近期,国家网络与信息安全信息通报中心发布通报称,依据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等法律法规,并按照有关部门开展2025年个人信息保护系列专项行动的部署要求,国家计算机病毒应急处理中心检测发现,72款移动应用存违法违规收集使用个人信息情形,现予以通报。通报所列问题具有较强共性,反映出部分应用在个人信息处理全流程的合规意识与制度落实上仍有不足。 一是问题表现更集中、更具体。通报梳理的风险点主要集中在两个上:其一,用户首次使用环节的告知与同意机制不规范,包括首次运行未通过弹窗等明显方式提示用户阅读隐私政策、以默认选择等非明示方式征求同意、隐私政策入口不易获取;以及在处理个人信息前未以显著方式、用清晰易懂的语言完整告知处理者名称或姓名、联系方式、保存期限等法定信息。其二,隐私政策透明度不足,未逐项说明应用(含委托第三方、嵌入第三方代码或插件)收集使用个人信息的目的、方式、范围等关键要素,导致用户难以准确判断数据流向与使用边界。这些问题看似集中在“文案和入口”,本质上关系到个人信息处理的合法基础,以及用户知情权、选择权能否真正落实。 二是成因呈现多因素叠加。从治理实践看,部分产品在快速迭代中更强调增长和功能体验,对合规评估、权限最小化、告知同意等“前置设计”投入不足,形成“先上线、后补齐”的惯性。其间主要有三类诱因:一是对法定义务理解偏差,将隐私政策当作“形式文本”,忽视“显著告知、充分说明、便捷访问”的实质要求;二是第三方组件使用普遍但管理粗放,SDK、插件带来的数据收集分散在多个环节,若缺少清单化梳理与持续审计,容易出现“主体不清、目的不明、范围不准”等漏洞;三是内部责任体系不完善,产品、研发、运营、法务协同不足,导致权限调用、弹窗交互、隐私条款更新与版本发布不同步,最终在检测中暴露问题。 三是影响不仅关乎个体权益,也关乎数字经济秩序。个人信息被不当收集使用,会削弱知情同意基础,增加骚扰营销、画像滥用、账号被冒用等风险,并推高社会信任成本。对行业而言,若合规底线难以稳定建立,市场将面临“劣币驱逐良币”的隐性压力,合规投入高的企业反而短期吃亏,进而损害公平竞争环境。对治理层面而言,移动应用是公共服务、消费服务与社会交往的重要入口,一旦数据处理失范,风险可能沿账号体系、支付体系以及位置、通讯录等敏感权限链条外溢,影响范围更广。 四是对策关键在“制度化、可验证、可追责”。从企业整改角度,应把“合规即产品质量”落实到工程化执行:在首次运行等关键节点,采用清晰、可选择、可撤回的授权与告知设计,避免默认勾选、捆绑授权;提升隐私政策及个人信息保护有关页面的可达性与可读性,确保处理者信息、保存期限、权利行使方式等要素完整准确;建立第三方组件清单管理机制,对SDK、插件开展分级评估与持续监测,做到来源可追溯、行为可审计、风险可处置;同时完善版本发布前的合规测试流程,将权限调用、数据传输、日志采集等纳入自动化检测与人工复核,并明确责任分工与问责链条。 从监管与平台治理角度,应更强化“检测—通报—整改—复核—处置”的闭环机制,推动整改从一次性修补转向常态化治理;应用分发平台可在上架审核、更新审核、权限声明等环节加强一致性校验,对隐私政策关键字段缺失、第三方说明不全等高频问题建立标准化拦截规则;行业协会与第三方评测机构可推动形成更统一的隐私文本规范与技术测评指标,降低企业合规成本,提高落地可操作性。 五是前景判断:个人信息保护将从“被动整改”加速走向“主动合规”。随着专项行动持续推进、公众隐私意识提升以及执法常态化,移动应用生态的竞争规则将更强调透明度、最小必要与安全可控。对企业而言,越早把合规嵌入产品设计、数据治理与供应链管理,越能在竞争中获得长期信任;对用户而言,也能更清楚地了解信息“为何收、收什么、给谁用、用多久”,从而提升使用数字服务的安全感。
在数据成为关键生产要素的今天,个人信息保护已不只是技术问题,更是治理课题。此次通报既是对违规行为的“黄牌警示”,也是推动行业改进的契机。只有在创新发展与权益保障之间取得平衡,才能夯实数字经济的信任基础,让数据更安全、更规范地发挥价值。