出品|圆维度
2026年5月的第一个完整周里,银行业迎来了一个极其尴尬的时刻。几乎就在最高法发布侵犯公民个人信息犯罪典型案例的同一天——5月8日前后,另一则关于银行“内鬼”出卖数据的新闻还余波未平,国家计算机病毒应急处理中心的一份通报也让多家中小银行同时陷入了个人数据保护不力的罗生门。
4月30日,国家网络与信息安全信息通报中心对外发布公告,根据中央网信办、工信部、公安部联合发布的《2026年个人信息保护系列专项行动公告》,检测出了67款存在各种违法违规收集使用个人信息情况的移动应用。其中银行业尤其是腰部以下金融机构暴露得最为严重,共涉及5家银行为期50天(2月26日至4月16日)的详细检测数据。
但这其中最荒唐也最耐人寻味的,绝非一家银行一次简单不合规那么简单,而是自2025年初以来,该国家监管检测中心就先后针对违规App开展过不下17个批次的专项检查。截至目前实际被点名的银行类移动应用总数已经接近20款,违规名单中包含了张家口银行、天水秦州长银村镇银行及2026年初被单独约谈曝光的中国农业发展银行旗下应用等大大小小的金融机构。
这早已不是一个偶发性曝光的事件,而是行业内部深层次系统性弊端逐步浮出水面的连环炸。
“告知悬空”与“撤不回头的同意”
本次直接踩上红线的5款移动应用分别涵盖范围极广且形态各异——它们包括了“常熟农商银行”主应用、“兴福村镇银行”App、及“江苏·农商行”,还有两款存量巨大的微信贷款小程序——“湖北银行线上贷款”与“武汉农村商业银行”。
不同机构踩进去的坑也各不相同。根据通报显示,隐私政策问题是所谓的“重灾区”。被点名次数最多的“常熟农商银行”版本6.0.0就包括两个致命误导:一是隐私政策未逐一列出包括第三方SDK插件收集信息的范围与目的;二是违规通过自动化算法直接进行商业营销推送,用户不管是想不被针对性地读取画像还是手动关闭,都缺乏便捷可行的拒绝入口。
而涉及到几款微信贷款小程序,其手法则更加危险且难以被用户察觉。以“湖北银行线上贷款”为例,当用户第一次打开产品时,页面既没有通过弹窗提醒用户认真阅读隐私授权,也没有等用户实际点击“同意”就开始了默认定向收集个人真实数据的操作,严重违反了《个人信息保护法》中第三十条对于完整向个人告知收集方式与保存期限的硬性规定。
更加令人咋舌的是,多位Bank技术部负责人在接受内部专访时坦诚——这类隐私政策条款的漏项、误报及误导性告知,在其开发与合规审核的任何物理界面,其实整改起来都并非难事。如果说一年前尚有中小银行会因研发资金不足听之任之,那么到了严监管连APP都要全面合规化的2026年,依然没有把“告知—同意”和“撤回同意”这两条基本线拉平,就真的只能归咎于从战略层面自上而下的合规惰性与管理脱节。
“数字围墙”下的背刺与隐忧
之所以银行类应用屡禁不止甚至变得比很多电商类App都要过分,直接原因其实在于中小银行和农商行这个庞大的区域性梯队——他们为了快速实现获客与线上信贷业务的数字转型,在产品外包与第三方SDK整合过程中,潜意识里只求数据多和快,却将用户基本权益的管理漏洞不留余地地直接带入了最核心的金融交易界面。
一个残酷的数字现实是,大股东自身的底层App就有极大的安全瑕疵,那么向其村镇银行输出的每一道管理流程乃至系统代码,都必然不可能安全。例如这次被同时高密度点名的常熟银行与兴福村镇银行,两家不仅是一家人——常熟银行持有兴福村镇银行高达90%的股权,同时常熟银行还负责为其下面的25家法人机构提供中台科技系统、风控基建和全面的技术支持。连系统层的技术接口都埋下了雷,用户的信息安全和财产安全更无异于在一堵布满洞眼的围墙上跑资金流水。
更何况近阶段各类政策的密集出台与敏感信息的划定规则不断细化,根据2025年监管部门对《敏感信息安全要求》的重新修订以及国家国家互金协会同步推出的严格检查通知,要求各大金融App在加密机制、账号注销自动化、单独未成年人信息授权等各个方面均须完全达标。而显然,这次被曝光的银行和保险公司,在复杂严苛的标准面前依然跌跌撞撞。
遗憾的是,早在今年的第一个季度内,银行业的此类极度敏感的数据安全合规痛点已然开始迫使业务全面停滞。上一轮国家计算机病毒应急检测中心通报的71款违规移动应用中,即使给了多轮漫长的整改和复测期,至今仍有17款因整改不到位而直接被全渠道分发平台强制下架。对于一个以信用和数据为生命线的市场主体,这无疑是非常惨烈的问责信号。
随着2026年个人信息保护系列专项行动的持续深入,银行业不应该是数据保护的反面教材。个人信息安全并非单纯的技术围墙,而是关系到无数真实存折上数字的第一道现实防线。且抄作业别太敷衍,毕竟所有APP的分发下架,并不会管你姓“国”还是姓“民”。
热门跟贴