CFN | 大河  版权图片 | 微摄

当最高人民法院将倒卖患者信息的“内鬼”送上审判席时，湖北银行、常熟农商银行、武汉农村商业银行等5家银行机构却在同一天因违法违规收集使用个人信息被推上风口浪尖。一纸国家计算机病毒应急处理中心的通报，将这组看似孤立的惩治与通报，串联成一条数字时代个人信息保护的清晰法网。

2026年5月8日，最高人民法院发布5起侵犯公民个人信息犯罪及关联犯罪典型案例，从医疗、交通、教育、网络到疫苗预约五大领域，无论技术如何迭代、链条如何复杂，法律始终重拳出击。几乎同一时间，国家计算机病毒应急处理中心披露了5家银行App/小程序的违法违规行为。刑事制裁与行政通报的齐发，揭示了当前个人信息保护面临的两大治理软肋。

最高法亮剑：从源头斩断“内鬼”链条

最高法此次发布的典型案例，矛头直指行业“内鬼”。某科技公司员工利用为医院维护挂号系统的便利，非法获取、储存患者挂号信息共计287万余条，被判处罚金30万元，相关责任人被判处有期徒刑五年六个月至一年六个月不等。信息一经收集便极易“失控”——几乎每个人都曾经历过刚办完一件事就被精准营销的骚扰。

如果说医疗数据泄露直接威胁的是民众健康隐私，那么行程信息泄露则可能危及个人生命安全。陈某利用铁路车站客运员的职务便利，以每条10元至60元不等的价格倒卖他人高铁乘车信息，部分数据流向追踪演艺人员行程的“黄牛”，截至案发违法所得约19万元。法院依法对涉案被告人判处刑罚，从源头阻断黑灰产业链的发展蔓延。医疗、交通、教育等公共服务领域的信息系统，正沦为不法分子窃取数据的重点目标。

“开盒”已成为新型网络暴力犯罪的典型形态。不法分子非法获取公民个人信息后在网络上公开，受害者在现实生活与网络空间中同时遭遇威胁。此次发布的案件中，被告人林某某、王某某非法获取公民个人信息后，通过“开盒”方式发布侵犯隐私和侮辱性的信息，被依法判处侵犯公民个人信息罪和非法利用信息网络罪。

隐私政策的“无形之墙”：银行App合规乱象

然而，在最该守护公民“钱袋子”信息和金融安全的银行业，个人信息保护机制却频频失守。

湖北银行线上贷款小程序的“告知义务踩线”，暴露了其合规意识的淡漠。首次运行未通过弹窗提示阅读隐私政策，以默认选择同意等非明示方式征求用户同意，甚至未清晰告知个人信息处理的保存期限等核心条款。用户对于自己的信息被谁收集、将保存多久、会被用于何处，始终处于“盲盒”状态。

隐私政策缺位的同时，用户“撤回同意权”也形同虚设。湖北银行和武汉农村商业银行均未向用户提供撤回同意的便捷方式。法律赋予用户的个人信息自决权，在某些银行的系统设计中根本不存在出口。更严重的是，武汉农村商业银行还存在未经用户同意即收集个人信息、未制定未成年人信息处理专门规则等三项违规。江苏农商行版本则未提供有效的更正、删除及注销用户账号功能。

常熟农商银行更是通过自动化决策方式进行商业营销推送，却未提供不针对个人特征的选项或便捷的拒绝方式。用户的消费习惯和潜在需求在算法中被无死角扫描，却连说“不”的权利都没有。兴福村镇银行存在隐私政策未逐一列明第三方插件收集信息的目的和范围等问题。

数据外泄：从“骚扰电话”到“账户被盗”

银行App的过度索权远不止于误用客户隐私，更深层的风险是：金融信息一旦泄露，将直接演变为系统性金融安全威胁。

部分银行App要求授权读取通讯录、通话记录、短信、位置信息等，甚至要求“修改系统设置”，若拒绝授权便闪退或无法使用，消费者被迫“同意”。一旦授权，内嵌的第三方SDK可能暗中收集个人信息用于暴力催收、窃取银行验证码等不法用途。更有不法分子利用非法获取的个人信息，对疫苗预约者实施精准诈骗。指纹、人脸识别、交易密码等核心敏感信息被泄露后，受害者的财产安全将遭遇实质性威胁。

湖北银行等机构被通报折射出一个更深层的困境——长期过度收集个人信息已部分银行视为行业“行规”。《个人信息保护法》施行已逾四年，五年“免罚期”已满，监管部门正在用刚性处罚对行业释放清晰信号。

监管加码：三部门专项治理与银行合规短板

2026年4月，中央网信办、工信部、公安部联合公告部署个人信息保护系列专项行动，明确将金融领域列为重点治理对象，覆盖银行、保险、证券、征信、支付等相关机构及互联网助贷平台，重点整治以风控名义收集非必要的通讯录、短信、通话记录、位置等敏感信息的行为。

监管决心在处罚力度上得到印证。2026年一季度，银行业罚单金额总计高达5.76亿元，涉及银行机构至少586家；2026年3月银行网络安全/数据安全罚单达23个，比2月多出9个。2025年全年，银行收到监管罚单6656张，罚没金额26.6亿元，被罚银行1073家。数据安全罚金单的爆发式增长，标志着个人信息保护已从行业倡议升级为刚性底线。

机构层面的风险同样突出。2026年2月，中国农业发展银行旗下的“农发企业银行App”被点名通报；2026年3月，哈密市商业银行被罚383.6万元。无论是大型银行还是村镇银行，未将合规融入经营底线的机构，终究绕不过监管的“过滤器”。

“监守自盗”与“盈利至上”：谁在制造个人信息黑洞？

法网越织越密的背后，是个人信息泄露在技术和资本的催化下，演化成产业化、规模化、链条化的犯罪形态。科技公司员工将医疗平台架上悬挂的挂号数据库变成敛财工具，基层票务人员把高铁信息系统当作“信息挖矿”的金矿——这些掌握信息入口的特殊群体，利用技术和管理漏洞，将一个区域乃至全国范围的公民隐私变成不法商品。

银行业的表现更为隐蔽。当部分银行将App权限过度索取视为营销手段，将用户的无条件信任异化为商业筹码，放任信息外泄风险，其在合规体系中留下的是一道巨大的“公共利益”黑洞。

中国金融网董事长何世红指出，从某种意义上说，个人信息保护的终点并不止于刑事追诉和行政通报，而在于全社会对数据伦理的理性觉醒。当科技公司、金融机构、医疗机构等持有巨量人数据的主体在合规风控上投入的资源，与数据资产发掘上投入的精力形成匹配，当用户隐私不是商业变现的燃料而被视为不可逾越的法律红线——真正的个人信息安全才能从法律文本走进日常生活。银行的数字化转型不能牺牲用户隐私；每一家银行都需要思考一个根本命题：在争夺市场空间时，是否给自己划下了足够高的合规底线。行业的健康建立在良法善治和诚实信用之上，而隐私正是其中最需要守护的基石。无论科技如何迭代，商业如何竞争，公民的隐私权永远不容侵犯，也永远不该被拿来“交换”任何形式的利润。