银行App违规屡禁不止 金融监管升级保护个人信息

　　金融App违规现象频发，2024年不完全统计就有超20家银行出现移动应用App违规收集个人信息等问题，仅2024年12月，就有6家银行的7款App被通报违规。

　　归纳银行App的违规原因可知，主要涉及违规收集个人信息、超范围收集个人信息以及强制索取权限等问题。

　　对于银行App如何把握收集个人信息的合规界线，国家金融监督管理总局明确要求，银行保险机构处理个人信息应按照“明确告知、授权同意”的原则实施，并限于实现金融业务处理目的的最小范围，不得过度收集个人信息。

　　某银行信用卡App开发部人士对《中国经营报》记者表示：“目前在银行App的开发过程中，主要依据原则是收集的信息不能超出其提供服务所必需的信息范围。如银行的线上贷款业务中如果不涉及借款人近亲的担保，则收集近亲的个人信息属于过度收集。”

　　2024年，江苏、河北、内蒙古、湖北等多个省份的通信管理局及央行分支机构公布了辖内金融App的违规情况，违规的银行机构主要聚集在中小银行中。

　　记者梳理银行App遭通报原因了解到，从所涉问题看，违规/超范围收集个人信息是出现次数最多的问题；强制、频繁、过度索取权限也是“重灾区”；此外，隐私政策未逐一列出App收集使用个人信息的目的、方式、范围，隐私政策难以访问，未声明App运营者的基本情况以及未声明隐私政策时效等也是被通报的原因。

　　2025年1月13日，国家计算机病毒应急处理中心网站也公布了多款移动App存在隐私不合规行为，其中包括2款金融App。此外，2024年以来，包括甘肃农信在内的多家银行App也曾因隐私政策不合规、频繁自启动等问题被国家计算机病毒应急处理中心点名。

　　博通咨询首席分析师王蓬博对记者表示，银行App收集个人信息必须严格遵循相关法律法规，而且一定要遵守目的明确原则和最小必要原则。比如收集的个人信息应限制在实现业务目的的最小范围内，避免过度收集，且应透明公开，银行App内的隐私政策应完整地向用户说明个人信息的收集、使用、存储、共享等情况。

　　对于银行App频繁出现的违规操作，前述某银行信用卡App开发部人士指出，如银行App仅需要用户身份认证信息，却收集用户的位置信息、摄像头权限等不相关的权限，或者是在非业务必需的情况下访问用户的通话记录，收集用户设备上的其他App列表或敏感文件等，这并不是其核心功能所需要的信息。

　　对于银行风控和个人信息保护这两者之间需要如何平衡，王蓬博认为，首先，银行应强化数据安全保护措施，在进行风控的过程中，要确保所收集的个人信息得到严格的安全保护，采用加密、访问控制、数据脱敏等技术手段，防止信息泄露和被滥用；其次，银行应该将个人信息保护融入到风控的各个环节，充分尊重和保护客户的个人信息。

　　金融监管机构一直关注银行金融科技相关的合规运营，不仅通过对银行违规的信息科技业务开罚单的方式强化监管，2024年还发布多个数据安全及移动应用相关的管理办法。

　　如2024年12月27日，江苏灌南农商银行7项违法行为中有2项涉及数据安全、隐私保护范畴，分别为“违反数据安全管理规定”“违反信用信息采集、提供、查询及相关管理规定”；2024年11月15日，昆明官渡农村合作银行存在“违反信用信息采集、提供、查询相关管理规定”等5项违法行为，被警告，并被罚款85.3万元；2024年9月25日，山西农商联合银行因“数据安全管理较粗放，存在数据泄露风险”“对网上银行外包管理不到位导致发生二级网络安全事件”2项主要违法违规事实，被罚款60万元。

　　从金融监管处罚来看，2024年银行业机构涉及信息科技业务的罚没金额翻倍增长，此前信息科技业务的处罚数据显示2022年为848万元，2023年为826万元，2024年为1946万元，处罚金额同比增长136%。

　　在金融监管发布的相关法律法规方面，日前国家金融监督管理总局发布《银行保险机构数据安全管理办法》，要求银行金融机构采取有效的管理和技术措施加强数据安全保护，确保客户信息和金融交易数据的安全。同时，监管部门还将以机构自查和监管部门现场检查相结合的方式对银行保险机构的信息数据安全启动专项治理。

　　2024年9月12日，国家金融监督管理总局发布《关于加强银行业保险业移动互联网应用程序管理的通知》要求，金融机构应当严格落实国家法律法规和监管要求，建立移动应用个人信息保护制度，规范个人信息管理，遵循“合法、正当、必要”原则收集个人信息，向用户告知收集个人信息的目的、使用和保护个人信息的方式，公布投诉渠道信息，及时处理信息泄露和隐私合规相关问题，保障消费者权益。并提出金融机构应当将移动应用风险纳入全面风险管理，识别违规展业、侵害消费者权益等业务风险及网络安全漏洞等科技风险，健全风险防控措施，每年至少开展一次移动应用风险评估，每三年至少开展一次审计，发生重大移动应用风险事件时，应立即开展专项审计。

　　随着银行机构个人信息保护及数据安全适用的法律法规增多，多个领域的监管交叉也增加了法律适用难度。

　　对于银行App的线上监管都面临哪些挑战，王蓬博认为，首先，银行 App 的业务涉及多个领域和法律关系，如金融、网络安全、数据保护、消费者权益保护等，不同的法律法规之间可能存在交叉，增加了监管部门在法律适用上的难度；其次，银行的业务创新肯定会带来一定时间的监管空白，比如银行不断推出新的金融产品和服务，后续就需要监管持续跟进；再次，金融科技不断发展，数据保护的难度也在不断增加，随着大数据、人工智能等技术在银行 App 中的广泛应用，数据的收集、存储、使用和共享变得更加频繁和复杂。