研究 | 2026年个人信息保护系列专项行动：金融行业数据合规整改指南（五）

来源：云上锦天城

发布日期：2026年05月29日    

作 者： 王良

自《网络安全法》《数据安全法》《个人信息保护法》构筑的“数据合规三驾马车”全面施行以来，金融行业个人信息保护工作取得显著进展。然而，行业细分领域的监管规定落地进度相对缓慢，金融数据泄露持续高发，黑灰产向AI化、精准化演进。

2026年4月，中央网信办正式发布《关于开展2026年个人信息保护系列专项行动的公告》，将“金融领域违法违规收集使用个人信息专项治理”列为重点方向之一，治理对象涵盖银行、保险、证券、征信、支付等相关机构，以及互联网助贷平台等收集使用个人信息活动。公告明确四大重点治理问题：以安全风控、贷款服务等名义超范围收集个人信息；互联网助贷平台向第三方提供个人信息未履行告知同意义务；将人脸识别技术作为唯一验证方式；未建立个人信息保护管理制度、存在泄露风险隐患等。专项行动还围绕信息泄露、信息倒卖、信息使用三大环节展开，聚焦金融借贷等重点方向侵犯公民个人信息违法犯罪，严惩行业“内鬼”，严打侵犯公民个人信息违法犯罪。

一、专项行动执法依据与规范体系

（一）金融行业数据保护现状

金融数据具有高经济价值、高敏感性与高社会关联性，被行业主管部门定位为“金融行业的核心资产”。其以账户信息、交易记录、信用报告、身份认证信息、财产信息为核心内容，直接关联个人的核心财产权益和信用评价。一旦泄露或被非法利用，不仅可能导致个人财产损失、精准诈骗乃至暴力催收，还可能因数据的大规模泄露冲击金融体系的稳定运行，影响社会经济秩序乃至国家安全。因此，金融数据保护的法律意义超越了个人信息保护的一般范畴，上升至金融安全和国家安全的层面。

在全球范围内，金融行业已成为数据泄露的重灾区，相关风险事件呈高位运行态势，金融移动应用的个人信息收集违规问题在我国仍然突出。从国内执法趋势来看，金融数据合规监管力度持续加码。监管部门开出的罚单数量与处罚金额同比均呈显著增长态势，其中“违反数据安全管理规定”“违反网络安全规定”已成为高频处罚事由，指向数据治理与网络安全问题的罚单数量增幅尤为明显。更值得关注的是，“双罚”机制（机构和直接责任人员同步受罚）已成为常态化监管趋势，监管穿透已从机构层面延伸至具体责任岗位。

（二）行业规范体系

《银行保险机构数据安全管理办法》 是金融行业最为重要的一部部门规章。该办法建立了数据分类分级制度，设有专门的“个人信息保护”章节，并对数据安全治理架构、数据安全管理与考核机制作出系统规定。 《中国人民银行业务领域数据安全管理办法》 明确了业务数据分类分级与全流程安全管理要求。针对客户尽职调查与信息保存， 《金融机构客户尽职调查和客户身份资料及交易记录保存管理办法》 要求客户身份资料及交易记录至少保存10年，并禁止开立匿名或假名账户。在征信领域， 《征信业管理条例》 确立了个人征信业务的法定框架，规定了信息采集的最小必要原则、信息主体的知情权和异议权； 《征信业务管理办法》 进一步明确信用信息的定义及征信管理边界，强调全流程合规管理和信息主体权益保护。针对互联网助贷和金融产品营销， 《关于加强商业银行互联网助贷业务管理提升金融服务质效的通知》 明确了助贷业务的主体责任边界，禁止转委托或变相转委托； 《金融产品网络营销管理办法》 限制导流嵌套层数，要求API导流后端清晰告知资金方身份。

其他重要的行业规定包括：《移动金融客户端应用软件安全管理规范》《非银行支付机构监督管理条例实施细则》《商业银行互联网贷款管理办法》《互联网保险业务监管办法》《证券期货业网络安全管理办法》《非银行支付机构网络支付业务管理办法》等。

二、法律分析与合规操作指引

【问题一】相关机构运营的网站、App等以安全风控、贷款服务等名义收集非必要的通讯录、短信、通话记录、位置、设备信息、应用列表等个人信息，调用麦克风、存储等个人信息权限

该问题涉及金融机构及助贷平台在其网站、App、小程序等渠道以“安全风控”“贷款服务”等名义过度收集个人信息，实质违反了《个人信息保护法》确立的“告知—同意”“最小必要”及“合法正当”原则。上述数据并非因其对风控具有价值，就当然属于必要个人信息收集范围。

各字段的常见业务主张与潜在合规风险如下：（1）通讯录常被主张用于紧急联系人核验或社交关系风控，但可能被用于催收目的，超出必要范围；（2）短信常被主张用于验证码自动读取及流水辅助核验，但可能被用于读取其他借贷平台的还款提醒、消费习惯及交易记录；（3）通话记录常被主张用于反欺诈分析，但可能被用于构建联系人与紧密关系画像；（4）位置常被主张用于地理风控及常住地确认，但可能被用于持续追踪个人轨迹；（5）设备信息、应用列表常被主张用于设备指纹识别及多头借贷检测，但可能被用于跨App识别用户或遍历用户已安装的全部应用；（6）麦克风、存储除极少数活体识别场景外，较难证明其与金融核心服务的直接关联性。

（一）法律分析

《个人信息保护法》第6条规定的最小必要原则是本案的核心法律依据，要求金融机构收集个人信息必须限于实现处理目的的最小范围。以“安全风控”为由收集通讯录、短信等，金融机构须证明该等收集与“安全风控”目的之间的直接相关性及必要性，不能仅以风控价值为由扩大收集范围。同法第13条、第14条规定，处理个人信息须取得个人在充分知情前提下的自愿、明确同意，以“风控”为由的收集通常依赖同意这一合法性基础。第17条要求处理者在收集前以显著方式、清晰易懂的语言告知处理目的、方式、信息种类和保存期限。对于位置等属于敏感个人信息的数据，第29条要求取得单独同意。此外，通过自动化决策进行营销推送的，第24条要求提供拒绝选项。

《App违法违规收集使用个人信息行为认定方法》明确，“收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关”“要求用户一次性同意打开多个可收集个人信息权限，用户不同意则拒绝提供业务功能”，均属违法违规行为。《常见类型移动互联网应用程序必要个人信息范围规定》指出，金融服务类App（网络支付、网络借贷、投资理财等）的必要个人信息范围通常不包括通讯录、短信、通话记录等，通讯录仅在贷款业务中与紧急联系人直接相关的场景下有法规依据方可申请。《银行保险机构数据安全管理办法》要求一般数据（含敏感数据）收集须遵循最小化原则。

（二）排查重点清单

（三）整改要求

• 删除与缩减： 立即删除已收集的非必要类型个人信息；缩减App收集的数据类型至业务所必需的最小范围。
• 调整权限申请模式： 修改App的权限申请策略，在用户首次使用核心业务功能时仅申请该功能必需的权限；非必要权限在后续触发必要时再动态申请，不得一次性打包申请；禁止“不授权就不给用”的强制捆绑。
• 建立权限准入清单： 制定App权限准入清单及审查标准，每一类权限对应的业务场景、频率、持续时间、安全保障措施、合规依据逐一列出。
• SDK/API合规管理： 建立嵌入SDK清单，逐一审查各SDK的信息收集范围；对于超范围收集的SDK，替换或要求其进行技术整改；规范API接口调用参数，最小化传输数据字段。
• 完善隐私政策与告知机制： 更新隐私政策，明确写明收集个人信息的类型、目的、方式、范围及保存期限；以弹窗、单独同意等方式确保用户对所申请的权限明确知情同意；不得以默认同意方式替代明示同意。
• 建立权限使用日志： 记录每次权限调用、个人信息收集的日志，保留时间不短于6个月，以备审计和监管检查。
• 建立持续合规审查机制： 由合规部门牵头，每季度对App权限使用情况进行一次复查；按《个人信息保护合规审计管理办法》要求，定期委托第三方机构进行合规审计。
• 推广最小权限设计： 技术团队从设计阶段贯彻最小权限原则，默认关闭非必要权限申请；部署权限智能管理工具，实现权限的动态授予和回收。

（四）典型案例

2025年12月，上海市通信管理局发布《关于下架38款侵害用户权益APP的通报》，中银证券App因“未明示个人信息处理规则”“账号注销难”“违规使用个人信息”三项问题被下架。[来源：上海市通信管理局通报〔2025〕第12号）]

【问题二】互联网助贷平台向合作的第三方机构提供个人信息，但未向个人信息主体告知合作的第三方机构名称、处理个人信息的目的、方式等，未取得个人信息主体同意

该问题涉及助贷平台违反《个人信息保护法》关于个人信息“对外提供”的告知与同意规范。助贷平台作为个人信息处理者，向合作的资金方（银行等）、征信机构、担保机构、风控服务商等第三方提供个人信息时，必须单独告知个人信息主体第三方名称、处理目的与方式，并取得个人的单独同意。

（一）法律分析

《个人信息保护法》第23条要求个人信息处理者向其他个人信息处理者提供个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类，并取得个人的单独同意。这一规定也是助贷平台普遍存在的合规缺口。第55条进一步规定，向其他个人信息处理者提供个人信息，应当事前进行个人信息保护影响评估。关于合法性基础，向第三方提供个人信息通常依赖“取得个人的同意”，而非“履行合同所必需”，因为第三方并非与该个人直接订立合同的当事人。

行业监管规定进一步强化了上述要求。《银行保险机构数据安全管理办法》涉及对外提供个人信息时的数据安全评估和风险管理义务，银行保险机构作为合作方亦有审查义务。《征信业管理条例》规定，征信机构采集个人信息须经本人同意，并明确告知采集目的、信息来源、信息类别、用途等，助贷平台向征信机构提供个人信息比照此规范执行。《关于加强商业银行互联网助贷业务管理提升金融服务质效的通知》明确了助贷平台与金融机构合作的“主体责任”边界，禁止转委托或变相转委托。《金融产品网络营销管理办法》进一步限制导流模式的嵌套层数，明确API导流后端须清晰告知资金方身份。此外，如平台与合作方共同决定个人信息处理的目的和方式（如共同决定授信、营销策略），则可能构成《个人信息保护法》第20条规定的“共同处理”，双方需承担连带责任。实践中，助贷平台与合作方的关系较难被认定为委托处理，因为合作方往往独立决定如何使用信息（如独立授信决策）。以“技术服务”“合作机构”之名规避单独同意义务的做法，合规风险较高。

（二）排查重点清单

（三）整改要求

• 补充告知与重新取得同意： 对于已提供但尚未取得有效同意的第三方信息提供行为，应立即向用户补充告知；对于无法取得同意的，停止信息提供并限期删除已提供信息。建议采用弹窗、消息推送或站内信方式完成补充告知与重新授权。
• 修订隐私政策： 在隐私政策中单独列明“信息共享”章节，逐一披露第三方的名称、联系方式、处理目的、处理方式和信息种类，并以用户主动勾选方式获取单独同意，不得与基础服务同意捆绑。
• 建立第三方信息共享清单与审查机制： 建立个人信息对外提供台账，记录每一次向第三方提供的信息内容、第三方名称、提供时间、目的、同意状态、安全保障措施等；每半年审查第三方机构的个人信息保护能力。
• 设置“信息外供”管理模块： 在App或小程序端设立“个人信息对外提供管理”入口，向用户集中展示信息已向哪些第三方提供，并提供撤回同意的一键操作。
• 推动合同修订： 与合作金融机构、征信机构、风控服务商等第三方签订补充协议或单独的数据共享协议，明确双方在个人信息保护、安全措施、违规追责等方面的权责。
• 强化内部数据流转管控： 建立“业务换档保护机制”，对于贷款申请被拒绝的客户，系统自动停止后续向新资金方导流，未经用户二次同意不得将个人信息转至下一资金方。
• 定期合规审计： 根据《个人信息保护合规审计管理办法》要求，委托第三方专业机构每年完成至少一次个人信息保护合规审计。

（四）典型案例

东营市公安局网安支队侦破一桩金融借贷领域非法获取公民个人信息案，抓获犯罪嫌疑人69名，查获公民个人信息10万余条。犯罪团伙与多家具备获客功能的金融类App签署协议，以每条10至15元价格收购个人信息，再精准推销贷款业务。该案暴露出助贷平台向外传导信息后的跟踪监督缺失。[来源：东营市公安局网络安全保卫支队微博，2026年1月]

【问题三】相关机构线下业务审核和运营的网站、App等使用非人脸识别技术方式可实现验证用户身份，将人脸识别技术作为唯一验证方式，未落实人脸识别技术应用安全管理相关要求

该问题涉及金融机构及助贷平台违反《人脸识别技术应用安全管理办法》（2025年6月1日施行）确立的“非唯一验证方式”原则。具体到金融领域，银行App强制人脸验证登录、证券App将刷脸作为开户唯一验证渠道、保险公司网点和贷款业务柜台要求刷脸代替传统身份证件核验等行为，均被新规明确禁止。监管并非禁止金融机构使用人脸识别，而是倾向于将密码加短信、证件核验、U盾、动态口令、国家网络身份认证等替代方案作为默认选项，人脸识别作为备选方案。

（一）法律分析

《人脸识别技术应用安全管理办法》第10条是本问题的核心法条，明确规定“实现相同目的或者达到同等业务要求，存在其他非人脸识别技术方式的，不得将人脸识别技术作为唯一验证方式”。金融领域的高频应用场景（开户、登录、支付、面签）须逐一审视是否存在替代方式。第8条要求人脸信息应当存储于本地设备或境内服务器，采取加密措施；通过互联网传输须取得个人单独同意。第11条要求应用人脸识别技术前须进行个人信息保护影响评估。第15条设定了备案门槛：处理人脸信息数量达到10万人的，应当在30个工作日内向所在地省级以上网信部门办理备案。

（ 二）排查重点清单

（三）整改要求

• 增加替代验证方式： 立即在开户、登录、贷款申请、身份验证等场景，引入至少一种与刷脸同等有效性的替代验证方式（如密码+短信、证件OCR+人像比对、银行卡四要素、数字证书或国家网络身份认证服务），确保用户可自主选择。
• 修改用户界面与告知流程： 在App/小程序的验证流程首屏向用户提供“刷脸验证”与“其他验证方式”两个独立选项，不得默认前置人脸识别入口；在涉及刷脸的线上和线下业务入口处以显著文字告知“您可以通过……等其他方式完成验证，无需刷脸”。
• 清除违规唯一人脸验证机制： 如系统中仅保留人脸识别作为唯一验证通路，须立即开放第二种验证方式并测试可用性；不得以“业务升级”“安全管理”为由让用户只能通过刷脸完成操作。
• 采集告知与单独同意： 在采集人脸信息前，以弹窗或独立的授权页面告知用户采集目的、方式、范围、存储期限等，并取得用户的单独同意（不能合并授权）。
• 建立人脸信息存储备案制度： 盘点存储人脸信息的数量，达到10万人门槛的，向所在地省级以上网信部门完成备案；对存储的人脸信息实行加密保管，明确存储期限并到期删除或匿名化。
• 实施个人信息保护影响评估： 在应用人脸识别技术前，开展个人信息保护影响评估并形成书面报告，涵盖人脸信息泄露对用户权益的影响、安全措施有效性等，并在使用过程中定期重新评估。
• 制定并落实人脸识别应用管理规范： 梳理所有线下/线上刷脸节点，建立人脸识别应用清单，由合规部门每半年复审一次合规落实情况。

【问题四】相关机构未建立个人信息保护管理制度、未采取有效安全保护措施、存在个人信息泄露风险隐患等

该问题属于金融机构个人信息保护的制度体系建设和技术防护能力建设的系统性问题，涵盖制度建设（组织架构、管理制度、操作规程）和技术防护（安全措施、访问控制、审计日志）两个维度。专项行动公告同时强调了对“行业内鬼”的打击，内部员工及合作方违规查询、倒卖、泄露客户信息的行为将成为重点防控领域。金融机构需关注的不只是隐私政策文本和前端交互行为，还需审视数据访问权限分配与审批机制、数据导出流程与留痕、日志留存与完整性、异常访问监测与告警、离职人员账号回收、泄露事件应急响应等系统层面的管控措施。

（一）法律分析

在组织架构方面，《网络安全法》第21条要求所有金融机构明确网络安全负责人；《数据安全法》第27条要求明确数据安全负责人；《个人信息保护法》第52条要求处理个人信息达到国家网信部门规定数量的金融机构指定个人信息保护负责人；《银行保险机构数据安全管理办法》第7条、第12-14条、第20条进一步要求银行保险机构明确数据安全管理部门/归口管理部门、数据安全技术保护主责部门以及网络和信息安全工作牵头部门或机构；《中国人民银行业务领域数据安全管理办法》第10条要求设立数据安全管理委员会。

在内部管理制度方面，《数据安全法》第21条要求所有金融机构建立数据分类分级制度；《银行保险机构数据安全管理办法》第25-37条要求建立数据安全管理办法；《网络安全法》第25条要求建立网络安全事件应急预案；《银行保险机构数据安全管理办法》第18条要求建立数据安全管理责任与考核制度，第11-14章要求建立数据安全事件应急响应机制；《个人信息保护法》第51条要求建立个人信息保护管理制度，第55-56条要求建立个人信息保护影响评估制度；《金融机构客户尽职调查管理办法》要求建立客户身份资料和交易记录保存制度。

在安全保护措施方面，《个人信息保护法》第51条要求处理者制定内部管理制度和操作规程，对个人信息实行分类管理，采取加密、去标识化等安全技术措施，合理确定操作权限，定期对从业人员进行安全教育和培训，制定并组织应急预案。《数据安全法》第27条要求建立健全全流程数据安全管理制度。《网络安全法》第21条要求履行网络安全等级保护义务。

违规后果方面，企业层面可能面临警告、罚款、没收违法所得、责令暂停相关业务、停业整顿、吊销相关业务许可证或营业执照（《个人信息保护法》第66条）；个人层面，对直接负责的主管人员和其他直接责任人员可以处罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人；刑事追责方面可构成侵犯公民个人信息罪（《刑法》第253条之一）。监管趋势上，多家银行因网络安全/数据安全管理规定被“双罚”，机构和直接责任人员（包括科技部门负责人）共同被罚。

（二）排查重点清单

（三）整改要求

• 组织架构完善： 按规定设置数据安全、网络安全、个人信息保护负责人，明确职责并向监管部门备案；建立决策层、管理层、执行层、监督层四层架构，确保独立性及资源保障。
• 内部管理制度建设： 制定/修订核心制度，覆盖全生命周期；结合机构实际，确保制度实质有效。建立年度审查机制，根据新规动态更新；落实三级数据分类分级，实施差异化保护。
• 技术防护体系完善： 部署数据库审计、DLP、数据水印、态势感知等防护工具；实施传输加密、静态加密及最小权限访问控制，建立数据导出审批留痕与异常监测；核心数据操作日志保留不少于6个月；完善主体权利响应机制，承诺时限内响应。
• 人员管理： 入职签署保密承诺，定期开展专项培训；建立内部举报与问责机制。
• 影响评估与审计： 对高风险处理活动（生物识别、大规模敏感信息、对外提供等）开展PIPIA，每两年更新；每两年至少一次第三方合规审计（处理超100万人信息的机构强制）。
• 第三方管理： 全面审查外包合同数据安全条款，不达标的终止合作或补充协议；建立第三方定期审计制度。
• 应急响应： 每年至少一次应急演练；建立涵盖监管报告、主体通知的应急预案，确保72小时响应。

（四）典型案例

2026年2月25日，中国人民银行北京市分行作出行政处罚决定，北京农村商业银行股份有限公司因“违反数据安全管理相关规定”，被罚款100万元；该行零售金融部李某青、运行维护中心王某志对上述违法行为负有直接责任，各被罚款14万元。[处罚决定书文号：银京罚决字〔2026〕16-18号，处罚机关：中国人民银行北京市分行，处罚决定日期：2026年2月25日]

值得关注的是，该行此前已因其“互联网相关系统安全管理违反审慎经营规则、网络安全管理不符合监管要求、数据安全管控措施不符合监管要求、数据报送不准确”等多项违法违规行为，受到国家金融监督管理总局北京监管局处罚185万元罚款，并对相关负责人给予警告及罚款。

王良 资深律师

wangliang

@allbrightlaw.com

免责声明

本文内容仅为提供信息之目的由作者/锦天城律师事务所制作，不应视为广告、招揽或法律意见。阅读、传播本文内容不以建立律师－委托人关系为目的，订阅我们的文章也不构成律师－委托人关系。本文所包含的信息仅是作为一般性信息提供，作者/锦天城律师事务所不对本文做日常性维护、修改或更新，故可能未反映最新的法律发展。读者在就自身案件获得相关法域内执业律师的法律意见之前, 不要为任何目的依赖本文信息。作者/锦天城律师事务所明确不承担因基于对本文任何形式的使用（包括作为或不作为）而产生的一切责任、损失或损害。

END