(问题)国家网络安全通报中心近日发布通报指出,依据《网络安全法》《个人信息保护法》等法律法规,有关检测发现,部分移动应用与小程序个人信息处理的告知、授权、透明度等环节存在不规范,甚至违法违规情形。通报显示,问题主要集中在两上:其一,应用首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等规则,或以默认勾选、默认同意替代“明示同意”;有的隐私政策入口设置不明显、难以找到;还有的处理个人信息前,未用清晰易懂的语言完整告知处理者身份、联系方式、保存期限等关键信息。其二,隐私政策未逐项说明应用(包括委托第三方、嵌入第三方代码或插件)收集使用个人信息的目的、方式与范围,使用户难以判断信息流向与风险边界。被点名的应用覆盖电商、运动健康、教育培训、工具服务及多类平台小程序,反映出移动端个人信息保护仍有短板。 (原因)从治理实践看,问题频发与多种因素叠加有关:一是部分产品在“增长、体验优先”的导向下,把授权提示弱化为默认选项,以降低告知成本换取转化率,忽视个人信息处理应遵循的合法、正当、必要原则。二是小程序与App生态链条长、外部组件多,第三方SDK、插件、统计分析工具广泛嵌入,部分企业对供应链合规审查不到位,隐私条款更新滞后,导致“实际收集”与“政策披露”不一致。三是部分运营主体合规能力不足,隐私政策模板化、概念化,关键要素缺失,未能结合业务场景逐项说明收集目的、范围、使用方式与保存期限。四是内部管理机制不完善,研发、产品、法务、运营协同不足,出现“功能上线快、合规评估慢”的错配。 (影响)个人信息处理规则不透明、授权不规范,会直接影响用户的知情权、决定权与撤回权,并增加过度收集、违规共享、数据泄露等风险。在互联网消费、医疗健康、金融期货、教育学习等场景中,个人信息敏感度较高,一旦被不当使用,可能引发精准骚扰、账户盗用、财产损失,甚至人身安全风险。从行业层面看,此类问题会削弱数字服务的信任基础,推高企业合规成本与经营不确定性;对平台生态而言,也可能造成“责任被稀释”,让第三方组件成为隐蔽的数据通道,增加监管与追责难度。 (对策)针对通报指出的突出问题,业内普遍认为应从“可见、可控、可追溯”三上加快整改与治理:第一,强化首次运行与关键场景的告知,确保隐私政策入口清晰可达、表述准确易懂、信息要素齐全,尤其是处理者身份、联系方式、保存期限、用户权利及行使方式等应明确呈现。第二,严格落实“明示同意”,不得以默认勾选、打包同意替代授权;对超出必要范围的权限申请应提供可选择项,并在用户拒绝授权时保障基础功能可用,避免“不同意就不能用”。第三,建立第三方SDK与插件的准入审查与动态管理机制,清单化披露,逐项说明第三方收集目的、方式、范围与数据去向,并推动最小化采集与分级授权。第四,完善企业内部数据合规治理,将隐私影响评估、版本迭代审查、权限调用监控纳入产品全生命周期;对涉及敏感个人信息的业务加强加密、脱敏、访问控制与日志审计。第五,应用商店和平台方可通过上架审核、风险提示、抽检复核等方式形成合力,推动“技术治理+规则治理”协同落地。 (前景)随着个人信息保护法律体系和配套监管机制完善,移动应用治理将更强调常态化抽检、穿透式追踪和链条化责任落实。可以预期,未来监管将更关注“收集是否必要、告知是否充分、授权是否真实、第三方是否可控”,并对隐私政策与实际行为不一致、对用户选择权设置障碍等问题保持高压态势。对企业而言,合规不再只是更新文本,而是产品设计、数据管理与供应链治理的系统工程;对行业而言,只有把个人信息保护嵌入技术与管理流程,才能在发展数字经济的同时夯实安全与信任基础。
个人信息保护不是“可选项”,而是数字社会运行的基本规则。通报传递出明确信号:任何以便利为由弱化告知、借技术手段模糊边界的做法,都会进入监管视野。只有把用户知情权、选择权落到细处,把数据使用的每一条链路管到实处,才能让技术创新与商业发展在法治轨道上推进。