作为银行线上服务的主阵地，手机银行APP已成为不可或缺的金融工具。在提升服务便捷性与效率的同时，个人信息合规问题也备受关注。据不完全统计，2024年以来，已有超过15家银行因移动应用隐私不合规问题被点名通报。其中，近一个月来，被通报的银行APP达7款，涉及6家银行。

   分析人士指出，金融类APP亟须进一步重视用户个人信息保护，应当从数据采集等多个环节进行规范，建立健全个人信息保护的全流程防控机制。

 

   1、个人信息收集违规高发

   2024年12月24日，江苏省通信管理局发布《2024年第5批关于侵害用户权益行为的APP通报》，涉及江阴农商银行、昆山农商银行、苏州农商银行、江苏长江商业银行、无锡农商银行5家银行的6款APP，侵权行为包括违规收集个人信息；超范围收集个人信息；APP强制、频繁、过度索取权限。

 

   此前，江苏省通信管理局发布《关于APP侵害用户权益问题的通报》指出，该局组织第三方检测机构对省内部分APP进行检查，并通报相关违规APP主办者限期整改。截至2024年12月11日，尚有17款APP未完成整改。其中，唐山银行旗下“唐行企业银行”APP因强制、频繁、过度索取权限被点名。

 

   记者注意到，上述APP开发运营者及被通报企业均被要求限期完成整改，整改落实不到位的，通信管理局将视情采取下架、关停、行政处罚等措施。银行APP隐私侵权现象并非个例。据不完全统计，2024年以来，已有超过15家银行因移动应用隐私不合规问题被通报。其中，国家计算机病毒应急处理中心依据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《APP违法违规收集使用个人信息行为认定方法》等法律法规及相关国家标准要求，通过互联网监测发现“甘肃农信”“中德银行”“天津农商银行”等移动APP存在隐私不合规行为。

 

   具体来看，“甘肃农信”APP在2024年8月1日至9月13日的检测中，存在两项问题：一是隐私政策难以访问、未声明APP运营者的基本情况、未声明隐私政策时效；二是处理敏感个人信息未取得个人的单独同意。“中德银行”APP在2024年5月1日至6月1日的检测中，存在APP未向用户明示未经用户同意，且无合理的使用场景，存在频繁自启动或关联启动的行为。

 

   “天津农商银行”APP在2024年2月1日至3月1日的检测中，存在两项问题：一是存在隐私政策未逐一列出APP（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围等，涉嫌隐私不合规；二是APP频繁自启动和关联启动。

 

   针对上述情况，国家计算机病毒应急处理中心提醒手机用户，首先谨慎下载使用以上违规移动App，同时要注意认真阅读其用户协议和隐私政策说明，不随意开放和同意不必要的隐私权限，不随意输入个人隐私信息，定期维护和清理相关数据，避免个人隐私信息被泄露。

 

   此外，包括东莞农商银行、湖北银行、湖北农信、固阳蒙商村镇银行、化德蒙商村镇银行、达茂蒙商村镇银行等多款银行APP因违规收集个人信息等问题被通报。

 

   2、个人信息保护是监管重点

   随着银行数字化转型加速，包括手机银行APP在内的线上渠道成为承载业务发展的重要环节。易观千帆报告显示，2024年第三季度，手机银行用户经营成效较为显著，行业活跃人数稳步增长。其中，9月行业月活达5.8亿。手机银行紧密围绕用户需求及市场情况进行功能升级与APP运营，促进用户活跃。以信用卡服务应用为例，2024年11月活跃人数达到12016.95万，环比增长0.20%，同比增长0.44%。与此同时，手机银行APP在保障用户个人信息合规的角色上更显关键。在分析人士看来，个人信息保护是近年来APP整改监管重点方向之一，同时也是移动APP合规存在的薄弱之处。不少APP存在过度收集金融消费者个人信息的情形，不利于金融消费者的权益保护，也加剧了个人信息被泄露和违规使用的风险。

 

   2024年8月，中国电子银行网发布《手机银行APP个人信息合规行业测评报告》，联合中国金融认证中心（CFCA）信息安全服务部移动安全团队，对48款手机银行APP进行了测评。结果显示，APP申请权限总体仍然较多。作为金融APP，一定的权限申请用于风控有助于降低用户交易风险，同时高风险权限平均值明显较低。总体来看，手机银行APP在收集用户个人信息方面表现出了一定的节制，但隐私政策声明的高危权限和实际申请的高危权限尚有一定差距，值得重视。

 

   3、如何守护个人信息安全底线？

   在数字化转型的浪潮中，银行应该如何守护个人信息安全底线？

 

   面对移动应用领域的隐私合规乱象，监管细则正在持续升级。2024年9月，国家金融监督管理总局发布《关于加强银行业保险业移动互联网应用程序管理的通知》，从数据安全、外包管理、业务连续性及个人信息保护等四方面提出了18项工作要求，为金融机构移动应用管理划定“红线”。

 

   其中，在个人信息保护方面，《通知》要求金融机构建立移动应用个人信息保护制度，遵循“合法、正当、必要”原则收集个人信息，并向用户明确告知收集目的、使用方式和保护措施，确保消费者权益不受侵害。

 

   为规范银行业保险业数据处理活动，保障数据安全、金融安全，促进数据合理开发利用，维护社会公共利益和金融消费者合法权益，近日，《银行保险机构数据安全管理办法》正式发布。要求按照“明确告知、授权同意”的原则处理个人信息，按照金融业务处理目的的最小范围收集个人信息。共享和向外部提供个人信息，应履行个人告知及取得同意的义务。

 

   在清华大学五道口金融学院金融安全研究中心主任周道许看来，金融服务类APP的隐私保护是监管重要关注对象。出于自身业务的需要，金融服务类APP需要的用户隐私数量多、类型多且非常敏感，但在实际的信息保护中，金融服务类APP个人信息保护仍有疏漏，亟需进一步重视用户个人信息保护问题。

 

   “尽管政策不断推动金融个人信息安全合规发展，但面对复杂多变的网络环境和技术挑战，金融行业在实践中仍面临诸多难题。”业内人士建议，金融类APP应当从数据的采集、存储、加工、传输、披露等环节规范用户个人信息管理，建立健全个人信息保护的全流程防控机制。只有不断加强个人信息保护合规工作，才能为金融行业的稳健发展提供有力的保障。