治理对象：银行、保险、证券、征信、支付等相关机构，以及互联网助贷平台等收集使用个人信息活动。

　　重点治理问题：一是相关机构运营的网站、App等以安全风控、贷款服务等名义收集非必要的通讯录、短信、通话记录、位置、设备信息、应用列表等个人信息，调用麦克风、存储等个人信息权限；二是互联网助贷平台向合作的第三方机构提供个人信息，但未向个人信息主体告知合作的第三方机构名称、处理个人信息的目的、方式等，未取得个人信息主体同意；三是相关机构线下业务审核和运营的网站、App等使用非人脸识别技术方式可实现验证用户身份，将人脸识别技术作为唯一验证方式，未落实人脸识别技术应用安全管理相关要求；四是相关机构未建立个人信息保护管理制度、未采取有效安全保护措施、存在个人信息泄露风险隐患等。

　　个人信息已成为金融机构的核心资产之一。然而，部分金融机构在数字化转型过程中过度采集、违规使用乃至泄露消费者个人信息的问题日益突出，不仅严重侵害了金融消费者的合法权益，也为电信诈骗、精准欺诈等黑灰产活动提供了可乘之机。为此，中央网信办、工业和信息化部、公安部等监管部门持续开展金融领域违法违规收集使用个人信息专项治理行动，通过政策规范、执法检查和严厉处罚等多重手段，推动金融行业个人信息保护工作走向深入。

　　从政策层面来看，国家对金融领域个人信息保护的监管力度持续加码，呈现出体系化、常态化的特征。2025年，中央网信办、工业和信息化部、公安部、市场监管总局四部门联合发布公告，开展2025年个人信息保护系列专项行动，进一步深入治理常用服务产品和常见生活场景中存在的违法违规收集使用个人信息典型问题。在金融领域，治理对象涵盖银行、保险、证券、征信、支付等相关机构以及互联网助贷平台等收集使用个人信息活动。进入2026年，监管力度不减反增，中央网信办、工业和信息化部、公安部再次联合发布公告，进一步深入治理App、SDK等服务产品以及互联网广告、教育、交通、卫生健康、金融等重点领域违法违规收集使用个人信息典型问题，围绕重点问题开展系列专项行动。与此同时，行业专项立法也在加速推进。2025年4月，中国人民银行审议通过了《中国人民银行业务领域数据安全管理办法》，自2025年6月30日起施行，该办法对金融机构在数据采集、存储、使用、传输等环节的安全管理义务作出了明确规定。此外，金融监管总局出台了《银行保险机构数据安全管理办法》，其中专门设置“个人信息保护”章节，要求银行保险机构处理个人信息应按照“明确告知、授权同意”的原则实施，并限于实现金融业务处理目的的最小范围，不得过度收集个人信息。这些法规的密集出台，标志着金融领域个人信息保护正在从政策引导走向法治化、精细化管理的新阶段。

　　在具体执法层面，专项治理行动覆盖了App、小程序、公众号等各类移动应用，重点整治的问题具有很强的针对性。根据2026年专项行动公告，金融领域违法违规收集使用个人信息的重点治理问题包括四大方面：其一，相关机构运营的网站、App等以安全风控、贷款服务等名义收集非必要的通讯录、短信、通话记录、位置、设备信息、应用列表等个人信息，调用麦克风、存储等个人信息权限；其二，互联网助贷平台向合作的第三方机构提供个人信息，但未向个人信息主体告知合作的第三方机构名称、处理个人信息的目的、方式等，未取得个人信息主体同意；其三，相关机构线下业务审核和运营的网站、App等使用非人脸识别技术方式可实现验证用户身份，却将人脸识别技术作为唯一验证方式，未落实人脸识别技术应用安全管理相关要求；其四，相关机构未建立个人信息保护管理制度、未采取有效安全保护措施、存在个人信息泄露风险隐患等。从问题类型来看，监管重点已从单纯的“告知不充分”延伸到“权限索取不合规”“信息处理不规范”“权益保障不到位”等多个维度。

　　专项治理行动的效果需要通过真实的案例和数据来检验。2025年，监管部门对金融类App的违法违规行为进行了多轮通报，数据触目惊心。据统计，近四年来，监管部门总计通报了超140款金融类APP，存在超200个侵害用户权益问题，2025年以来个人信息合规监管通报同比增长287%，监管通报趋势已由“阶段性”转向“常态化”。具体来看，2025年6月，国家网络安全通报中心发布消息，经国家计算机病毒应急处理中心检测，发现64款移动应用存在违法违规收集使用个人信息的情况，其中涉及诚通证券、兴业证券、申港证券、五矿证券4家券商以及龙江银行、乌海银行、海峡银行3家银行，共涉及13项违规行为。这些金融机构App普遍存在的问题是：向其他个人信息处理者提供其处理的个人信息时，未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意，诚通证券、五矿证券、兴业证券、申港证券、海峡银行、乌海银行的应用均存在这种情况。同年7月，国家网络安全通报中心再次通报68款APP存在违法违规收集使用个人信息的情况，其中2家券商APP被点名。2025年9月，又有69款移动应用被通报违法违规，其中东兴证券开发的“东兴198”APP未采取相应的加密、去标识化等安全技术措施，信达期货开发的APP隐私政策未逐一列出App收集使用个人信息的目的、方式、范围。2025年12月，上海通信管理局通报71款APP涉及违规，其中3家券商APP在列，38款APP被采取下架措施，被下架的券商APP存在未明示个人信息处理规则、账号注销难、违规使用个人信息三项问题。这些数据表明，金融类APP违法违规收集使用个人信息的问题并非个别现象，而是具有一定普遍性的行业顽疾。

　　从违规机构的特征来看，中小型金融机构的问题尤为突出。有券商合规人士指出，中小型金融机构的合规团队搭建资源匮乏、技术能力不足，或对第三方SDK的管控较弱，未进行充分安全评估，导致用户数据被违规共享。此外，从业务压力驱动角度来说，增加用户信息采集协议容易导致业务开通率和参与率的降低，小型券商可能为提升装机率和业务开通率，简化用户授权流程，甚至跳过单独同意环节，让客户直接默认勾选或隐藏条款。这种“业务优先于合规”的经营逻辑，正是导致金融领域个人信息保护乱象频发的重要内在原因。

　　除了App端的违规收集问题，金融领域个人信息保护的另一个严峻挑战是数据泄露风险的持续高企。据反欺诈数据调研机构威胁猎人发布的《2025年数据泄露风险态势报告》显示，2025年全球数据泄露事件总量达41644起，较2024年上升10.83%。其中，金融行业成为数据泄露的集中行业——银行业风险连续三年位居行业榜首，消费金融、支付、证券等泛金融板块在前五高风险行业中占据四席。在非法数据交易市场中，金融类交易数据占比超过50%，金融贷款类数据已连续两年位居交易需求首位，涵盖消金网贷、银行贷款、企业贷及贷款超市等多个细分领域。消费金融申请泄漏数据的时效已发展到隔夜更新，黑产利用这些数据进行精准营销，下游作恶成功率最高可达20%。更令人警惕的是，银行“扫码申请”贷款信息泄露事件在2025年上半年大幅上涨，较2024年下半年增幅达404.55%，溯源发现泄露源头指向一家第三方金融科技公司的营销工具平台，影响超过80家银行机构。这些数据充分说明，金融个人信息泄露的风险不仅存在于金融机构自身，还广泛渗透到第三方合作机构、营销平台、数据服务商等整个产业链条之中。

　　金融领域个人信息保护领域的违法成本正在显著上升，这体现在监管处罚力度的持续加大上。据统计，2025年金融监管部门一共开出41张数据安全罚单，累计罚金超3000万元，标志着金融行业数据安全监管已进入“严约束、高成本”阶段。2025年12月，中国人民银行对工商银行作出警告，没收违法所得434.57万元，罚款3961.5万元，合计罚没约4396万元。同月，交通银行因违反账户管理规定、违反信用信息采集及查询管理规定等11项违法行为，被警告并没收违法所得23.98万元，罚款6783.43万元，创下年内股份制银行单笔处罚新高，该行13名相关责任人一并被追责。进入2026年，监管高压态势仍在延续。2026年2月，中国建设银行因违反账户管理规定等10项违法行为，被警告并没收违法所得55.10万元，罚款4295.51万元，合计罚没约4350.61万元。这些巨额罚单的密集开出，充分体现了监管部门对金融领域违法违规行为的零容忍态度和坚决打击决心。

　　金融领域个人信息保护之所以面临严峻挑战，根源在于多重因素的交织。从技术层面看，随着金融科技的发展，人工智能、大数据等新技术的广泛应用在提升金融服务效率的同时，也带来了新的合规挑战。有业内人士指出，人工智能与大数据推动金融风控从被动应对转向主动研判、合规管理从粗放转向精准，但算法歧视、技术滥用等新挑战凸显，需要构建监管与市场协同共治格局。从管理层面看，金融机构内部管理与数字化转型不同步、合规与创新发展不平衡、安全威胁迭代升级快、新型技术风险预判难等问题都可能诱发数据安全事件的发生。从外部环境看，数据黑产的运作正在走向精准化、联邦化。黑产开始引入AI大数据识别与算法模型对原始数据进行清洗、质控和画像细分，这种“精准化”的黑产运作不仅推高了下游诈骗的成功率，也让数据治理陷入了技术与法治的双重博弈。黑产组织形态呈现“联邦化”趋势，例如SLH联盟通过语音钓鱼和恶意OAuth集成发动供应链攻击，对金融企业造成重大损失。从司法实践看，有法律专家指出，当前罪名适用较为单一，难以全面覆盖黑产全链条，对于数据清洗、模型优化等环节的行为若未达到“情节严重”标准，难以定罪处罚，导致黑产上下游的次要参与者可能规避刑事追责。

　　面对上述挑战，金融领域个人信息保护的治理体系正在不断完善，形成了多方协同、多措并举的治理格局。在行业自律层面，中国互联网金融协会于2025年8月发布通知，进一步加强金融领域App自律检查，指出金融领域仍有部分App，特别是为金融业务提供引流、营销、助贷等相关服务的App，存在超范围开展业务、故意误导消费者、不当收集使用个人信息等问题，个别App甚至违法违规办理业务或为非法活动提供便利，严重侵犯金融消费者合法权益。在技术标准层面，中国证券业协会于2025年9月发布了《证券公司投资者个人信息保护技术规范》团体标准，包含基本原则、投资者个人信息分类分级、全生命周期保护要求、特定场景保护要求等内容，为证券行业提供了科学、实用的技术指引。在司法层面，对侵犯公民个人信息犯罪的打击力度也在加大。例如，某保险业务员为拓展业务非法购入20余万条公民个人信息，离职后将这些信息当作“珍贵资料”出售，列出包含姓名、电话、财产状况等内容的“信息菜单”供买家“点单”，最终因侵犯公民个人信息罪获刑。另有案件显示，周某累计向15名买家售卖25万余条公民个人信息，涉案金额4.3万余元，同样被依法追究刑事责任。

　　金融领域违法违规收集使用个人信息专项治理的深入开展，具有重要的现实意义和深远的社会影响。对于金融消费者而言，专项治理有力保障了其个人信息安全权和隐私权，提升了人民群众在网络空间的满意度和获得感。对于金融机构而言，专项治理促使其重新审视自身的合规体系建设，推动数据安全管理从“被动合规”向“主动防御”转变，从“单点治理”向“体系化运营”转变。对于整个金融市场而言，个人信息保护水平的提升有助于增强消费者对数字金融服务的信任度，为数字金融高质量发展奠定坚实的基础。当前，中央网信办、工业和信息化部、公安部等部门正在有序推进系列专项行动中的各项任务，集中整治各类典型违法违规问题，对情节严重、拒不整改的依法从严处理，同时根据实际工作需要动态调整重点治理问题，确保专项行动取得实效。可以预见，随着法律法规的不断完善、监管力度的持续加大、行业自律的深入推进以及技术防护能力的不断提升，金融领域个人信息保护工作必将迈上一个新的台阶，人民群众的合法权益将得到更加充分的保障。