围绕个人信息保护领域突出问题,相关专项行动持续推进。
公安部计算机信息系统安全产品质量监督检验中心近期检测发现,部分移动应用在个人信息收集使用环节存在不同程度的违法违规情形,涉及停车服务、工具类、学习类等多个应用场景。
通报显示,问题类型较为集中,既有基础性制度缺失,也有权限管理、收集边界和用户告知方面的操作性偏差,反映出一些经营主体合规意识与技术治理能力仍需补课。
一是问题表现多样但共性明显。
通报所列问题包括:未公开收集使用规则、未逐项说明收集使用个人信息的目的方式范围;在申请权限时未同步告知使用目的;未征得用户同意即开始收集;实际收集信息超出用户授权或超出实现功能的必要范围;配置文件声明权限与功能不匹配;提前索取与当前功能无关的权限;以及未向用户提供个人信息相关投诉渠道等。
值得注意的是,停车类应用及小程序占比相对突出,说明与位置、车辆、支付等信息高度关联的便民服务场景,仍是个人信息保护治理的重点领域之一。
二是原因层面呈现“管理松、边界糊、技术弱”特征。
从管理看,部分应用在上线运营前未建立完整的个人信息合规清单和隐私政策管理机制,导致“规则未公开”“事项未逐一列明”等基础要求落实不到位。
从边界看,一些产品在业务增长与数据使用之间把握失衡,倾向于以“可能需要”为由扩大采集范围,出现超授权、超必要收集或“提前要权限”等现象,弱化了最小必要原则。
从技术看,权限调用链路、SDK接入、配置文件声明、弹窗告知等环节需要产品、研发、法务协同推进,一旦缺少统一设计和审计机制,容易形成告知不一致、权限与功能不匹配等问题。
此外,小程序生态开发门槛相对低、迭代快,若缺乏持续合规评估,也更易出现“上线快、治理慢”的情况。
三是影响不容忽视,既关乎个人权益也关乎数字经济健康运行。
个人信息被过度采集、被不透明使用,将直接损害用户知情权、选择权和隐私权,增加骚扰营销、账号被盗用、精准画像滥用等风险。
对企业而言,违法违规行为可能引发整改、下架、行政处罚乃至民事责任,品牌信誉与用户信任也会受到长期冲击。
更重要的是,个人信息保护是数字社会运行的基础规则之一,若基础合规不到位,公众对移动互联网服务的信任将被削弱,进而影响行业创新活力与市场秩序。
四是对策上应坚持“依法治理+技术治理+协同治理”同向发力。
对应用运营者和开发者而言,首要是对照法律法规和专项行动要求开展全量自查:隐私政策是否清晰可得、是否逐项列明目的方式范围;权限申请是否与功能一一对应、是否做到“使用时再申请”;是否在用户明确同意后才启动收集;是否建立最小化采集、去标识化处理、存储期限控制等机制;是否为用户提供便捷的查询、更正、删除、撤回同意及投诉渠道。
对应用商店、分发平台与小程序平台而言,应进一步强化准入审核、动态巡检和违规处置,尤其对SDK权限调用、后台静默采集、配置文件与功能不一致等高风险点建立规则化检测能力。
对监管部门而言,可在通报基础上持续开展“回头看”,对屡改屡犯、情节严重的行为依法从严处置,同时通过标准指引、合规培训、典型案例等方式提升行业整体治理水平。
五是前景判断:个人信息保护将从“集中整治”走向“常态化高压”。
随着相关法律制度不断落地,专项行动与日常监管协同推进,移动应用合规将更强调全生命周期管理,从需求设计、开发测试、上线发布到运营更新都需留痕可审计。
可以预期,围绕位置、通讯录、设备信息、账号标识符等敏感或高价值数据的采集使用将被更严格规范,“以服务之名行过度采集之实”的空间将进一步收窄。
与此同时,行业也将加速形成合规即竞争力的新共识:透明告知、最小必要、可控可退、可申诉可追责,将成为产品体验的重要组成部分。
个人信息保护事关每个人的切身利益,也关系到数字社会的健康发展。
此次54款应用被通报,既是对违规行为的有力震慑,也为全行业敲响了警钟。
只有各方共同努力,严格落实法律法规要求,才能真正筑牢个人信息安全防线,让数字技术更好地服务于人民美好生活需要。