随着《个人信息保护法》实施进入第四个年头,金融领域作为数据密集型行业,数据合规责任持续压实。
国家计算机病毒应急处理中心近期发布通报,依据《网络安全法》《个人信息保护法》等法律法规,按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求,检测到63款移动应用存在违法违规收集使用个人信息情况,其中也包括金融类APP。
同期,中国人民银行(以下简称“央行”)分支机构也公布了关于一家消费金融公司和一家小额贷款公司的行政处罚,违规原因都涉及违反信用信息采集、提供、查询相关管理规定。
这也暴露出业务扩张和客群快速变化之下,一些金融机构在加强对信息授权的风险认知与保护措施方面的薄弱环节。有律师向记者表示,从“最小必要”原则出发,机构要获得业务必要的个人信息授权并不困难,真正的挑战是,机构如何压制更希望获得“额外的、非必要的”信息和数据的冲动。
信息保护承压
近期,央行湖北省分行公布了湖北消费金融股份有限公司(以下简称“湖北消金”)的行政处罚,公示表显示,湖北消金违反信用信息采集、提供、查询相关管理规定。
同期,央行重庆市分行也公布了与重庆海尔小额贷款有限公司(以下简称“海尔小贷”)相关的行政处罚信息,信息显示,当事人为时任海尔小贷数字科技部大数据总监张某,违法行为类型同样为违反信用信息采集、提供、查询相关管理规定。
对于前述罚单问题,湖北消金方面对记者表示,针对监管部门指出的问题,公司严格落实整改要求,并已全面完成整改工作。此次处罚涉及的问题为历史阶段性事项,不影响公司现有业务正常开展及长期稳健经营。
海尔小贷方面对记者表示,针对监管部门指出的征信业务合规问题,公司高度重视,第一时间成立专项小组开展整改工作。目前,整改工作已通过合规验收并同步监管部门。
上述罚单也折射出目前行业整体金融消费者权益保护的持续加码。根据记者不完全统计,2025年以来,国家计算机病毒应急处理中心的违法违规收集使用个人信息的移动应用,涉及银行、消费金融机构以及助贷平台超过20家。
有持牌金融机构相关负责人告诉记者,当前机构在收集和使用个人信息时,用户授权环节可能会存在超范围收集、隐私政策不透明、告知不清晰、使用范围不明确、过度授权等问题,导致消费者对其个人信息的处理缺乏了解。
该负责人同时表示,若金融机构管理不当,不仅会侵犯消费者信息保护权益,还会增加个人信息泄露和违规使用的风险。
根据央行在微信公众号公布的一起典型案例显示,一位王先生仅因浏览贷款APP时随意点击“同意”按钮,个人信用报告便出现多条未经授权的查询记录,最终导致房贷申请受阻。
“这也是近年来消费金融行业规模迅速扩大的另一面——在新市民金融需求激增的情况下,对于新市民、年轻客群等群体,未能加强对信息授权的风险认知,也未制定更精细化的权益告知与保护措施。”一位从业者认为。
满足合规仍需加强协作
金融数据作为受法律特殊保护的公民个人信息,其泄露风险不容小觑。
根据相关司法解释,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的即构成犯罪。
上海靖霖(北京)律师事务所合伙人刘笛表示:“金融机构掌握的个人信用信息能够在较大程度上反映公民个人的财产状况、担保能力甚至消费习惯,对公民的名誉地位、财产安全甚至人身安全均有影响。一旦相关信息不当地泄露,轻则影响当事人在生活上的便利,比如被锁定为一些商户的潜在客户遭遇针对性的营销,还可能影响其社会交往,例如亲友、街坊甚至店铺对有‘征信污点’的人通常会给予较低评价;重则可能影响财产安全和人身安全,如被诈骗集团盯上甚至遭遇‘非法讨债’。”
但在他看来,当下金融机构用户在缔约时更多的关注点在资金安全、借贷便利和利息等方面,对数据安全和信息保护相对重视程度不高。
刘笛认为,如果仅从“最小必要”原则出发,机构要获得业务必要的个人信息授权是不困难的。真正的困难是机构从自身资金安全和市场竞争的角度出发,经常希望“获得额外的、非必要的”信息和数据,因为在机构看来,“合法的授权总是不能覆盖业务需要”。
针对改善方向,刘笛建议,除了在法律允许的范围内完善授权覆盖面、加固授权链条等法律技术问题,更多的是需要在业务侧进行创新和提升,寻找“尽可能少依赖额外的公民信息”仍然能够满足业务需要的方法。
前述机构负责人也建议,金融机构应当严格遵循《个人信息保护法》,坚持合法、正当、必要的原则,避免过度采集数据,并明确限定使用场景。同时,可通过优化授权流程,如在协议中显著标识关键条款、设置强制阅读等方式,切实保障消费者的知情权和自主选择权,平衡服务便利性与隐私保护的关系。
刘笛认为,当前在保护金融个人信息上的难点可以分为两个方面:业务侧,对自身资金安全的需要和市场竞争的需要,促使金融机构“尝试”获取更多个人信息(例如用户的通讯录等);但这却是我国保护个人信息的法律法规和规范性文件所反对的。能力侧,“深入业务细节的全链条信息安全和数据安全合规”超出当前部分金融机构的能力。金融机构凭借自身能力,很难打通全面拉通业务线、技术线和法务线实现全面合规。
“破解困局需多方协同发力。”有行业专家建议,监管部门可进一步细化跨领域、跨场景的法规执行细则,增强政策可预期性;通过建立分层分类培训机制、区域性合规交流平台,帮助中小机构提升合规能力。金融机构自身则应加快业务创新,探索低信息依赖的风控模式,同时优化授权流程,以强制阅读、关键条款高亮提示等技术手段,切实保障消费者知情权。
(文章来源:中国经营报)
