国家网络与信息安全信息通报中心通报指出,依据《网络安全法》《个人信息保护法》等法律法规,并按照有关部门关于开展2025年个人信息保护系列专项行动的公告要求,经国家计算机病毒应急处理中心检测,发现72款移动应用存违法违规收集使用个人信息情况,现予以通报;通报列举的情形,聚焦于告知同意不充分、隐私政策内容与可达性不足、第三方收集使用信息边界不清等关键环节。 问题:从通报内容看,对应的违规问题优势在于较强共性。一是告知不显著、不充分。一些应用在首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等规则,或以默认选择同意等非明示方式征求同意,导致用户难以在“知情”的前提下作出选择。二是隐私政策可达性差、信息披露不完整,存在隐私政策难以访问、或未以清晰易懂语言完整告知处理者信息、联系方式、保存期限等情况。三是对第三方收集使用个人信息的说明不到位,未逐一列出应用内委托第三方或嵌入第三方代码、插件在收集使用个人信息时的目的、方式、范围等,容易造成“看得见的功能、看不见的数据流转”。 原因:一上,移动应用生态链条长、参与主体多。应用开发运营方、SDK提供方、广告投放与统计分析服务方等共同构成数据处理网络,若缺乏统一、细化的合规管理机制,容易出现“责任分散、边界模糊”。另一方面,部分平台在产品迭代与商业变现压力下,将用户授权设计成“默认同意”“一次性全量授权”等路径依赖,弱化了最小必要原则与目的限定原则的落实。,一些运营方对法律要求理解不到位,隐私政策文本模板化、更新滞后,导致披露内容与实际数据处理行为不匹配。 影响:个人信息保护是数字经济健康发展的底座。若告知同意机制形同虚设、第三方数据流转不透明,不仅可能引发过度采集、违规共享、甚至数据泄露等风险,损害用户知情权与选择权,也会削弱公众对数字服务的信任,抬高行业合规成本,形成“劣币驱逐良币”的不良竞争。对金融、社交、教育、出行等涉及敏感信息或高频使用场景的应用而言,合规缺口一旦积累,容易演化为系统性风险隐患。 对策:治理关键在于把“合规要求”转化为“产品机制”。监管层面,应持续以专项行动为抓手,强化检测通报、问题复测、整改闭环与典型案例曝光,推动应用市场、分发平台落实上架审核与动态巡检责任,形成“发现—通报—整改—复核—处置”的常态化机制。企业层面,应围绕告知同意、最小必要、目的限定、数据安全与第三方管理等重点环节开展自查自纠:在首次运行和关键权限申请时以清晰界面实现逐项告知与可选择同意;确保隐私政策入口显著、可随时访问;对嵌入SDK、插件建立清单管理与合规评估,逐一披露其收集使用目的、方式和范围,并通过合同约束、技术隔离、日志审计等手段压实第三方责任。行业层面,可推动形成更易落地的合规指引和标准化披露模板,减少“形式合规”空间,提高透明度与可验证性。 前景:随着个人信息保护系列专项行动持续推进,移动应用合规将从“集中整治”走向“长期治理”。未来一段时间,告知同意设计、第三方SDK治理、敏感权限调用与数据出境等环节仍将是监管关注重点。可以预期,合规能力将成为应用产品竞争力的重要组成部分:越早建立合规内控体系、越能把隐私保护嵌入产品全生命周期的企业,越可能在市场信任与长期发展上获得更稳固。
个人信息保护是数字时代的重要课题,关系到每个网民的切身利益。此次通报72款违规应用——既是对市场乱象的有力纠正——也是对企业合规底线的明确划定。通过持续的专项整治和全社会的共同努力,必将推动移动应用市场朝着更加规范、更加安全的方向发展,让用户在享受数字便利的同时,隐私权得到切实保障。