问题——通报聚焦两类突出违规情形,直指“告知—同意”与“第三方透明度”短板。 国家网络与信息安全信息通报中心依据《网络安全法》《个人信息保护法》等法律法规要求,并按照2025年个人信息保护系列专项行动部署,对移动应用个人信息处理活动开展检测与核查。结果显示,72款移动应用存在违法违规收集使用个人信息情况。 从问题类型看,一类是告知与同意机制不规范:部分应用在首次运行时未通过弹窗等明显方式提示用户阅读隐私政策及收集使用规则;存在以默认勾选、默认同意等非明示方式征求用户同意;隐私政策入口设置不便、难以访问;在处理个人信息前未以显著方式、清晰易懂语言向个人真实、准确、完整告知个人信息处理者身份信息、联系方式、保存期限等关键信息。 另一类是隐私政策信息披露不充分:部分应用未逐一列明应用自身及其委托第三方、嵌入第三方代码或插件的个人信息收集使用目的、方式、范围等,导致用户难以了解数据流向与使用边界,难以作出充分、独立的授权决定。 通报列举了涉及上述问题的部分应用及版本、来源渠道,涵盖应用商店下载的App及部分小程序等形态,显示问题具有一定普遍性和跨平台特征。 原因——合规意识、产品设计与产业链协同仍有薄弱环节。 业内分析认为,移动互联网产品迭代快、功能模块多,数据调用往往贯穿注册登录、内容推荐、支付结算、客服风控等多个环节,若合规治理未能前置到产品设计阶段,容易出现“先上线后补文档”“以技术便利替代用户明示”等情况。 同时,一些应用在商业模式上依赖广告投放、效果评估与反作弊等能力,第三方SDK或插件广泛接入,形成复杂的数据共享链条。若开发者对第三方能力缺乏穿透式管理,或隐私政策仅作笼统表述,便可能出现披露不足、责任边界不清等问题。 此外,小程序等轻量化应用形态开发门槛较低,部分主体对法定告知要件、弹窗提示规范、可访问性要求理解不到位,导致隐私合规“最后一公里”仍需打通。 影响——损害用户权益,削弱数字经济信任基础,也加剧行业“劣币驱逐良币”风险。 个人信息是数字经济的重要生产要素,但其使用必须以合法、正当、必要为边界。告知不充分、同意不明示,会直接削弱用户对数据处理的知情权与决定权,增加被过度采集、滥用甚至泄露的风险。 对行业而言,若隐私治理缺位,容易引发投诉纠纷与合规成本外溢,影响平台生态与产业链合作稳定性;对守法合规企业而言,也可能形成不公平竞争,影响创新投入和长期发展预期。此次集中通报释放的信号在于:个人信息保护将从“有法可依”继续走向“严格执行”,以刚性约束维护市场秩序与公共利益。 对策——以专项行动为牵引,推动“全链条合规”和“可验证整改”。 治理的关键在于把法律要求落到产品流程与技术细节上。一是强化显著告知与明示同意。应用在首次运行及重要功能调用前,应以清晰、易理解方式提示隐私政策,避免默认勾选、捆绑授权等做法,确保用户在充分知情基础上自主选择。 二是提升隐私政策可达性与可读性。隐私政策入口应在显著位置长期可访问,条款表述应真实、准确、完整,关键要素如处理者信息、联系方式、保存期限、用户权利行使路径等应一目了然。 三是压实第三方管理责任。对嵌入的第三方代码、插件与SDK,应建立清单化管理与最小必要调用机制,逐项披露目的、方式、范围,明确责任分工,形成可追溯的数据流转记录。 四是完善检测与反馈闭环。应用分发平台、开发者、第三方服务商应形成协同整改机制,针对通报问题开展自查自纠,推动整改可验证、可复核,避免“纸面合规”。监管部门则可结合技术检测、抽查复核与社会监督,提升治理的精准性与持续性。 前景——从“集中整治”走向“常态治理”,以规则确定性护航高质量发展。 随着个人信息保护法律制度体系健全,监管将更强调以用户权利为中心、以最小必要为原则、以透明可审计为路径。可以预期,未来移动应用合规建设将更多向“隐私保护内嵌于设计”转变:从产品立项、需求评审、开发测试到上线运营,形成覆盖全生命周期的合规流程;同时,围绕第三方SDK治理、数据出境合规、未成年人保护等重点领域,监管与行业标准有望进一步细化。对企业而言,合规不再只是成本项,而将成为获取用户信任、提升品牌竞争力的重要能力。
个人信息安全不是可有可无的"附加条款",而是数字服务的基本底线。一次通报的意义不仅在于点名曝光,更在于推动全链条对照整改、重塑规则意识。只有让告知更清晰、授权更可控、第三方更透明、责任更可追溯,才能让便捷的数字生活建立在更坚实的安全与信任基础之上。