近日，国家计算机病毒应急处理中心在互联网监测中发现14款移动应用存在隐私不合规行为，其中乐山商行的App（版本 3.31.6）备受关注。

令人咋舌的是，这并非乐山商行首次在合规问题上 “栽跟头”。早在 2021 年，该行就因虚报金融统计数据，被央行处以58.1万元的罚款，这一事件深刻暴露出其内控机制长期处于失效状态。

值得警惕的是，在数据资产化趋势下，隐私泄露可能催生黑灰产业链。当“便捷”与“安全”的天平持续倾斜，银行App的灰色游戏终将反噬自身。

隐私违规背后，乐山商行面临变现困境

近日，国家计算机病毒应急处理中心依据《网络安全法》《个人信息保护法》《App 违法违规收集使用个人信息行为认定方法》等一系列法律法规及相关国家标准要求，在互联网监测中发现 14 款移动应用存在隐私不合规行为，其中乐山商行的 App（版本 3.31.6）备受关注。

根据公开通报，乐山商行此次被通报的 App 存在五大严重违规行为。在信息告知方面，未显著告知用户个人信息处理者信息，隐私政策也未列明收集范围；在信息共享环节，向第三方共享信息时未获单独同意；而在用户权益保障上，既未提供撤回同意途径，处理敏感信息时也未单独授权。

国家计算机病毒应急处理中心

深究乐山商行这种 “数据掠夺” 模式背后的原因，与其财务压力紧密相连。

从经营数据看，乐山商行营收虽有增长，但增速不稳定。2014 - 2022年净利润缩水约 30% ，2023 年，乐山商行启动港股上市计划，彼时其资产规模已达 1073亿元。但在合规成本与数据变现需求之间，该行陷入了两难困境。

2024年虽资产规模和存贷款规模大幅增长，可营业支出增长迅猛，三季度末营业支出相比上年同期上涨21.77%，信用减值损失同比涨幅更是高达 32.57%。

资产质量方面，乐山商行压力不小。2014 - 2021年，不良贷款率整体呈走高趋势，2021年较 2014 年翻番。尽管2022年末不良贷款率有所下降，可前五大贷款行业中，租赁和商务服务业、房地产业、批发和零售业和建筑业不良率均高于全行平均水平。

在投资业务上，乐山商行非标投资规模庞大。尽管2021 - 2023年非标投资余额占比从42.74%压降至23.25%，但余额仍处于较高水平。联合资信评级报告指出，较大规模的非标资产带来的信用风险和流动性风险，可能对其经营发展产生不利影响，且个别非标投资已出现逾期，在市场违约事件增多的背景下，投资资产质量变化需重点关注。

一揽子授权与“霸王条款”，用户隐私成“提款机”？

实则，监管层在 2024年9月就发布了《关于加强银行业保险业移动互联网应用程序管理的通知》，明确提出 “最小必要” 原则，旨在规范银行对用户信息的收集与使用。

银行 App 隐私侵权现象并非乐山商行个例。据不完全统计，2024年以来，全国已有超20家银行App因隐私问题被通报，涉及昆山农商银行、苏州农商银行等中小金融机构，违规行为集中于超范围收集信息、强制索取权限等。数据显示，2024年12月，江苏省通信管理局便通报了5家银行的6款App，其中昆山农商银行两款应用同时“上榜”。

银行App频繁越界的背后，是数据经济时代“商业利益优先”的逻辑。业内人士指出，部分银行通过过度收集用户信息优化产品功能，甚至将数据出售给第三方获利。以贷款业务为例，有银行App在办理贷款时需多次人脸识别，而乐山商行App则被曝调用用户相册、通讯录等非必要权限。

从强制捆绑授权的角度来看，银行App普遍采用“不同意则无法使用”的霸王条款，这使得用户在享受金融服务时，不得不以牺牲个人隐私为代价。而授权协议中未明确列出数据共享方清单，用户无法对敏感信息单独授权，这无疑加剧了用户隐私被滥用的风险。

数据共享的黑箱操作更是让人忧心忡忡。个人信息在流向第三方时缺乏透明告知，甚至存在使用后未及时删除的问题。这种对个人信息的随意处理和滥用，不仅侵犯了用户的隐私权，更可能引发一系列信息安全问题，如诈骗、身份盗用等。

面对行业乱象，国家金融监督管理总局已划定“红线”，要求金融机构遵循“用户授权、最小够用、专事专用”原则。