问题:个人信息保护法施行以来,主管部门持续加强执法和规范指导,整体合规水平有所提升,但在一些高频场景中,仍存在违规收集、超范围调用、以提供服务为由强制授权等情况。此次专项行动把App及其嵌入的SDK列为治理重点,集中整治个人信息收集使用规则不公开、账号注销通道缺失或难以使用、投诉举报渠道不完善等基础问题;同时针对“告知不充分、告知与实际不一致”“未经同意或以强制方式获取非必要信息”“在无关场景读取位置、通讯录、短信等敏感信息、以超出最低必要频率调用权限”等典型行为开展整治。在互联网广告领域,重点治理超范围采集、未在规则中明确用于广告投放与用户画像、向第三方提供信息要素不透明、用户更正删除与拒绝处理权利行使不便、个性化推荐关闭入口不清晰且关闭后仍继续收集、缺少删除用户特征标签等问题,并同步关注因内部管理薄弱、访问控制不到位、技术防护不足带来的数据安全风险。在教育领域,专项行动突出未成年人信息保护,强调处理不满十四周岁未成年人信息应制定专门规则并取得监护人同意,重点治理学校及校外培训机构网站、应用过度收集位置、学籍以及家长身份信息、联系方式等问题,防止不当共享、违规对外提供引发连锁风险。公告同时指出,将对互联网广告、教育、交通、卫生健康、金融等重点领域违法违规收集使用个人信息的典型问题持续深入治理。 原因:从实践看,部分机构合规意识不足与逐利冲动叠加,一些产品在设计阶段就默认“多采集数据更有利”,通过“默认勾选”“一次同意长期有效”“不同意即无法使用”等方式变相抬高授权门槛;部分SDK链条较长、责任边界不清,容易出现“前端合规、后端滥用”或“主体不知情、数据被转运”等隐蔽风险。同时,个性化推荐与精准投放依赖画像建模,若缺少透明告知与有效退出机制,用户权利容易被压缩。教育场景中,信息采集与管理通常涉及学校、平台、服务商等多方协作,一旦规则不清或管理松散,就可能出现超范围采集、留存过久、对外提供不规范等问题。 影响:个人信息被过度采集和不当使用,会直接侵害公民知情权、选择权和删除权,增加骚扰营销、诈骗等风险,削弱公众对数字服务的信任;对行业而言,若违规成本长期低于获利空间,容易形成不公平竞争,挤压合规经营者的空间,影响数字经济健康发展;对公共治理而言,教育、交通、医疗等敏感场景一旦发生泄露或滥用,影响往往更易扩散,不仅伤害个人,也会冲击社会预期与治理效果。 对策:此次专项行动传递出以法治为基础、以问题为导向、以场景为抓手的治理思路。一是压实个人信息处理者主体责任,推动形成可核验、可追溯的合规闭环,把“规则公开、明示告知、有效同意、便捷行权、最小必要、定期审计”等要求落实到产品功能与业务流程。二是对App与SDK开展全链条治理,推动清理无关权限与高频调用,完善账号注销、投诉举报等基础能力,避免以技术复杂性掩盖责任缺位。三是提升互联网广告透明度与可选择性,推动个性化推荐“能关、好找、易用、关了就停”,对第三方共享信息要素明确范围并清单化管理,同时健全内部访问控制与安全防护。四是教育领域突出未成年人保护,严格落实监护人同意、专门规则、必要性评估与安全管理要求,降低信息扩散与不当利用风险。五是坚持执法查处与合规指导并重,推动行业从“事后整改”转向“事前合规”,以制度与技术协同提升治理的精细化水平。 前景:随着专项行动推进,个人信息处理将更强调目的正当、范围适度、过程可控、权利可行。可以预期,围绕权限管理、SDK合规、广告投放透明、未成年人信息保护等关键环节的标准化要求与常态化监管将更加强,企业合规能力也将成为产品竞争力的重要组成部分。治理成效最终会体现在用户体验上:减少被动授权和无端打扰,增加可理解、可控的使用选择,让用户用得明白、用得安心,为数字经济发展夯实信任基础。
个人信息安全保护是一项基础性工作,关乎社会运行秩序和公众切身利益。只有坚持依法治理,强化技术保障,完善社会监督,才能从源头减少违法违规行为,推动形成更安全、更透明、更可信的网络环境,为群众获得更安心的数字服务提供支撑。未来,随着依法治网和严格执法持续推进,个人信息保护有望深入走向规范化、常态化。