随着《个人信息保护法》实施进入第四个年头，金融领域作为数据密集型行业，数据合规责任持续加重。合规已成为金融机构不可忽视的重要议题。

　　国家计算机病毒应急处理中心近期发布通报，依据《网络安全法》《个人信息保护法》等法律法规，按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求，检测到63款移动应用存在违法违规收集使用个人信息情况，其中也包括金融类APP。这一行动显示了监管机构对金融领域数据合规的高度重视。

　　同期，中国人民银行（以下简称“央行”）分支机构也公布了关于一家消费金融公司和一家小额贷款公司的行政处罚，违规原因都涉及违反信用信息采集、提供、查询相关管理规定。这些处罚案例突显了金融机构在个人信息保护方面的挑战。

　　这也暴露出业务扩张和客群快速变化之下，一些金融机构在加强对信息授权的风险认知与保护措施方面的薄弱环节。有律师向记者表示，从“最小必要”原则出发，机构要获得业务必要的个人信息授权并不困难，真正的挑战是机构如何压制更希望获得“额外的、非必要的”信息和数据的冲动。

　　信息保护承压

　　近期，央行湖北省分行公布了湖北消费金融股份有限公司（以下简称“湖北消金”）的行政处罚，公示表显示，湖北消金违反信用信息采集、提供、查询相关管理规定。这一处罚再次敲响了个人信息保护的警钟。

　　同期，央行重庆市分行也公布了与重庆海尔小额贷款有限公司（以下简称“海尔小贷”）相关的行政处罚信息，信息显示，当事人为时任海尔小贷数字科技部大数据总监张某，违法行为类型同样为违反信用信息采集、提供、查询相关管理规定。这些案例凸显了金融机构在个人信息保护方面的责任与挑战。

　　对于前述罚单问题，湖北消金方面对记者表示，针对监管部门指出的问题，公司严格落实整改要求，并已全面完成整改工作。海尔小贷方面也表示，已高度重视并开展了整改工作。这些行动表明金融机构正在积极应对个人信息保护方面的挑战。

　　上述罚单也折射出目前行业整体金融消费者权益保护的持续加码。根据记者不完全统计，2025年以来，涉及银行、消费金融机构以及助贷平台的违法违规收集使用个人信息的移动应用已超过20家。

　　有持牌金融机构相关负责人告诉记者，当前机构在收集和使用个人信息时，用户授权环节可能会存在超范围收集、隐私政策不透明、告知不清晰、使用范围不明确、过度授权等问题。这些问题导致消费者对其个人信息的处理缺乏了解，增加了个人信息泄露和违规使用的风险。

　　根据央行在微信公众号公布的一起典型案例显示，一位王先生仅因浏览贷款APP时随意点击“同意”按钮，个人信用报告便出现多条未经授权的查询记录，最终导致房贷申请受阻。这一案例再次提醒消费者要谨慎对待个人信息授权。

　　“这也是近年来消费金融行业规模迅速扩大的另一面——在新市民金融需求激增的情况下，对于新市民、年轻客群等群体，金融机构未能加强对信息授权的风险认知，也未制定更精细化的权益告知与保护措施。”一位从业者认为。

　　满足合规仍需加强协作

　　金融数据作为受法律特殊保护的公民个人信息，其泄露风险不容小觑。一旦泄露，将对公民的个人安全、财产安全甚至人身安全造成严重影响。

　　根据相关司法解释，非法获取、出售或提供行踪轨迹信息、通信内容、征信信息、财产信息等敏感信息达到一定数量即构成犯罪。这进一步强调了金融机构在个人信息保护方面的法律责任。

　　上海靖霖（北京）律师事务所合伙人刘笛表示，金融机构掌握的个人信用信息对公民的个人安全、财产安全均有重大影响。因此，金融机构必须严格遵守相关法律法规，加强个人信息保护。

　　但他也指出，当前金融机构用户在缔约时更多地关注资金安全、借贷便利和利息等方面，对数据安全和信息保护相对重视程度不高。这增加了个人信息泄露和违规使用的风险。

　　针对改善方向，刘笛建议金融机构在法律允许的范围内完善授权覆盖面、加固授权链条等法律技术问题。同时，他强调金融机构需要在业务侧进行创新和提升，寻找低信息依赖的风控模式以满足业务需要。

　　前述机构负责人也建议金融机构严格遵循《个人信息保护法》，坚持合法、正当、必要的原则收集和使用个人信息，并明确限定使用场景。通过优化授权流程、设置强制阅读等方式切实保障消费者的知情权和自主选择权。

　　刘笛认为当前保护金融个人信息上的难点在于业务侧对资金安全和市场竞争的需要促使金融机构尝试获取更多个人信息；而能力侧则在于部分金融机构难以实现全面合规。因此，他建议监管部门细化法规执行细则、增强政策可预期性；同时建立分层分类培训机制和区域性合规交流平台帮助中小机构提升合规能力。

　　“破解困局需多方协同发力。”有行业专家建议监管部门和金融机构共同努力加强个人信息保护。通过细化法规、提升合规能力、创新业务模式等方式共同应对个人信息保护方面的挑战。

（文章来源：中国经营报）