近期,公安部计算机信息系统安全产品质量监督检验中心根据《网络安全法》《个人信息保护法》等规定,按照相关部门开展2025年个人信息保护系列专项行动要求,对移动应用个人信息收集使用情况开展检测,并通报发现54款移动应用存在不同类型的违法违规问题。
通报显示,问题主要集中在隐私规则披露不充分、权限申请与告知不同步、收集范围与业务必要性不匹配等方面,其中停车服务相关应用及小程序数量较为集中,反映出民生服务场景在数字化过程中仍存在合规管理薄弱环节。
一是信息收集规则透明度不足。
通报指出,部分应用未以清晰方式向用户公开其个人信息收集使用规则,或未按要求向用户说明收集处理的具体安排。
隐私政策缺位或展示不完整,容易导致用户无法在充分知情基础上作出选择,也削弱了平台运营者应承担的告知义务。
二是收集使用目的、方式、范围未作逐项列明。
个别应用虽然提供了相关说明,但未将不同类型个人信息分别对应到明确的用途、处理方式与使用范围,造成“笼统授权”“概括同意”的风险。
按照现行法律要求,个人信息处理应坚持合法、正当、必要原则,并遵循公开透明、最小必要等规范;未逐项说明,既不利于用户理解,也不利于监管核查。
三是权限申请环节告知不到位。
通报涉及部分应用在申请调用可收集个人信息的权限时,未同步告知开启权限的具体目的,甚至提前要求用户打开与当前功能无关的权限。
这类做法容易将用户置于“不同意即无法使用”的被动处境,变相增加权限获取范围,影响用户对个人信息流向的控制权。
四是同意前收集、超授权或超必要收集仍然存在。
通报显示,个别应用存在在征得用户同意前即开始收集个人信息的情形,也有实际收集信息超出用户授权范围、或超出实现相关功能所必需范围的问题。
此外,还有应用在配置文件中声明的权限超出功能必要范围,形成“声明更宽、实际更广”的隐患。
上述问题若不能及时纠正,可能导致用户信息被过度获取、用途边界被模糊化,进而增加泄露、滥用等风险。
从问题成因看,一方面,部分开发运营主体合规意识不足,对个人信息保护法律规则理解不深,仍沿用“多采集以备后用”的产品逻辑,将数据视为提升增长和变现能力的工具;另一方面,小程序、轻应用等形态迭代快、接入链条长,第三方SDK、广告组件、统计工具等嵌入后,容易出现权限调用与数据流转不透明的情况。
加之部分应用在产品设计阶段缺少“隐私保护内嵌”的机制,导致上线后再补规则、再补告知,最终出现政策文本与实际行为不一致。
就影响而言,个人信息保护直接关系群众切身利益与数字经济健康发展。
停车、出行等高频民生场景中,用户往往在赶时间、赶路的情况下快速授权,一旦规则不透明或权限获取过度,容易形成“高频授权—集中沉淀—扩散使用”的风险链条。
对行业而言,频繁曝光不仅会削弱用户对数字服务的信任,也会抬高企业后续合规改造成本,影响行业长期竞争力。
针对治理方向,业内普遍认为应在“查处—整改—复测—问责”链条上形成闭环。
一是压实应用运营者主体责任,建立上线前合规评估、权限最小化配置、数据处理全流程留痕等制度,确保隐私政策与实际行为一致。
二是强化平台与渠道管理责任,应用商店、开放平台可在上架审核、版本更新、SDK管理、异常权限调用识别等方面提升技术审查与动态巡检能力。
三是推动标准化与可验证的告知机制,在权限弹窗、功能流程中实现“要什么、为什么、用多久、给谁用”的清晰提示,让用户能够真正作出自主选择。
四是畅通投诉与纠纷处置渠道,完善用户查询、更正、删除、撤回同意等权利实现路径,提高违法成本与纠错效率。
从前瞻看,随着个人信息保护专项行动深入推进,监管对高频民生服务、未成年人相关应用、数据跨境与第三方组件等重点领域的治理预计将更趋精细化、常态化。
对企业而言,合规不再是“可选项”,而将成为产品可信赖、服务可持续的重要竞争要素。
对用户而言,依法合规的服务供给将进一步改善使用体验,减少“过度索权”“强制授权”等困扰。
个人信息是数字时代的重要资产,保护好用户信息安全是企业的法律责任和社会责任。
此次公安部的通报和整改要求,既是对违规企业的警示,也是对整个移动应用行业的提醒。
随着《个人信息保护法》等法律制度的不断完善和执法力度的加强,个人信息保护的法治环境正在改善。
但要真正实现"让用户放心使用"的目标,还需要企业、平台、监管部门和用户的共同努力。
每一个被通报的应用都应以此为鉴,立即行动、主动整改,用实际行动赢回用户信任。