近期,国家网络与信息安全信息通报中心发布通报称,经国家计算机病毒应急处理中心检测,72款移动应用存违法违规收集使用个人信息情况;检测时间为2025年12月26日至2026年1月20日。通报反映的问题类型较为集中,既涉及合规告知义务,也涉及数据流转、身份认证与商业化使用边界等关键环节,引发社会对移动互联网个人信息保护的再度关注。 问题:多类违规手法交织,触及“知情同意”与“最小必要”底线。通报显示,部分应用在首次运行时未以弹窗等显著方式提示用户阅读隐私政策等规则,导致用户在信息收集前难以充分知晓;部分应用隐私政策未逐一说明包括第三方代码、插件在内的个人信息收集目的、方式与范围,规则不透明;还有应用在向第三方提供个人信息时,未经用户同意,且未进行匿名化等处理;在身份核验上,个别应用将人脸识别作为唯一验证方式,未向不同意采集人脸信息的用户提供其他合理便捷的替代方案;同时,一些应用未显著标示且未经用户同意,将用户搜索等信息用于定向推送或精准营销,且未提供关闭功能选项。这些问题指向同一核心:部分应用在数据收集、使用与共享环节未严格落实法定边界和用户权益保障要求。 原因:商业利益驱动叠加合规能力不足,第三方链路成为风险放大器。业内分析认为,移动应用生态中广告投放、用户画像、推荐分发等业务与数据高度耦合,部分运营主体在增长压力下倾向于扩大数据获取范围,形成“多采集、多共享、多变现”的路径依赖。另外,一些中小开发者合规管理能力不足,隐私政策与权限申请流于形式,未能对嵌入的第三方SDK、插件及外部接口开展充分审计与分级授权管理,导致数据出域、过度收集等问题难以及时发现和纠正。,人脸识别等生物识别信息敏感度高,一旦被滥用或泄露,可能带来更难逆转的安全风险,部分场景“以便利替代必要”的倾向需要引起重视。 影响:个人权益受损与行业信任受挫并存,安全风险向多终端延伸。对个人而言,信息被过度收集或不当共享,可能引发骚扰营销、精准诈骗、账号被盗等连锁后果;对行业而言,隐私合规不到位将削弱用户信任,抬高平台治理成本,影响数字经济健康发展。更需关注的是,信息风险已从手机应用延展至路由器、摄像头、门锁等智能家居终端,家庭网络一旦被弱口令或未更新固件“攻破”,可能形成个人信息外泄的入口,甚至带来现实空间安全隐患。 对策:监管通报促整改,个人自查要落到“设备—账号—行为”三条线。专家建议,治理需坚持“源头合规+链路审计+持续监督”。应用运营者应完善隐私政策与权限管理,严格落实明示告知、逐项列明、单独同意、可撤回等要求,对第三方SDK开展清单化管理与最小化授权,建立数据出境与共享审核机制;涉及人脸识别的,应坚持非唯一性、必要性与替代路径原则,提供不采集人脸信息也可完成业务的合理方式。对个人用户而言,可从以下上开展系统化自查与加固: 一是网络设备先“改密码、勤更新”。将路由器管理密码改为非默认强密码;智能摄像头、门锁、门铃等设备及时更换出厂密码;定期为智能家居设备更新固件与系统补丁,减少已知漏洞被利用的概率。 二是关键账号用“强口令+两步验证”。邮箱、网银、云盘等重要账户启用“密码+验证码”等双因素认证;避免家庭成员继续使用“123456”等弱密码;重要文件与移动存储介质可设置密码或加密,降低丢失后的信息暴露风险。 三是网络行为坚持“核验链接、谨防诱导”。网购支付时确认网址以“https”开头并显示安全标识;不点击来源不明链接,遇到“中奖”“退款”“验证码”等信息先核实再处理,必要时直接拨打官方客服进行确认;定期清理浏览器缓存与应用数据,减少长期沉积的信息被滥用空间。 此外,若发现个人信息可能泄露,可采取“先止损、再取证、后维权”的处置顺序:尽快退出异常登录设备并冻结有关账户;对同手机号注册的关联账户统一更换高强度密码;保存短信、邮件、页面截图等证据并记录时间与途径;通过相关渠道投诉举报;造成财产损失的及时报警并依法维护权益。 前景:从“事后通报”走向“事前合规”,以制度与技术协同提升安全韧性。受访人士认为,随着个人信息保护相关法律法规与标准体系完善,移动应用治理将更加注重前置评估与持续审计,第三方组件透明化、权限精细化、数据用途可追溯将成为行业趋势。同时,公众安全意识提升将倒逼服务提供者优化隐私交互与合规流程,推动形成“企业守边界、平台强治理、用户会防护”的良性生态。未来,围绕敏感信息处理、定向推送开关、替代性认证、跨端设备安全等领域的规范化建设有望更加强。
在数字时代,保护个人信息需要各方共同努力。从企业规范运营到个人安全意识的提升,构建完善的防护体系,才能在享受数字化便利的同时确保信息安全。