在数字化浪潮席卷金融业的今天，手机银行App早已不只是转账工具，更是承载财富管理、生活缴费乃至人工智能交互的综合性金融门户。

但技术跑得飞快，一些金融机构在个人信息保护这个合规基石上，却时不时显出步子不稳的踉跄。

4月30日，国家计算机病毒应急处理中心的一纸通告，再次把多家金融机构推上舆论风口。

管不住的插件，躲不开的推送

根据中央网信办、工业和信息化部及公安部联合开展的“2026年个人信息保护系列专项行动”，国家计算机病毒应急处理中心在近期检测中发现，共有67款移动应用存在违法违规收集使用个人信息的情况。这份覆盖2月26日至4月16日检测周期的名单中，以银行为代表的金融机构违规现象依然严峻，且呈现出多样化、隐蔽化的特征。

梳理通报细节可以发现，当前违规行为已从早期的“无隐私政策”深入到功能层面的实质性阻碍。

例如，湖北银行旗下的《湖北银行线上贷款》微信小程序，因首次运行时未通过弹窗等显著方式提示用户阅读隐私政策，且未提供便捷的撤回同意方式被点名。

武汉农村商业银行的小程序则问题更为严重，不仅存在“未征得用户同意即开始收集个人信息”的行为，在处理不满十四周岁未成年人的个人信息时，既未制定专门的处理规则，也未取得监护人的单独同意。

此外，“注销难”与第三方插件监管不力同样成为银行类App的通病。

江苏农商行的《江苏·农商行》App被指出未提供有效的注销账号功能，或在承诺时限内未能及时处理注销申请。

这些问题折射出，即便在监管持续加码的背景下，部分银行在数据保存期限告知、敏感信息处理必要性说明等基础环节，仍然存在明显的合规缺位。

常熟银行的数智化“AB面”

在此次被通报的银行机构中，作为A股上市农商行领头羊的常熟农商银行（601128）格外扎眼。

通报显示，该行官方手机银行App（版本6.0.0，应用宝渠道）存在两大核心合规问题：一是隐私政策不规范，未逐一列明App及嵌入的第三方代码、插件收集使用个人信息的目的、方式和范围；二是自动化决策违规，在通过自动化决策进行信息推送和商业营销时，既未提供不针对个人特征的选项，也未提供便捷的拒绝方式，直接触碰了《个人信息保护法》第48条的合规红线。

同批被通报的兴福村镇银行，实际上正是常熟银行的控股子公司——常熟银行持有其90%的股权。兴福村镇银行在集团内承担村镇银行投资管理行的职能，下辖25家村镇银行。此次该行同样因隐私政策未逐一列出第三方代码或插件收集个人信息的目的和范围而榜上有名。

让人感觉讽刺的是，常熟银行目前正处在数字化转型的战略高位上。

按照其2025-2027三年规划，该行正深入落地“科技强行”战略，想从“数字化支撑”一步跨到“数智化驱动”。高管层也多次强调，数字化手段是赋能普惠金融的核心，甚至提前搭好了覆盖“组织-平台-应用”三层的AI赋能架构，本地化部署了DeepSeek、Qwen系列大模型，上线了包括代码生成、信贷审核在内的46个智能体应用，推着业务效率提升了约20%。硬件和生态也拿得出手，燕谷数据中心进了国家级绿色数据中心名单，而且它还是全国首批在2024年9月就完成华为HarmonyOS NEXT原生应用适配并上架的农商行之一。

这种“高精尖”的技术投入跟基础的合规漏洞并存，在用户反馈里也看得出来。常熟农商银行App在应用宝渠道下载量突破100.2万次，综合评分维持在4.4分左右。靠着交学费、办社保、给本地施工队代发工资这些贴地气的场景功能，它攒下了超过400万线上全渠道用户，光是微银行用户规模在2025年3月就超过了300万，同比增长45%。但好评之外，也有用户直接说软件“太慢太慢了”。这次被通报的“自动化决策没法拒绝”问题，无疑让用户更加担心个人隐私被扔进“数智化”的黑盒子里过度挖掘。一家科技研发投入占营收近5%、拿下CMMI-5最高成熟度认证和全国农商行首家DOMM三级认证的银行，在个人信息保护这种基础合规赛道上“失分”，还搭上子公司兴福村镇银行一起违规，品牌声誉和监管评级，自然蒙上了一层阴影。

合规赛道上的“回头看”

常熟银行和同批机构的遭遇，并不是个例。往回看几年的监管脉络，银行App个人信息保护一直都是监管紧盯的敏感地带，而且正从“形式合规”往“实质合规”穿透。

早在2025年10月，上海通信管理局发布第七批侵害用户权益App通报，27款问题应用里金融类产品占比很高。当时浦发银行旗下《浦发银行电商e站通》《浦发交易银行数字化企业E+》和《浦惠来了》三款应用，因为“没明示个人信息处理规则”集体上榜；交通银行的《交行企业银行》也因为违规收集个人信息被公开点名。

再往前看到2025年4月，公安部网安局通报了67款违规应用，区域性龙头的合规短板更加具体。比如甘肃银行，在应用宝单渠道下载量已经达到294.9万次，其2024年报显示零售手机银行客户规模约411.2万，年交易额高达2716.3亿元。这家银行在年报里着重讲自己如何用大数据和自然语言处理技术识别客户意图、用精准画像做个性化推荐，结果基础隐私合规检测没通过，栽了跟头。同期的兰州银行企业版App，虽然主打SE芯片安全证书和生物识别等高强度加密技术，但在用户权益保护上却掉了链子，被指未经个人单独同意就把信息给别人，也没给其1.5万企业客户提供方便的撤销同意渠道。

这种违规在农村金融体系里同样扎得深。武清村镇银行和福建农商旗下的村镇银行App，都因为向第三方提供个人信息时没做匿名化处理，也没给撤回同意的途径而被点名。这种“重业务增长、轻数据合规”的惯性思维，在地方性中小金融机构里挺普遍。

种种迹象表明，监管层正通过专项行动，对金融机构的数字化成色做一次“合规回头看”。无论是下载量数百万的大型城商行，还是深耕县域的小机构，个人信息保护正在从一道“选择题”，变成关乎品牌信誉和监管评级的“必答题”。

从2025年的“一键授权”乱象，到2026年的“自动化决策”违规，监管的颗粒度跟着技术演进而细化。对金融机构来说，追求极致用户体验和数智化转型没错，但千万不能把隐私保护当成创新的拦路虎——它本该是数智化大厦的底层逻辑。

对常熟银行这些站在转型前沿的机构而言，怎么在享受AI大模型和原生操作系统带来的效率红利时，不弄丢对每一个普通用户隐私权的尊重，才是从“科技强行”真正走向“信誉强行”的关键大考。合规没有终点，在个人信息保护这场持久战里，哪家金融机构都拿不到“技术先进”换来“违规豁免”的免罚牌。