近日,国家计算机病毒应急处理中心发布专项通报,经检测发现67款移动应用存在违法违规收集使用个人信息的问题。其中,5款银行类移动应用及小程序被点名,涉及湖北银行、武汉农村商业银行、常熟农商银行、兴福村镇银行以及江苏农商联合银行。
这并非银行APP首次在个人信息保护领域“踩线”。近年来,随着移动金融服务的普及,银行类应用因违规收集使用个人信息被监管部门通报的情况已不鲜见。
业内分析人士指出,银行APP在维护数据安全、保护个人信息方面仍有较大的提升空间,需要从技术与制度两个维度同步发力,筑牢用户信息安全的“防火墙”。
5款APP及小程序被点名
据国家计算机病毒应急处理中心官网近日发布的通报,有5款银行移动应用涉及违规,分别为:湖北银行线上贷款(微信小程序)、常熟农商银行(版本6.0.0,应用宝)、兴福村镇银行(版本2.5.0,应用宝)、武汉农村商业银行(微信小程序)以及江苏农商行(版本7.0.1,vivo应用商店)。
其中,武汉农村商业银行微信小程序的违规行为涉及3项问题,包括未在征得用户同意后才开始收集个人信息或打开可收集个人信息的权限;未向用户提供撤回同意收集个人信息的途径和方式;处理不满十四周岁未成年人个人信息时未制定专门的个人信息处理规则,也未取得监护人的单独同意。
湖北银行线上贷款微信小程序同样存在多项违规,包括在APP首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则,以及未向用户提供撤回同意收集个人信息的途径和方式等。
此次通报中,隐私政策披露不规范成为焦点之一。常熟农商银行APP与兴福村镇银行APP均因涉及隐私政策未逐一列出APP收集使用个人信息的目的、方式、范围等而被点名。实际上,兴福村镇银行为常熟农商银行的控股子公司(持股90%),在集团内承担村镇银行投资管理行职能,下辖25家法人机构。
此外,常熟农商银行APP还存在自动化决策违规问题——在通过自动化决策进行信息推送和商业营销时,未同时提供不针对其个人特征的选项,也未向个人提供便捷的拒绝方式。
细览通报不难发现,“注册容易注销难”与“第三方插件管不住”,正是眼下银行类APP的两大顽疾。此次被点名的江苏农商联合银行旗下江苏农商行APP,就被指出未提供有效的注销账号功能,设置了不必要或不合理的注销条件,或在承诺时限内未能及时处理注销申请。
值得关注的是,不仅是银行业,保险机构也在此次通报中“现身”。泰康人寿的《泰康新生活》微信小程序,因未采取加密和去标识化等安全技术手段,被列入本次违规名单。
银行多款应用曾被强制下架
此次多家银行APP被通报并非孤立事件。
一方面,银行类移动应用因个人信息保护问题被点名已成“常客”,近年来被强制下架的事件亦不罕见。另一方面,据不完全统计,自2025年以来,国家计算机病毒应急处理中心已发布17批次专项通报,累计有近20款银行类移动应用上榜。
从违规主体看,问题高度集中于中小银行:张家口银行、天水秦州长银村镇银行等区域性中小银行均在其列,暴露出中小银行在合规管理上的短板。
此外,2026年2月,中国农业发展银行旗下的“农发企业银行”APP也被点名,其问题包括:向其他个人信息处理者提供个人信息时,未向个人告知接收方的名称、联系方式、处理目的、处理方式及信息种类,也未取得个人的单独同意;客户端向第三方提供个人信息时既未经用户同意,也未做匿名化处理。
梳理违规情形,三类问题最为突出:其一,撤回同意机制缺失,12款银行APP存在此项问题,成为最高频的违规项;其二,向第三方提供个人信息不规范,10款APP未告知接收方信息且未取得单独同意;其三,隐私政策披露模糊,6款APP未逐一列明信息收集的目的、方式与范围。
制度与行动并进:织密个人信息“保护网”
面对移动应用个人信息安全风险持续凸显的态势,监管部门持续健全制度、细化要求,织密防护网络,为个人信息安全构筑坚实屏障。
今年4月,中央网信办、工业和信息化部、公安部联合发布公告,部署开展2026年个人信息保护系列专项行动,明确将金融领域违法违规收集使用个人信息列为重点治理对象之一。
上述公告清晰划定的重点治理问题包括:相关机构以安全风控、贷款服务等名义收集非必要的通讯录、短信、通话记录、位置、设备信息等个人信息;未向个人信息主体告知合作的第三方机构名称、处理目的、方式等;将人脸识别技术作为唯一验证方式;未建立个人信息保护管理制度、未采取有效安全保护措施等。
稍早前,国家金融监督管理总局于2024年9月发布《关于加强银行业保险业移动互联网应用程序管理的通知》,要求金融机构加强统筹,将移动应用管理纳入全面风险管理体系,建立移动应用个人信息保护制度,规范个人信息管理,遵循“合法、正当、必要”原则收集个人信息,及时处理信息泄露和隐私合规相关问题,保障消费者权益。
2024年12月,《银行保险机构数据安全管理办法》为数据安全又添一道“安全锁”,明确个人信息处理应当按照“明确告知、授权同意”的原则,收集个人信息应当限于实现金融业务处理目的的最小范围,不得过度收集个人信息,并真实、准确、完整地向个人告知处理目的、处理方式、个人信息种类及保存期限。
在数字化转型浪潮中,商业银行的业务模式日益依赖大数据,用户画像、精准营销等操作成为常态。然而,当数据价值被不断推高的同时,金融机构千方百计获取原始信息的行为,也屡屡被质疑存在过度收集个人信息的嫌疑,相关合规性风险随之上升。
有消费者曾向券商中国记者坦言,为追求支付便捷,已对刷脸支付等场景中的隐私保护选择“躺平”。然而,信息泄露后的维权之路往往坎坷重重。正因如此,从采集环节筑牢个人信息“防火墙”,显得尤为关键。
京公网安备 11040102700151号
组织机构
新闻资讯
通知公告
政策法规
政务服务
资产管理
信息公开