近日，国家计算机病毒应急处理中心通报了67款违法违规收集使用个人信息的移动应用，其中5款银行APP及小程序被通报，包括湖北银行、武汉农村商业银行、常熟农商银行、兴福村镇银行以及江苏农商联合银行。

事实上，自2025年以来，该中心已发布17批次专项通报，累计有20款银行类移动应用相继上榜，且违规主体集中于城商行（884251）、农商行（884252）、村镇银行等中小银行群体。

受访专家指出，中小银行陷入合规“踩线”困境，背后涉及资金投入、技术能力、内控管理等多重因素。而在监管持续收紧的背景下，如何快速补齐合规短板、防范数据安全（885942）风险，成为这类机构待破解的难题。

5款银行应用违规被通报

4月30日，国家计算机病毒应急处理中心通报的5款银行APP及微信小程序分别是，湖北银行线上贷款（微信小程序）、常熟农商银行（版本6.0.0，应用宝）、兴福村镇银行（版本2.5.0，应用宝）、武汉农村商业银行（微信小程序）以及江苏农商行（884252）（版本7.0.1，vivo应用商店）。

多款应用违规问题集中且典型。武汉农村商业银行微信小程序存在三项合规短板：“未在征得用户同意后才开始收集个人信息或打开可收集个人信息的权限；未向用户提供撤回同意收集个人信息的途径和方式；处理不满十四周岁未成年人个人信息时未制定专门的个人信息处理规则，也未取得监护人的单独同意。”

湖北银行线上贷款微信小程序同样合规缺失，应用首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则，以及未向用户提供撤回同意收集个人信息的途径和方式等。

隐私政策披露不规范问题备受关注。常熟农商银行APP与兴福村镇银行APP，均未清晰列明个人信息收集的目的、方式及范围。值得一提的是，兴福村镇银行为常熟农商银行控股子公司，持股比例达90%，承担集团内村镇银行投资管理职能。此外，常熟农商银行APP还存在自动化决策违规问题，在开展信息推送与商业营销时，未提供非个性化选项，也未设置便捷拒绝入口。

与此同时，“注册容易注销难”的问题也在此次通报中显现。江苏农商行（884252）APP被指出未提供有效注销用户账号功能，设置不合理注销条件，且无法按时效处理用户注销申请。

梳理此次通报名单不难发现，违规主体多集中在中小银行。作为服务基层的重要金融力量，中小银行为何频繁在个人信息保护合规上“踩线”？

南开大学金融学教授田利辉在接受《华夏时报》记者采访时表示，银行APP、小程序的违规多集中在中小银行，核心原因在于中小银行面临“成本刚性+技术外包+合规传导失灵”的结构性困境。大型银行具备成熟的科技中台与合规团队，而中小银行受限于资金、人才，常依赖第三方外包开发，导致技术底座脆弱。外包可以采购代码，却难以采购合规基因。同时，为弥补品牌弱势，其APP功能盲目求全，过度采集信息以提升用户画像精度，却缺乏相应风控能力，形成“能力短板-合规漏洞”的传导链条。

素喜智研高级研究员苏筱芮对《华夏时报》记者表示，银行APP、小程序的违规多集中在中小银行，一方面是由于中小银行受盈利压力驱动，存在“重业务，轻合规”倾向；另一方面则是因为银行APP、小程序存在较高的数字化门槛，而部分中小银行预算、人员等有限。除此之外，也反映出部分中小银行内部管理机制僵化，存在合规侥幸心理与短视心态。

金融隐私监管持续加码

纵观2025年以来的17批次通报，被点名的20款银行类移动应用的违规情况反复出现。

记者梳理发现，其中12款银行APP未向用户提供个人信息收集同意撤回渠道；10款银行APP在向第三方提供其处理的个人信息时，未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意；另有6款隐私政策披露模糊，未逐一列出APP收集使用个人信息的目的、方式、范围等。

谈及银行类APP个人信息违规反复出现的原因，田利辉指出，这类现象根源是利益驱动的路径依赖远强于监管处罚的震慑。其一，频繁自启动、在无关场景收集位置和通讯录等行为，并非技术疏漏，而是出于精准营销与用户留存的主动为之；其二，中小银行对第三方SDK管控乏力，外包商留下的合规漏洞被原封不动带入产品，整改大多停留在“罚一次改一次”的浅表层面；其三，处罚力度尚不足以产生实质性震慑，违规成本远低于过度采集用户信息带来的商业收益。三者叠加，形成了“屡罚不改”的违规画像。

值得注意的是，今年4月，中央网信办、工信部、公安部联合启动2026年个人信息保护专项行动，明确将金融领域违法违规收集使用个人信息纳入重点治理范畴，划定整治重点：严禁金融机构以安全风控、贷款服务等名义收集非必要的通讯录、短信、通话记录、定位及设备信息等个人信息；规范第三方信息共享披露流程；禁止将人脸识别（885759）作为唯一身份验证方式；同时要求相关机构健全个人信息保护管理机制，采取有效安全防护措施等。

田利辉认为，监管当前已全面进入“常态化严管+全链条追责”阶段。本次专项行动历时50天，治理触角从APP延伸至小程序，严禁以风控之名强索非必要信息，标志着监管已从事后通报走向事前规范、事中拦截、事后追责的闭环。

对于中小银行自查整改，田利辉建议分层推进：最紧迫的是立刻下架无合规背书的第三方SDK、开通一键撤回同意端口、清理不活跃授权；进而将“隐私保护影响评估”嵌入产品源头，明确隐私政策至注销删除的完整用户权利链路；最终将合规考核纳入高管绩效，让违规成本锁在责任人身上。通过技术补短与制度筑基，实现安全与发展的动态平衡。

苏筱芮也表示，金融业数据安全（885942）与个人信息保护的监管已全面迈入常态化严管阶段。中小银行需建立自上而下的治理架构与制度体系，明确整改责任人、整改措施与完成时限，力争做到精细闭环管理；在第三方机构合作层面，则要强化穿透式管理，同时加强全员合规培训，全面提升员工风险防范意识与合规操作能力。