金融机构App频繁遭通报 数据安全与隐私保护遇考验

【金融机构App屡被点名】

最近，国家计算机病毒应急处理中心在线上监测中查出14个移动应用程序存在隐私违规行为，其中涉及天津农商银行和捷信金融的两款金融App。根据梳理，自去年起，交通银行太平洋信用卡中心、天津农商行、东莞农商行、山西银行、晋商银行、山西证券、江海证券等多家金融机构旗下的应用因隐私不合规被通报，问题包括违规收集个人信息、过度索取权限等屡见不鲜，个人信息保护困境亟待解决。

去年以来多家金融机构App被通报

天津农商银行App（源自应用宝，版本6.5.0）被指出存在两个问题：一是隐私政策未详细列出App（包括委托的第三方或嵌入的代码、插件）收集使用个人信息的目的、方式和范围等，涉嫌隐私不合规；二是App频繁自启动和关联启动。捷信金融（源自应用宝，版本34.46.0）则因“未制定专门规则处理不满十四周岁未成年人个人信息，涉嫌隐私不合规”被点名。

天津农商银行后续回应称，在事件发生后，立即与国家计算机病毒应急处理中心联系，查明主要原因：一是客户隐私协议中部分条款表述不够清晰；二是为监测客户网络状态以提示弱网环境、保障服务流畅，远程视频银行控件后台运行时持续获取网络状态。该行表示，在中心指导下，已修订完善用户隐私条款并更新客户端，相关问题已整改，并强调这未影响App安全性，客户资金、交易和信息安全无碍。

3月29日，广东省通信管理局公开通报了18款未按要求整改的App，东莞农商银行App（源自应用宝）因“违规收集个人信息”和“强制、频繁、过度索取权限”被点名。

根据公开信息，自去年起，多家银行、证券等金融机构的App被通报隐私不合规。例如，工业和信息化部去年11月底发布的通报中，点名22款App及SDK存在侵害用户权益行为，包括浙江泰隆银行的“泰惠收”（源自三星应用商店，版本1.9.7）和江海证券的“江海锦龙综合版”（源自百度手机助手，版本V9.00.44），涉及违规收集个人信息及过度索取权限。工信部3月的通报中，55款App及SDK被点名，包括吉林银行App（源自华为应用市场，版本5.2.0），问题同样为“强制、频繁、过度索取权限”。

此外，2023年4月至9月，上海市网信办对属地46款下载量较大或投诉较多的App开展个人信息收集使用专项检查，发现160余项问题。交通银行太平洋信用卡中心的“买单吧”（源自华为应用市场，版本6.1.1和6.4.0）被点名，涉及强制收集非必要个人信息、未提供用户主动勾选协议、隐私政策不完整及超范围收集个人信息等问题。通报后，相关App运营单位均已完成整改。

去年5月，山西省通信管理局公开通报12款未整改App。其中，山西银行App（版本3.4.2）涉及“首次运行时，用户同意隐私政策前私自收集个人信息”；山西省农村信用社联合社的“晋享生活”（版本4.1.04）和晋商银行App（版本5.0.0）均存在“未在隐私政策中逐一列举第三方SDK收集使用个人信息的目的、方式、范围”；山西证券的“汇通启富”（版本6.7.4.1）则因“未明示频繁自启动或关联启动行为”被点名。

数据安全与隐私保护遭遇挑战

用户使用App进行金融交易或获取服务时，会产生大量个人数据。随着应用向场景化、生态化发展，用户隐私保护面临更多挑战。中国互联网金融协会近期发布的《2023年金融APP市场治理与发展报告》指出，金融App领域仍存在风险：部分从业机构对网络安全和个人信息保护法规理解不足、落实不到位；一些App重开发轻运营、重注册轻活跃、重部署轻体验；集成开源组件可能带来许可证兼容性和合规性风险；智能化、云上化和平台化趋势对业务合规、系统性能和网络安全要求更高；场景化和生态化给数据安全和隐私保护带来挑战。

协会表示，金融App是提供数字金融服务的关键渠道，加强自律备案管理有助于提升安全性，引导从业机构注重数据安全和隐私保护，增强消费者信任。截至2023年底，协会完成3112家机构、2429款金融App备案，在过程中发现并督促整改6万余项漏洞隐患。通过自律管理，2023年单款App平均数据安全问题同比下降33.6%，安全防护问题降29.8%，个人信息收集使用问题降5.9%，权限申请数量逐年下降。

有业内专家指出，银行App数据库汇集海量市场和客户交易数据，属于核心资产，尤其个人识别信息易被复制，泄露后危害严重。一些银行机构对此重视不足，原因包括监管不够和App网络防御薄弱，科技快速发展使得安全问题更突出。

多方推动金融App合规发展

目前，电信和互联网行业缺乏针对金融服务类App个人信息保护的专门指引，现有标准难以完全满足金融行业需求，个人信息收集、使用等行为缺乏统一规范。在此背景下，国家金融监督管理总局重庆监管局、重庆市地方金融管理局、重庆市通信管理局近日联合印发《关于促进金融服务类App个人信息保护合规经营能力提升的通知》，建立联合监管机制，并基于法规制定《重庆市金融服务类移动互联网应用程序个人信息保护合规指南（V1.0）》，对辖内银行保险机构、地方金融组织和App运营者进行合规指导。

《通知》进一步压实了相关机构和个人信息保护主体责任，针对网络借贷、投资理财、手机银行、网络支付四大金融服务App类型，涵盖理财、证券、信用卡、保险等领域，从九个方面梳理实践指南，明确个人金融信息收集、存储、使用等环节的规范，推动形成长效机制，提升合规能力。同时，《通知》明确三部门建立联合监管机制，适时开展专项检查，协同治理违规收集使用个人信息问题，形成监管合力。

国家金融监督管理总局重庆监管局表示，下一步将协同相关部门聚焦个人信息保护重点问题，加大违规行为排查整治力度，提升行业治理水平。

中国互联网金融协会也表示，将持续做好金融App自律备案管理：一是探索将涉金融活动App纳入备案范围，实现全覆盖治理，优化评估方式降低合规成本；二是将备案管理向业务内容合规领域延伸，加强自律检查；三是建立自律协调机制，促进开发、分发、运行等环节全链条治理；四是组织开展数据报送，定期发布监测报告；五是完善移动金融可信公共服务平台，实现App查询和信息披露功能，促进安全合规可持续发展。