银行App再陷“隐私门”,湖北银行等5家银行同日被通报
数字经济时代,个人信息因蕴藏着丰富的信息资源与经济价值,成为驱动商业运转的重要资源,其保护水平已成为衡量社会治理与行业合规的重要标尺。
5月8日,最高人民法院发布5起侵犯公民个人信息犯罪及关联犯罪典型案例,将倒卖287万余条患者信息的科技公司“内鬼”送上审判席,彰显了国家守护个人信息安全的坚定决心。
就在此前不久,国家计算机病毒应急处理中心通报67款违规移动应用,湖北银行、常熟农商银行、武汉农村商业银行等5家银行App/小程序因违法违规收集使用个人信息被点名通报。
有业内专家表示,从“隐私政策模糊”到“撤回同意机制”缺失,此次通报不仅暴露出部分金融机构个人信息保护的薄弱环节,更折射出银行业数字化转型中“重发展、轻合规”的共性困境。
通报:67款应用违规,5家银行“上榜”
4月30日,国家网络与信息安全信息通报中心发布通报,经国家计算机病毒应急处理中心检测,67款移动应用存在一项或多项违法违规收集使用个人信息情况。
国家网络与信息安全信息通报中心通报截图。
其中,有5款银行App/小程序,分别是“湖北银行线上贷款”(微信小程序)、“常熟农商银行”(版本6.0.0,应用宝)、“兴福村镇银行”(版本2.5.0,应用宝)、“武汉农村商业银行”(微信小程序)、“江苏·农商行”(版本7.0.1,vivo应用商店),涉及城商行、农商行、村镇银行等多类银行机构。
检测时间从2026年2月26日持续至4月16日,长达50天。所有应用均依据《网络安全法》《个人信息保护法》等法律法规进行检测认定。
据了解,中央网信办、工信部、公安部已联合开展2026年个人信息保护系列专项行动,重点治理金融等领域违法违规收集使用个人信息问题。上期通报的71款违规移动应用中,17款经复测仍存在问题,已被相关分发平台下架。
告知义务“悬空”,用户进入“盲盒”状态
此次通报显示,隐私政策问题是重灾区。“湖北银行线上贷款”微信小程序的问题较为突出,它首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则,以默认选择同意隐私政策等非明示方式征求用户同意,甚至未以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或姓名、联系方式、个人信息的保存期限等。这意味着,用户在使用这一小程序时,对自己的信息被谁收集、保存多久、用于何处始终处于“盲盒”状态。
“常熟农商银行”和“兴福村镇银行”的违规更为具体:未在隐私政策中逐一列明收集使用个人信息的目的、方式、范围,以及第三方代码、插件的信息处理情况。
如果说隐私政策合规是银行App筑牢用户信任的“第一道门”,那么“撤回同意”机制的有效落地,则直接关系到个人信息保护法赋予用户核心权利的真正实现。
然而通报显示,“湖北银行线上贷款”微信小程序和“武汉农村商业银行”(微信小程序)均未向用户提供撤回同意收集个人信息的途径、方式。
随着移动金融服务的普及,手机银行App以及微信小程序等已成为用户办理转账、理财、贷款等业务的重要入口。
可最该守护“钱袋子”的银行业,为何在个人信息保护上频频失守?
“隐私政策不透明、撤回同意机制缺失……在近几年的监管通报中,银行App被频频点名。问题的根源并非单纯的银行技术能力不足,而是其合规意愿滞后于监管要求,对成本的考量影响了用户体验。”北京德和衡律师事务所副主任、商事与金融争议解决部主任裴虹博在接受媒体采访时指出,湖北银行和武汉农村商业银行的行为违反了个人信息保护法第十五条:基于个人同意处理个人信息的,个人有权撤回其同意,个人信息处理者应当提供便捷的撤回同意的方式。当法律赋予的“撤回权”,在部分银行的系统设计中找不到出口时,也就意味着用户的信息一旦被收集,便再无“回头路”。
监管加码:罚单增加倒逼行业合规升级
记者留意到,《个人信息保护法》施行已逾四年半,我国的个人信息保护制度体系已得到进一步完善,执法与司法力度亦持续增强。
2025年11月《金融机构客户尽职调查和客户身份资料及交易记录保存管理办法》的出台,从制度层面对金融机构的信息处理提出了更高要求。
2026年4月,中央网信办、工信部、公安部联合部署个人信息保护系列专项行动,明确将金融领域列为重点治理对象,覆盖银行、保险、证券、征信、支付及互联网助贷平台,重点整治以风控名义收集非必要通讯录、短信、通话记录、位置等敏感信息的行为。
2026年一季度,银行业面临的数据安全和个人信息保护相关处罚力度明显加大。据同花顺数据统计,一季度中国人民银行、国家金融监督管理总局及各分局共开出处罚记录625条,罚单金额总计高达5.76亿元,涉及银行机构至少586家。
在数据安全领域,据行业不完全统计,2026年3月的银行网络安全/数据安全罚单达到23个,比2月多出9个,环比增长64.29%。
从具体处罚案例来看,多家银行因数据安全管理问题受到重罚。2026年3月,湖北银行因“违反信用信息采集、提供、查询相关管理规定”等10项违法违规行为,被罚249.9万元;4月,哈密市商业银行因违反网络安全与数据安全管理规定等多项违法行为,被警告并罚款383.6万元,信息科技部人员也被追责。同月,光大银行重庆分行也因违反数据安全管理规定等多项违法行为被罚款208.6万元。
隐私是金融行业的立身之本,无论科技如何迭代、商业如何竞争,公民的隐私权永远不容侵犯。5月8日最高人民法院发布的典型案例,与此次银行违规通报形成呼应,从刑事制裁到行政监管,数字时代个人信息保护的法网正越织越密。
采写:南都·湾财社记者 管玉慧