隐私政策不透明、撤回同意机制缺失……一纸通报,让银行App合规问题再次被置于聚光灯下。个人信息保护法施行已满四年半,就在中央网信办、工业和信息化部、公安部联合开展2026年个人信息保护系列专项行动之际,5家银行App/小程序因违法违规收集使用个人信息在同一天被国家计算机病毒应急处理中心点名通报。

  其中,兴福村镇银行及其控股行常熟农商银行双双“上榜”。“村镇银行规模小,技术实力弱,科技投入有限,多数村镇银行缺乏自建科技系统的能力,普遍依赖控股行或兴业数金等第三方机构。”一位宁夏银行人士向中国证券报记者直言。

  “小银行对金融科技的应用相对滞后。一个像样的银行App开发成本打底要300万元,有些银行为了压缩成本,其App就会出现无法覆盖基础功能的问题。”浙江地区某城商行信息科技部负责人表示,村镇银行在金融科技建设方面,高度依赖大股东的技术支持、系统开发成果,以及合规指导。

  倘若大股东自身App都频频“触雷”,其向村镇银行输出的管理标准和合规体系又怎能让人放心?而在强监管背景下,为何银行App还会屡屡触碰监管红线?合规整改的“最后一公里”究竟卡在哪里?

  ● 本报记者 张佳琳

  隐私政策问题是重灾区

  近日,国家计算机病毒应急处理中心的一份通报引发了银行机构的关注。依据网络安全法、个人信息保护法等法律法规及有关规定,经国家计算机病毒应急处理中心检测,67款移动应用存在一项或多项违法违规收集使用个人信息情况。其中,有5款银行App/小程序,分别是“湖北银行线上贷款”(微信小程序)、“常熟农商银行”(版本6.0.0,应用宝)、“兴福村镇银行”(版本2.5.0,应用宝)、“武汉农村商业银行”(微信小程序)、“江苏·农商行”(版本7.0.1,vivo应用商店),涉及城商行、农商行、村镇银行等多类银行机构。

  此前,中央网信办、工业和信息化部、公安部发布公告,开展2026年个人信息保护系列专项行动,明确要进一步深入治理App、SDK等服务产品以及金融等重点领域违法违规收集使用个人信息典型问题。

  此次被国家计算机病毒应急处理中心点名的移动应用检测时间长达50天——从2月26日持续至4月16日。在相关通报中,隐私政策问题是重灾区。常熟农商银行和兴福村镇银行均涉及隐私政策未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等。

  “湖北银行线上贷款”微信小程序则涉及在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;以默认选择同意隐私政策等非明示方式征求用户同意;隐私政策难以访问;个人信息处理者在处理个人信息前,未以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名、联系方式、个人信息的保存期限等。

  合规事项未获得足够优先级

  如果说隐私政策合规是银行App筑牢用户信任的“第一道门”,那么“撤回同意”机制的落地,则直接关系到个人信息保护法赋予用户核心权利的真正实现——而这一点,恰恰是此次通报中暴露的高频“雷区”。在上述5款银行App/小程序中,湖北银行和武汉农村商业银行均涉及未向用户提供撤回同意收集个人信息的途径、方式,个人信息处理者未提供便捷的撤回同意的方式。

  北京德和衡律师事务所副主任、商事与金融争议解决部主任裴虹博表示,上述两家银行的行为违反了个人信息保护法第十五条:基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。

  “隐私政策不透明、撤回同意机制缺失……在近几年的监管通报中,银行App被频频点名。问题的根源并非单纯的银行技术能力不足,而是其合规意愿滞后于监管要求,对成本的考量影响了用户体验。”裴虹博说。

  在银行业大力推进数字化转型的当下,银行App已成为重要的业务承载渠道,但其引发的合规问题被监管部门点名也并非新鲜事。谈及为何总有银行App触碰监管红线时,西部地区某城商行人士回答得直截了当:“最关键的原因是管理层的重视程度不高。”

  苏商银行特约研究员薛洪言表示,相关问题反复出现的根源在于,长期以来基础合规事项在银行内部未获得足够的优先级:业务拓展、客户营销和流量运营往往被置于更优先的位置,数据合规部门在内部决策中的话语权与资源获取相对有限,自上而下的常态化治理机制尚未在多数机构真正落地,合规约束也未能系统性地嵌入App开发、迭代与运营的全流程。

  部分村镇银行科技“空心化”

  此次通报中,兴福村镇银行及其控股行常熟农商银行被同时点名。除了涉及隐私政策相关问题,常熟农商银行还涉及通过自动化决策方式向个人进行信息推送、商业营销,未同时提供不针对其个人特征的选项,或者未向个人提供便捷的拒绝方式。

  “村镇银行打造科技系统,要么靠第三方公司,要么靠大股东支持。”河南地区一家村镇银行人士向记者透露,全国范围内,除少数国有大型银行发起设立的村镇银行外,绝大多数村镇银行都依赖其控股行或第三方外包服务商提供标准化核心系统和信贷系统。

  “有些村镇银行连像样的网站都没有,更别说一个功能完备、合规达标的App了。”上述河南地区村镇银行人士向记者表示,这种科技“空心化”直接导致村镇银行数据合规的先天不足。村镇银行作为银行体系的“毛细血管”,技术与合规能力本就薄弱,若大股东在数据治理方面重视不足,其用户数据安全状况将更令人担忧。

  上海金融与发展实验室主任曾刚向记者表示,村镇银行普遍以大股东银行为技术服务提供方,兴福村镇银行正是以常熟农商银行为最大股东并依赖其系统支持。在这种“母行输出技术,子行独立运营”的模式下,App合规责任形成了真空地带——子行承担名义上的主体责任,实际上缺乏独立合规能力。

  在曾刚看来,银行大股东承担的责任应包含三个方面:一是标准输出义务,母行在向子行输出App系统时,应将隐私合规框架作为交付标准内嵌其中;二是定期审计义务,对旗下村镇银行App合规状态实施年度专项检查;三是连带改正责任,子行违规整改不到位时,监管机构应将整改责任追溯至大股东。现行监管体系对大股东的数据安全关联责任约束明显不足,将大股东对旗下村镇银行的数据治理监督纳入监管评级和考核体系,具有现实紧迫性。

责任编辑:李琳琳

www.hth.com,九游会平台,

华体会网页版相关资讯:j9老哥俱乐部,