北京报道

近日，中国互联网金融协会通报了违规移动金融APP的自律检查情况。

早在今年9月，协会已对10款移动金融APP开展非现场检查，发现多家银行运营的APP存在风险隐患。截至12月16日，本溪银行、黑龙江农信、黄河银行已完成整改，宁夏银行、哈密市商业银行基本完成整改。

谈及此类风险爆发的原因，有业内人士在接受《华夏时报》记者采访时指出，核心在于部分机构过度采集与不当共享用户数据，同时存在技术防护能力不足、内部管理粗放、隐私保护意识薄弱等问题，这暴露了行业在安全与隐私保护领域的系统性短板。

“破解当前监管加码但问题难消的行业困境，需从提升中小银行技术投入与合规能力、强化监管穿透力与常态化检查、压实机构主体责任、推动行业标准统一等层面协同突破。”上述业内人士指出。

个人隐私问题成“重灾区”

中国互联网金融协会在此次通报中表示，“请各APP运营机构认真对照自律检查发现的问题清单，深入开展自查自纠，坚持举一反三，进一步强化金融APP安全管理与风险防控能力，切实防范化解潜在风险隐患。”

从本次《自律检查发现问题清单》来看，移动金融客户端应用软件在安全与隐私保护领域问题集中，主要涵盖个人信息保护、安全防护、数据安全三大类别。其中安全防护中的身份认证安全与个人信息保护两大板块问题尤为突出，成为用户投诉与监管关注的焦点。

在安全防护层面，身份认证安全漏洞已形成明显风险隐患。检查发现，部分APP在用户已登录状态下，姓名、银行卡号等核心身份信息未做屏蔽处理；在输入支付密码环节，也未提供符合安全标准的即时防护功能。

个人信息保护领域同样是重灾区。检查中发现的典型问题包括未经用户明确同意擅自收集、使用个人信息；违反必要原则，超范围收集与服务无关的信息；未按法律规定为用户提供个人信息删除或更正功能，或未公开投诉举报渠道等。这些问题在用户端已引发普遍不满，多位受访者也向记者吐槽了自身遭遇。

“想正常用手机银行，就得把手机访问权限全打开，不然很多核心功能直接用不了。”在北京从事教育行业的张女士向《华夏时报》记者无奈表示。她近期下载某银行APP时，因拒绝授予通讯录、位置信息等非必要权限，被限制使用转账、理财查询等基础服务，“感觉不是我在选服务，是APP在‘绑架’我的权限”。

从事互联网行业的小王则对个人信息泄露问题更为担忧。“现在在网上哪还有真正的隐私？刷脸支付、指纹支付的时候，APP相当于把我们的生物信息、手机里的所有数据都看了个遍，说‘裸奔’真的不夸张。”小王举例称，自己从未在某消费金融平台注册过账号，却频繁收到该平台的贷款推销电话，“连我最近在关注装修的事都知道，很难不怀疑个人信息早就被流转出去了”。

另一企业职员李女士也补充道，“经常接到银行的理财推销电话，问起怎么知道我的联系方式，对方要么含糊其辞，要么说系统推荐。嘴上说着保护个人信息，但实际感受不到安全感，不知道自己的信息到底被存在了多少个数据库里。”

移动金融APP持续加强监管

记者注意到，2024年3月国家金融监管总局发布《银行保险机构数据安全管理办法（征求意见稿）》，明确银行保险机构处理个人信息需遵循“明确告知、授权同意”原则，收集个人信息限于最小范围，不得过度收集。

同年9月，国家金融监管总局再发通知，要求金融机构建立移动应用个人信息保护制度，以“合法、正当、必要”为原则收集信息，需主动告知用户信息收集目的、使用保护方式，并公布投诉渠道、及时处理隐私合规问题。

尽管监管要求不断明确，中小银行却成为金融APP隐私违规的高发群体。

据国家计算机病毒应急处理中心通报显示，2024年以来已有乐山商业银行、厦门银行、福建农商银行、天津农商银行、甘肃农信等近20家银行，因移动应用隐私不合规被点名。

从通报内容来看，这些银行的违规行为集中在未明示或未获同意即收集个人信息；隐私政策未完整披露信息处理目的、方式与范围；未提供撤回同意或账号注销功能；未对敏感信息、未成年人信息实施单独授权；未采取加密、去标识化等安全技术措施等。

为何中小银行合规问题频现？博通咨询金融行业首席分析师王蓬博对《华夏时报》记者分析，一是不少平台还是抱着流量至上的想法，过度采集数据，合规意识跟不上业务扩张速度；二是新技术应用下，隐形采集、数据流转的环节变多，技术防护的漏洞没补上；三是用户往往被冗长的隐私政策困住，要么看不懂要么没得选。

“本质上，多数机构把合规当‘事后补救’，未将数据安全嵌入业务全流程，尤其第三方合作环节管控薄弱。”王蓬博表示。

对于这一现象，王蓬博也提出相应建议：一方面，要给中小银行量身定做可落地的合规指引，同时加大常态化检查和精准处罚的力度；另一方面，中小银行自身也要补短板，明确数据安全的责任部门，别再把风控外包当成跟自己无关做甩手掌柜，严格落实最小授权原则。

在长效治理上，王蓬博进一步建议，制度层面需清晰划分数据权责边界，隐私政策避免“文字游戏”，让用户看得懂、能维权；行业端要转变思路，将安全评估嵌入产品设计初始环节，别等问题发生再补救；技术上多推广隐私计算等方案，同时加强用户教育，便利投诉维权。

中国邮政储蓄银行研究员娄飞鹏也对《华夏时报》记者补充，长远来看，金融机构需在产品设计中嵌入隐私保护原则，平衡便利与安全，建立可审计、可追溯的合规机制，推动技术、制度与文化协同演进，进一步构筑用户信赖的数据安全屏障。

责任编辑：冯樱子 主编：张志伟