银行APP深陷用户隐私泥潭：2024年超25家违规，涉及苏州农商、湖北银行等

与银行业数字化发展随之而来的，是背后所面临的数据安全风险挑战也愈加严峻复杂。

日前，国家金融监督管理总局发布《银行保险机构数据安全管理办法》，要求银行金融机构采取有效的管理和技术措施加强数据安全保护，确保客户信息和金融交易数据的安全。同时，监管部门还将以机构自查和监管部门现场检查相结合的方式对银行保险机构的信息数据安全启动专项治理。

实际上，银行APP隐私侵权现象并非个例。据不完全统计，仅2024年就有超25家银行因移动应用违规收集个人信息等问题被通报。值得注意的是，近一个月以来，被通报的银行APP达7款，涉及6家银行。

对此，国家金融监督管理总局也明确要求，银行保险机构处理个人信息应按照“明确告知、授权同意”的原则实施，并限于实现金融业务处理目的的最小范围，不得过度收集个人信息。

频触红线：银行APP隐私乱象丛生

回顾2024年，银行APP违规行径屡见不鲜。

江苏、河北、内蒙古、湖北等多地通信管理局及央行分支机构频频出手，罚单与整改通知纷至沓来。

2024年12月，江苏省通信管理局通报指出，江阴农商银行、昆山农商银行、苏州农商银行、江苏长江商业银行、无锡农商银行5家银行的6款APP存在违规收集个人信息、超范围收集个人信息以及强制、频繁、过度索取权限等问题。同月，河北省通信管理局也通报了唐山银行旗下“唐行企业银行”APP的类似问题。

时间再往前追溯至7月，内蒙古通信管理局就通报了喀喇沁玉龙村镇银行、固阳蒙商村镇银行、达茂蒙商村镇银行、化德蒙商村镇银行4家村镇银行的APP存在超范围或违规收集个人信息的情况。同年6月，湖北省通信管理局通报显示，“湖北银行”APP和“湖北农信”APP均存在违规收集个人信息的问题；3月，广东省通信管理局公开通报了18款未按要求完成整改APP，其中“东莞农商银行”APP亦因违规收集个人信息等问题在列。

与此同时，人民银行四川省分行和吉林省分行也在2024年对多家银行进行了处罚。四川省自贡农商银行、达州银行、成都双流诚民村镇银行、四川隆昌农商银行因违反信用信息采集、提供、查询及相关管理规定被罚款。吉林省的吉林农安农商银行、农安北银村镇银行和伊通满族自治县农村信用合作联社也因同样原因被处罚。

此外，国家计算机病毒应急处理中心依据相关法律法规，通过互联网监测发布的违规移动应用名单中，也包含了多款手机银行APP。

例如，“甘肃农信”APP存在隐私政策难以访问、未声明APP运营者基本情况、未声明隐私政策时效以及处理敏感个人信息未取得个人单独同意等问题。“中德银行”APP在未经用户同意且无合理使用场景下，存在频繁自启动或关联启动的行为。“天津农商银行”APP则因隐私政策未逐一列出收集使用个人信息的目的、方式、范围等，以及频繁自启动和关联启动而涉嫌隐私不合规。

针对上述情况，国家计算机病毒应急处理中心提醒手机用户，首先谨慎下载使用以上违规移动APP，同时要注意认真阅读其用户协议和隐私政策说明，不随意开放和同意不必要的隐私权限，不随意输入个人隐私信息，定期维护和清理相关数据，避免个人隐私信息被泄露。

风险涟漪：用户、机构与行业的连锁危机

一系列隐私问题掀起的绝非微小波澜。于用户而言，个人信息库洞开，财产安全危如累卵，隐私泄露引发的诈骗骚扰不断，经济损失随时可能降临。

尤其目前，手机银行已成为向客户提供金融服务的主导渠道。《2024中国数字银行调查报告》显示，2024年个人手机银行用户使用比例已达88%，相比去年增长了2个百分点。

在此背景下，银行金融机构信息数据安全管理同样面临新的挑战。

“金融APP领域面临的风险主要集中在数据泄露、隐私侵权和合规风险三个方面：数据泄露可能导致客户敏感信息被窃取；如未经用户同意收集、使用个人信息，损害了用户的知情权和选择权的同时，会引发法律纠纷，影响银行声誉；合规风险则源于监管政策的严格性，违规行为将面临高额罚款和业务限制，增加运营成本。”广州眺远营销咨询公司总监高承飞对中华网财经表示。

北京社科院研究员王鹏进一步对中华网财经表示，从用户、金融机构，乃至整个金融行业来说，都会产生一定的不良影响。对用户来说，其个人信息和财产安全受到威胁，可能导致经济损失和隐私泄露；一旦发生数据泄露事件，金融机构将面临法律诉讼、监管处罚和声誉损失等风险；若多起数据泄露事件频发，将影响公众对金融行业的信任度，对整个金融行业的稳定和发展产生不利影响。

与此同时，根据中国电子银行网2024年8月联合中国金融认证中心（CFCA）信息安全服务部移动安全团队，对48款手机银行APP进行测评发布的《手机银行APP个人信息合规行业测评报告》结果显示：APP申请权限总体仍然较多。报告指出，作为金融APP，一定的权限申请用于风控有助于降低用户交易风险，同时高风险权限平均值明显较低，总体来看，手机银行APP在收集用户个人信息方面表现出了一定的节制，但隐私政策声明的高危权限和实际申请的高危权限尚有一定差距，值得重视。

合规探索：银行“瘦身”与监管升级

针对上述问题，王鹏建议，银行自身应加强数据安全管理，建立健全数据安全管理制度和流程，明确数据安全责任人和岗位职责；采用加密技术、访问控制、安全审计等技术手段，保护客户信息和金融交易数据的安全；严格遵守相关法律法规，明确告知用户个人信息的收集、使用目的和范围，并取得用户的明确同意；加强员工培训和教育，提高员工的数据安全意识和技能水平，防范内部人员泄露数据的风险。

而作为主导者的银行，似乎也注意到了潜在的风险，因此选择对业务进行调整。据媒体报道，2024年有多家银行选择“瘦身”，对其业务进行整合并关停旗下APP。据2024年11月15日中国互联网金融协会公布的移动金融客户端应用软件注销备案公告，有25款客户端软件因停止服务主动申请注销备案，涉及民生银行的民生直销银行APP、昆仑银行的昆仑直销银行APP、江苏银行的天天理财APP、上海银行的上银企业服务APP等。

此外，在面对隐私合规乱象时，监管细则也在持续升级。除上述《银行保险机构数据安全管理办法》外，2024年9月，国家金融监督管理总局还发布了《关于加强银行业保险业移动互联网应用程序管理的通知》，从数据安全、外包管理、业务连续性及个人信息保护等四方面提出了18项工作要求，为金融机构移动应用管理划定“红线”。

“应加强法律法规的细化和执行力度，明确数据收集、使用、存储的具体规范；建立跨部门的监管协调机制，形成监管合力；鼓励第三方安全评估机构参与，提供专业评估服务；银行自身则需定期向监管部门报告数据安全状况，主动接受社会监督，共同构建安全可靠的金融数据环境。”高承飞对于监管层面建议。