转自：中国经营网

中经记者 罗辑 北京报道

日前，国家网络安全通报中心发布消息称，发现64款移动应用存在违法违规收集使用个人信息的情况。其中诚通证券、兴业证券、申港证券、五矿证券和龙江银行、乌海银行、海峡银行等7家金融机构App被点名。具体涉及向其他个人信息处理者提供其处理的个人信息的，未向个人告知相关信息并取得单独同意等问题。

《中国经营报》记者梳理发现，2025年上半年，国家网络安全通报中心已发布6期违法违规收集使用个人信息的应用名单，几乎每期均有金融机构上榜，且主要是中小型机构。

“相较而言，中小型金融机构的合规团队搭建资源匮乏、技术能力不足，或对第三方SDK（软件开发工具包）的管控较弱，未进行充分安全评估，导致用户数据被违规共享。”一位券商合规人士提到，从业务压力驱动角度来说，增加用户信息采集协议确实容易导致业务开通率和参与率的降低，小型券商可能为提升装机率和业务开通率，简化用户授权流程，甚至跳过单独同意环节，让客户直接默认勾选或隐藏条款，并因此违规。

“不告知、不透明、不提示、不予撤回”

具体来看，此次通报的7款金融类App存在的共性问题是，向其他个人信息处理者提供其处理的个人信息的，未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。

令人匪夷所思的是，作为合规风控把关较严的金融机构，其旗下App在个人信息收集、使用上，违法违规情况却频频出现。记者发现，2025年上半年，国家网络安全通报中心发布了6期违法违规收集使用个人信息的应用名单，其中5期均有金融类App。

其中，券商类App合计五款“上榜”，除了上述四家券商的应用外，今年4月，山西证券因旗下“汇通启富”App（版本7.7.4.1，vivo应用商店）存在上述隐私政策不透明、未提供个人信息授权撤回途径等违规行为被通报。此后山西证券在1个月内完成整改，5月其App通过证券期货业安全认证。但整体上看，券商类App这方面的违规仍较为频发。

梳理来看，金融类App涉及的违法违规情况除了集中在上述问题上，还有部分金融类App涉及隐私政策不透明，即隐私政策未逐一列出App（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围。

部分金融类App在首次运行时未提示隐私政策。例如在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则；个人信息处理者在处理个人信息前，未以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名、联系方式、个人信息的保存期限等。

此外，部分金融类App没有按照法律法规在个人信息收集上提供“反悔”设置或未按时处理。例如，未向用户提供撤回同意收集个人信息的途径、方式；未提供便捷的撤回同意的方式；未提供有效的更正、删除个人信息及注销用户账号功能；虽提供了更正、删除个人信息及注销用户账号功能，但未及时响应用户相应操作，需人工处理的，未在承诺时限内完成核查和处理等。

违规背后或指向“精准营销”需求

为何金融类App频频被通报？对于个人信息的违法违规收集和使用，投资者最担忧的是个人信息流向了何方？那些不透明、未告知的“去向”背后，还有哪些隐患？

“金融业务复杂，需要大量个人信息进行风险评估、产品推荐等。一方面，部分机构为了满足需求，存在过度收集获取个人信息的情况。另一方面，部分金融机构难以有效管理第三方插件、SDK等从而造成违规。”北京市京师律师事务所律师卢鼎亮提到，尽管数据保护监管趋严，但中小型机构进行数据分类分级、加密、第三方管理等体系化建设都需要一定的合规成本，若违法违规成本相对合规成本更低、收益更大，则可能选择放松合规。

中国金融智库特邀研究员余丰慧进一步提到，对于券商、银行等金融机构而言，他们对投资者个人数据的采集和使用的初衷是为了精准营销、提升服务，但是在实际操作中，一些机构忽略了告知义务和获取同意的重要性，还有一些则是由于管理不善，对第三方权限的管控不足，或者是为了便利性而牺牲了合规要求。

但更为严重的情况是，“部分泛金融类机构，为了拓展业务或获取合作资源，可能存在擅自与第三方共享信息，甚至将用户信息作为商业谈判筹码的情况。”北京社科院副研究员王鹏提道。

在王鹏看来，相较普通消费类应用能够收集的行为数据、隐私数据，金融类App收集的个人信息往往在用户画像方面，尤其是资产、财务情况等方面质量更高。例如券商App能够收集到家庭年收入、资产、投资经验等特殊数据，此外，券商App的用户直接有股票投资需求，他们的数据是一些配资、理财类机构极为需要的信息。“所以，这类数据若不能合规合法收集使用，不仅可能被用于精准营销、金融产品交叉销售，甚至可能流入黑产链引发诈骗。”

记者就上述四家证券公司违法违规收集使用个人信息的情况以及下一步整改计划，分别给诚通证券、兴业证券、申港证券、五矿证券发送了采访函，截至记者发稿，尚未收到回复。

“最小化原则”

金融机构应该如何合规地收集使用个人信息？

一家头部券商的合规人士就其所在机构的操作说道：“在客户下载App、重要业务签约前，均设置有相关的隐私政策，其中逐一列明第三方合作方的名称、处理目的、方式及信息种类，避免模糊表述，如‘等’‘包括但不限于’等。在未征得客户同意前，不会对客户的信息进行采集，如遇必须进行采集方可使用的权限，会提醒客户无法使用相关权限以及原因，充分取得客户的信任和同意后方可开展业务签约确认等信息采集内容。”

该人士提到，在这一基础上，其所在的机构还进一步采用分层同意机制，对敏感信息，如金融账户、生物识别数据等，使用单独弹窗提示，以确保用户单独授权。同时，在任何信息收集前，都遵守“最小化原则”，即仅收集业务必需的个人信息，如开户、交易等核心功能所需数据，避免过度采集无关信息。针对嵌入的第三方SDK（如数据分析、支付服务等），进行严格审核，确保其合规性，并在隐私政策中明确告知用户。此外，采用端到端加密、去标识化等技术手段保护数据，并实施最小权限访问，防止内部人员滥用数据。

对于金融类App集中存在的个人信息违规违法收益使用问题，卢鼎亮则站在律师的角度强调，其本质是商业利益、技术能力和监管效能的多重博弈。未来要切实做到数据保护和信息安全，除了从严监管、完善规则，还需要提升技术能力、培育合规文化，多方面协同发力，实现数据价值和用户权益的平衡。