2023年，包括吉林银行、宁波鄞州农商银行、兰州银行等多家银行系App被通报，涉及的最多的问题是“违规收集个人信息”和“强制、频繁、过度索要权限”。移动端App、小程序之所以成为侵害隐私的“重灾区”，主要与移动端能够收集的用户信息丰富，能够为机构开展各类营销跟精准推送打下基础有关。从各地频繁发布侵害用户权益行为App的通报来看，个人信息保护已成为监管要求App整改的重点方向之一。

根据梆梆安全对各地监管通报信息持续收集与分析，截至2023年底，工信部、网信办累计通报APP1949款、SDK32款、小程序142款。其中广东省通管局、四川省通管局、浙江网信办为区域通报最多的监管机构。从应用分类上“本地生活”类是监管通报的重灾区，全年共涉及通报431次，占全部通报的22%。针对银行业全年公开通报信息14次，主要涉及：

国信办秘字【2019】191号中的

▷未明示收集使用个人信息的目的、方式和范围

▷征得用户同意前就开始收集个人信息或打开可收集个人信息的权限

▷实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围

▷违反其所声明的收集使用规则，收集使用个人信息

工信部信管函〔2020〕164号中的

▷违规收集个人信息

▷超范围收集个人信息

▷违规使用个人信息

▷APP强制、频繁、过度索取权限

▷APP频繁自启动和关联启动

工信部信管函〔2023〕26号中的

▷未明示个人信息处理规则

▷未合理申请使用权限

针对合规监管的频繁通报，梆梆安全建议客户在移动应用发布前结合多条监管规范对移动应用进行个人信息合规性评估，通过合规评估工作，逐渐完善企业用户个人信息保护、信息安全技术、安全管理规范等内容，强化银行业对于个人信息保护的能力，降低遭受大规模公民个人信息泄露的可能性，同时满足国家监管机构要求。

梆梆安全在长期的个人隐私合规评估服务中发现诸多开发者对三方SDK引发的合规问题不清楚如何处理、如何防范SDK侵权。实际上，APP可以在嵌入之前做好SDK的合规性评估，并向个人用户明确告知其所嵌入的SDK类型、收集的数据类型、处理的目的和方式。SDK实际收集的个人信息与其隐私政策中所披露的内容一致，则可认为其符合一致性。

梆梆安全凭借在软件安全领域的丰富实践经验，在APP和小程序的个人隐私安全、大数据安全共享及企业数据安全治理等方面制定了完善的产品及解决方案，面对不断升级的隐私安全监管需求，梆梆安全推出移动应用合规平台，借助深度定制化的检测沙箱、利用自动化脱壳、应用自动化遍历及人工深度辅助测试等技术，能对应用的合规情况、动态行为、软件成分、安全漏洞进行采集与分析，通过服务与工具相结合的方式，帮助银行在上线前发现应用违规行为并输出合规评估报告，协助安全合规部门推动隐私合规整改工作，保障应用上架后符合监管单位/机构的相关要求，更好维护用户合法权益，推动行业高质量发展。

针对屏幕共享+人脸识别的新型电信诈骗场景，银行机构如何识别风险，增强客户唤醒、干预并阻断欺诈发生？梆梆安全认为涉及屏幕共享窃取信息和人脸识别绕过的新型电信诈骗场景中涉及对普通用户的充分告知和提醒，对诈骗分子人脸识别绕过场景的高危风险阻断两个维度。

梆梆安全结合近年来对屏幕共享+人脸识别信息泄露等安全事件的实践，已实现对安全风险的监测并将其落地，推出人脸识别专项安全评估、APP安全加固+通信协议保护SDK+安全键盘SDK、移动应用安全监测平台在内的人脸识别业务安全防护解决方案。