夜雨聆风近期,国家计算机病毒应急处理中心通报67款移动应用存在违法违规收集使用个人信息情况,本次被通报存在问题的银行类移动应用包括:《湖北银行线上贷款》(微信小程序)、《常熟农商银行》(版本6.0.0,应用宝)、《兴福村镇银行》(版本2.5.0,应用宝)、《武汉农村商业银行》(微信小程序)和《江苏·农商行》(版本7.0.1,vivo应用商店),此次问题主要集中在:
如果说过去金融机构的监管重点更多集中在“资金安全”“反洗钱”“系统稳定”,那么如今,一个明显变化正在出现——监管正在把“个人信息权益保护”提升到与金融安全同等重要的位置。
从这一轮通报可以看到,监管关注点已经不再只是传统意义上的网络安全,而是开始进一步深入到“数据如何收集、如何使用、如何共享、如何删除”等个人信息全生命周期治理问题。某种意义上,这也意味着,金融行业的数据治理逻辑正在发生新一轮升级。
一、银行App被点名,背后其实是监管逻辑的整体升级
过去很多金融机构对于个人信息保护的理解,往往停留在“有隐私政策”“完成授权弹窗”“形式上取得用户同意”等层面。
但从此次通报来看,监管已经明显不再满足于“纸面合规”,例如,《武汉农村商业银行》被指出存在“未经用户同意收集个人信息或开启权限”“未提供便捷撤回同意方式”等问题;《江苏·农商行》则涉及“未提供有效更正、删除、注销功能”等问题。
这些问题背后反映出的,其实是监管逻辑的变化,监管已经从过去关注企业形式上是否合规,转向关注用户个人信息权益是否真正得到保障,尤其是在《个人信息保护法》实施之后,用户对个人信息已经不仅仅拥有“知情权”,还包括:
决定权;
查阅复制权;
更正删除权;
撤回同意权;
注销账户权;
拒绝自动化决策权等。
这意味着,未来监管衡量金融机构合规水平的标准,不再只是制度文件是否齐全,而是用户是否真正能够“控制自己的数据”。
对于银行而言,这其实是一次非常深层的数据治理转型,因为银行天然掌握着大量敏感个人信息,包括身份信息、账户信息、交易信息、征信信息、设备信息等,一旦出现过度采集、违规共享或数据泄露,其影响远高于普通互联网应用,因此,银行App被点名,本质上并不仅仅是一次普通整改,而是金融行业个人信息保护监管持续升级的一个缩影。
二、隐私政策正在从“模板文件”变成“真实告知”
此次通报中提到“隐私政策未逐一列出第三方收集使用个人信息的目的、方式、范围等”,这一点值得很多企业注意。过去不少App的隐私政策,更像是一份“法务模板”,甚至认为“只要用户点击了同意,就意味着已经完成告知义务”。但现在的监管越来越强调企业不仅要告诉用户“收集了什么”,还需要告诉用户为什么收集、收集后做什么、会共享给谁、保存多久、用户如何拒绝、用户如何撤回授权,更重要的是,相关告知应当以清晰、易理解的方式呈现,而不是隐藏在冗长复杂的隐私条款之中。
未来用户不仅需要知道数据被收集,还需要知道数据如何影响自己,换句话说,未来隐私政策可能不再只是“免责文件”,而会成为监管审查企业数据治理能力的重要依据。
三、第三方SDK和外包管理,正在成为新的风险焦点
此次通报中,多家银行App的问题都涉及“第三方SDK、插件或外部服务的信息披露不充分”,这其实是近年来移动应用治理中的一个典型风险点。当前很多银行App为了提升运营效率,会接入大量第三方能力,包括:
数据统计SDK;
用户行为分析工具;
风控识别组件;
消息推送服务;
地图定位能力;
营销广告平台等。
实际上,很多企业自身并不直接开发相关SDK,而是依赖外部服务商提供能力,这也导致很多企业并不真正清楚第三方SDK具体采集了哪些数据、数据回传到哪里、是否存在额外权限调用。但从监管角度来看,即便问题来自第三方组件,App运营主体依然需要承担责任。
事实上,学术研究也指出,第三方库(TPL)已经成为移动应用隐私治理中的重要风险来源,由于很多SDK本身无法独立运行,企业往往难以完全掌握其数据处理行为。
这意味着,未来监管不仅会审查企业自身的数据处理行为,还会进一步审查企业的供应链治理能力。对于金融机构来说,未来真正重要的,可能不仅是“系统安全”,还包括第三方组件管理、SDK权限治理、外包开发安全、数据共享审计、合作机构合规评估等。
谁能够真正建立完整的数据供应链治理体系,谁才能更好应对未来越来越严格的监管要求。
四、结语
从这一轮银行App被通报可以看到,个人信息保护已经不再只是互联网平台面临的问题,而是全面进入金融行业核心监管领域,监管关注的重点,也正在从过去的是否存在安全漏洞,逐渐转向是否真正尊重用户个人信息权益。
未来,金融机构之间比拼的,可能不只是产品能力和数字化水平,更包括数据治理能力与用户信任。对于金融行业而言,建立覆盖数据全生命周期的安全与合规治理体系,已逐渐成为个人信息保护监管趋势下的重要方向。持续开展个人信息保护审计、数据安全风险评估、移动应用合规检测及第三方组件治理等工作,也将有助于企业提升数据治理能力与监管应对水平。
浙江东安检测技术有限公司长期关注数据安全与个人信息保护实践,持续为企业提供相关安全合规服务支持。
本文作者:东安检测数据安全部-李超
