乐山商行App隐私不合规再曝光，内控失效与黑灰产业链风险警示

近日，国家计算机病毒应急处理中心在对互联网进行监测时，发现了 14 款移动应用存在隐私不合规的行为。在这些应用中，乐山商行的 App（版本 3.31.6）引起了广泛的关注。

令人惊讶的是，乐山商行并非首次在合规方面出问题。2021 年的时候，该行因虚报金融统计数据，被央行罚了 58.1 万元。这一事件充分显示出其内控机制长期没有发挥作用。

值得警惕的是，在数据资产化的这种趋势之下，隐私的泄露有可能会催生出黑灰的产业链。当“便捷”这个方面和“安全”这个方面的天平一直在持续地倾斜的时候，银行 App 所进行的那些灰色的游戏最终是会反过来伤害到它自身的。

隐私违规背后，乐山商行面临变现困境

近日，国家计算机病毒应急处理中心按照《网络安全法》《个人信息保护法》《App 违法违规收集使用个人信息行为认定方法》等一系列法律法规以及相关国家标准的要求，在对互联网进行监测时发现有 14 款移动应用存在隐私不合规的行为。在这些应用中，乐山商行的 App（版本 3.31.6）引起了广泛关注。

根据公开通报，乐山商行此次被通报的 App 存在以下五大严重违规行为。其一，在信息告知方面，未对用户显著告知个人信息处理者信息，且隐私政策未列明收集范围；其二，在信息共享环节，向第三方共享信息时未获得单独同意；其三，在用户权益保障上，既未提供撤回同意的途径，其四，在处理敏感信息时，也未单独获得授权。

国家计算机病毒应急处理中心

此后，乐山商行在 2 月 17 日发布了一则申明。该申明称现已修订完善相关条款并进行了更新。同时，乐山商行在 2 月 25 日又发布了一则申明。此申明称已对手机银行客户端程序进行了优化。并且，该行的 APP 已送往第三方权威机构进行认证备案，并且已通过安全及隐私检测。

乐山商行的财务压力从其业绩方面来看确实不小。从经营数据方面来看，乐山商行的营收呈现出增长的态势，然而其增长速度并不稳定。在 2014 年至 2022 年期间，净利润缩水了大约 30%。到了 2023 年，乐山商行启动了港股上市计划，在那个时候，它的资产规模已经达到了 1850.35 亿元。但是，在合规成本与数据变现需求之间，该行陷入了一种进退两难的困境。

2024 年资产规模和存贷款规模有大幅增长。然而，营业支出增长得很迅猛。到三季度末，营业支出与上年同期相比上涨了 21.77%。其中，信用减值损失同比的涨幅高达 32.57%。

乐山商行在资产质量方面压力较大。2014 年到 2021 年期间，不良贷款率呈现出整体上升的趋势，2021 年的不良贷款率是 2014 年的两倍。虽然 2022 年末不良贷款率有所降低，但是在前五大贷款行业中，租赁和商务服务业的不良率高于全行平均水平，房地产业的不良率高于全行平均水平，批发和零售业的不良率高于全行平均水平，建筑业的不良率也高于全行平均水平。

乐山商行在投资业务方面，非标投资规模较大。2021 年至 2023 年期间，非标投资余额占比从 42.74%降低到 23.25%。不过，其余额依然处在较高的水平。联合资信评级报告表明，规模较大的非标资产所引发的信用风险与流动性风险，或许会对其经营发展带来不利影响。并且，个别非标投资已经出现逾期情况。在市场违约事件不断增多的这种背景之下，对于投资资产质量的变化，需要予以重点关注。

一揽子授权与“霸王条款”，用户隐私成“提款机”？

监管层实际上在 2024 年 9 月发布了《关于加强银行业保险业移动互联网应用程序管理的通知》。此通知明确提出了“最小必要”原则，其目的是规范银行对用户信息的收集与使用。

银行 App 的隐私侵权现象并非只是乐山商行存在。据不完全统计，从 2024 年开始，全国已经有超过 20 家银行 App 因为隐私问题而被通报。这些被通报的银行 App 涉及昆山农商银行、苏州农商银行等中小金融机构。违规行为主要集中在超范围收集信息以及强制索取权限等方面。数据表明，在 2024 年 12 月，江苏省通信管理局进行了通报。通报的对象是 5 家银行的 6 款 App，其中昆山农商银行有两款应用在此次通报中“上榜”。

银行 App 频繁出现越界行为，其背后反映的是数据经济时代“商业利益优先”的这一逻辑。业内人士表示，部分银行为了优化产品功能，会过度收集用户信息，甚至还会把数据出售给第三方来获取利益。拿贷款业务来说，有的银行 App 在办理贷款过程中需要多次进行人脸识别，而乐山商行 App 则被爆料会调用用户的相册、通讯录等非必要权限。

从强制捆绑授权这一角度来讲，银行 App 通常采用“不同意就无法使用”这样的霸王条款。这就导致用户在享受金融服务的过程中，不得不以牺牲个人隐私为代价。并且，在授权协议中，没有明确列出数据共享方的清单，使得用户无法对敏感信息进行单独授权，这无疑进一步加大了用户隐私被滥用的风险。

数据共享存在黑箱操作，这让人十分忧心。个人信息流向第三方时，缺乏透明的告知，甚至存在使用后未及时删除的情况。这种对个人信息随意进行处理和滥用的行为，既侵犯了用户的隐私权，又可能引发诸如诈骗、身份盗用等一系列信息安全问题。

国家金融监督管理总局面对行业乱象，已经划定了“红线”，并且要求金融机构要遵循“用户授权、最小够用、专事专用”这样的原则。

继续浏览有关 不良贷款率非标资产风险银行隐私问题 的文章