近期，多家银行因移动应用隐私不合规问题被国家计算机病毒应急处理中心点名批评，其中包括“甘肃农信”在内的13款应用，这不仅暴露出移动金融领域在个人信息保护方面的短板，更引发了公众对于银行数据安全性的广泛担忧。为何这些原本应当是最值得信赖的机构会在隐私保护上频频失手？又该如何在数字化转型的大潮中守护住用户的个人信息安全底线呢？

违规频现，隐私保护迫在眉睫

自2024年以来，已有“天津农商银行”（版本6.5.0，应用宝）、“中德银行”（版本1.0.4，应用宝）等银行APP受到国家计算机病毒应急处理中心列入过违规移动应用名单。

其中，中德住房储蓄银行旗下APP“中德银行”在5月1日至6月1日检测时，未向用户明示未经用户同意，且无合理的使用场景，存在频繁自启动或关联启动的行为。

“天津农商银行”在2月1日至3月1日检测时，被发现隐私政策未逐一列出 App（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围等，涉嫌隐私不合规，App频繁自启动和关联启动。

国家计算机病毒应急处理中心表示，依据《网络安全法》《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规及相关国家标准要求，该中心通过互联网监测移动App存在隐私不合规行为。

面对移动应用领域的隐私合规乱象，政府不断加大个人信息保护力度，出台了一系列法律法规。国家金融监督管理总局于9月中旬发布了《关于加强银行业保险业移动互联网应用程序管理的通知》，从数据安全、外包管理、业务连续性及个人信息保护等四方面提出了18条工作要求，为金融机构的移动应用管理划定了清晰的红线。特别是在个人信息保护方面，《通知》明确要求金融机构建立移动应用个人信息保护制度，遵循“合法、正当、必要”原则收集个人信息，并向用户明确告知收集目的、使用方式和保护措施，确保消费者权益不受侵害。

合规挑战重重，个人信息保护任重道远

尽管国家政策不断推动金融个人信息安全合规发展，但面对复杂多变的网络环境和技术挑战，金融行业在实践中仍面临诸多难题。

缺乏全面的个人信息处理清单：没有建立或维护一个完整的个人信息处理活动清单，不清楚收集、存储、使用、共享的个人信息种类与范围。

风险评估不充分：对个人信息处理活动的风险识别局限于传统安全威胁，忽视了数据滥用、隐私泄露等新型风险。

技术措施不达标：虽然采用的加密、访问控制等技术手段可能不符合《个人信息保护法》要求，如加密算法强度不够或权限管理过宽。

外部供应商管理松散：组织没有理解《信息安全技术个人信息安全规范》GB/T35273-2022 标准，对第三方服务提供商的个人信息处理活动监管不足，未要求其达到同等的保护标准。

监控体系不健全：缺乏对个人信息处理活动的全面监控，如数据流动监控和异常访问检测不足。

缺乏数据泄露响应计划：组未建立有效的数据泄露监测和响应机制，难以及时发现并应对个人信息泄露事件。

应急计划不充分：虽有应急响应计划，但未针对个人信息泄露等特定事件进行细化，缺乏实操性。

通报流程复杂：在个人信息泄露事件发生后，内部通报和对外披露流程繁琐，延误了处置时机。

恢复措施表面化：仅进行简单的系统恢复，未深入分析泄露原因和采取预防措施。

改进机制缺失：缺乏持续改进机制，未将事件经验转化为组织内部的长期改进策略。

全过程管控保障个人信息安全合规

针对金融个人信息安全合规的复杂性和挑战性，道普信息风险管控专家建议从风险识别、防护加固、检测监测、应急处置、恢复改进等各阶段过程，采取措施，确保符合《个人信息保护法》《信息安全技术个人信息安全规范》GB/T35273-2022 标准等相关法律法规。

建立并更新个人信息处理清单：详细记录并定期更新涉及个人信息处理的活动，确保信息种类、范围及处理目的清晰准确。

深化风险评估与管理：全面识别传统与新型风险，利用专业工具评估，并制定详细策略确保风险可控。

合规强化技术防护：确保技术手段符合法规标准，采用高强度加密与严格访问控制，保障数据传输存储安全。

严控第三方服务安全：明确标准，签订合同，定期审计第三方服务，确保个人信息处理合规安全。

构建实时监控响应机制：全面监控个人信息处理，实时检测异常，确保快速响应安全事件。

完善泄露监测与应急演练：建立数据泄露监测响应机制，定期演练提升应对突发事件能力。

优化应急与通报流程：细化应急计划，简化通报流程，确保个人信息泄露事件高效应对与及时披露。

深度剖析防再泄：深入分析数据泄露原因，采取预防措施，避免未来再次发生类似事件。

随着移动互联网的发展，移动应用已成为商业银行对外维护客户的关键渠道。数据资源作为银行维系运营的核心资源，客户个人信息保护和数据合规的重要性不言而喻。只有不断加强个人信息保护合规工作，才能为金融行业的稳健发展提供有力保障。同时，个人信息保护合规也将对金融行业和数字经济的发展产生深远影响，推动行业在更加安全、合规的轨道上持续前行。