银行应用再次因违规收集个人信息被推上风口浪尖。

近日，国家网络安全通报中心最新通报了71款存在违法违规收集使用个人信息情况的移动应用。在名单中，《桂林银行信用卡》（云闪付小程序）、《内蒙古银行真享贷》（微信小程序）等中小银行旗下应用赫然在列。

这并非银行移动应用首次在隐私合规上“翻车”。5月初，国家计算机病毒应急处理中心通报的67款违规移动应用中，湖北银行、常熟农商银行、武汉农村商业银行等5家地方中小银行的APP或微信小程序同样“榜上有名”。

业内人士指出，短期内两份通报，多家中小银行被点名，暴露出部分机构在隐私政策制定、第三方插件管理上的薄弱环节，也反映出部分银行在数字化转型过程中“重业务发展、轻数据合规”、过度依赖技术外包的困境。

隐私政策不透明成违规重灾区

梳理近期两次通报的具体问题可以发现，“隐私政策不透明”“用户权利受限”以及“未成年人信息保护缺失”成为银行移动应用违规的重灾区。

在最新通报的71款应用中，《桂林银行信用卡》云闪付小程序因在APP首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则；处理不满十四周岁未成年人个人信息时，未制定专门的个人信息处理规则，且未取得监护人单独同意等原因被点名。

而在早前的通报中，《常熟农商银行》与《兴福村镇银行》APP被指未在隐私政策中逐一列明收集使用个人信息的目的、方式、范围，包括委托第三方嵌入的代码、插件收集的信息；无独有偶，本次《内蒙古银行真享贷》（微信小程序）也因此“上榜”。

往前追溯，《江苏·农商行》APP则因未提供有效的个人信息更正、删除及账号注销功能，被指为用户行使法定权利设置不合理条件。

多位从业者表示，从技术实现的角度来看，上述通报中提及的隐私政策弹窗缺失、注销功能受限等问题，整改难度并不大。然而，此类问题在中小银行群体中却屡禁不止。

数字化转型困境仍存

为何技术上容易整改的问题，却成为中小银行难以跨越的合规门槛？多位业内人士向记者指出，这是由行业合规意识错位与技术能力存在客观短板叠加导致的。

在激烈的市场竞争下，部分中小银行将获客与业务转化率置于首位。为了追求用户体验和快速上线，合规审查往往在产品开发周期中被迫让步，导致“撤回同意”等法定权利在产品设计之初就被有意或无意地忽略。

博通咨询金融业资深分析师王蓬博在接受记者采访时指出：“业务增长压力较大时，就会更容易将用户体验简化为转化效率，而忽视了长期信任建设；同时可能受限于自身科技投入和专业团队配置，大量依赖第三方开发，若对外包方缺乏有效约束和合规要求，就容易在数据处理环节埋下隐患。”

这也切中了中小银行数字化的另一痛点。当前，中小银行普遍面临科技投入有限、自研能力不足的窘境，高度依赖外部技术支持与系统外包。

因此，在移动应用开发中，部分银行会嵌入第三方软件开发工具包（SDK）以实现人脸识别、定位、消息推送等功能。此时，若银行对外部服务商的管控不足，未能将第三方工具的权限调用纳入审查，极易将外包商的合规漏洞直接植入旗下产品。

监管持续加码，推动“隐私即设计”

事实上，针对金融领域个人信息保护的监管行动早已拉开帷幕，且处罚力度正在逐步升级。

2026年4月，中央网信办、工信部、公安部联合部署个人信息保护系列专项行动，明确将金融领域列为重点治理对象。

与此同时，监管部门针对数据安全和隐私保护的罚单也密集落下。2026年以来，因“违反信用信息采集、提供、查询相关管理规定”“数据安全管理不到位”而领到百万级甚至数百万级罚单的银行不在少数。

从具体处罚案例来看，今年3月，湖北银行因“违反信用信息采集、提供、查询相关管理规定”等10项违法违规行为，被罚249.9万元；4月，哈密市商业银行因违反网络安全与数据安全管理规定等多项违法行为，被警告并罚款383.6万元，其相关工作人员也被双重追责；同月，光大银行重庆分行也因违反数据安全管理规定等行为被开出208.6万元的罚单。

业内人士指出，在严监管常态化的大背景下，中小银行必须重新审视自身的战略定位，守牢合规生命线。

王蓬博认为，有必要把数据合规从事后补漏转向事前嵌入，真正践行“隐私即设计”的理念，“这意味着在产品规划、系统开发、合作方管理等各环节都要设置隐私保护节点，并通过常态化培训与内部审查机制，让合规成为业务发展的底座而非负担。同时，建立针对第三方外包服务商的常态化动态审计机制”。

排版：汪云鹏

校对：杨立林