近期,国家网络安全通报中心发布关于移动应用个人信息合规问题的通报,指出经检测有72款移动应用存在违法违规收集使用个人信息情况。
通报显示,问题主要集中在两类:一是应用在首次运行时未通过弹窗等显著方式提醒用户阅读隐私政策及收集使用规则,或以默认勾选、默认同意等方式替代用户明示授权,同时存在隐私政策入口不易查找、告知内容不完整不清晰等情形;二是隐私政策未对应用及其委托第三方、嵌入第三方代码插件等逐项说明个人信息收集使用的目的、方式与范围,导致用户难以准确知悉信息去向与用途。
相关工作依据《网络安全法》《个人信息保护法》等法律法规,并按照2025年个人信息保护系列专项行动部署推进。
问题:告知不充分与透明度不足仍是突出短板 从通报所列情形看,部分应用在“告知—同意”这一个人信息处理的前置环节上存在明显缺口。
未以显著方式提示、将同意设置为默认选项、隐私政策难以访问等做法,实质上弱化了用户的知情权与选择权。
与此同时,第三方收集使用信息的说明不清,容易形成“看得见应用、看不见链条”的治理盲区,使用户难以判断哪些信息被谁获取、用于何种目的、保存多长时间以及如何退出或更正删除。
原因:商业模式驱动、合规能力不足与链条治理复杂叠加 一方面,部分产品过度依赖数据要素进行增长与变现,在登录、推荐、广告投放、风控等场景中倾向于扩大信息采集范围,并以“提升体验”“便捷服务”等笼统表述替代必要的逐项说明。
另一方面,中小开发者在合规制度、隐私工程建设、第三方SDK管理等方面能力不足,对法律要求理解不透、落实不到位,导致隐私政策内容模板化、授权机制形式化。
再加上移动应用生态中插件、SDK、外部服务接口数量多、更新频繁,若缺少清单化管理与持续评估,极易出现“政策写不全、代码控不住、责任说不清”的问题。
影响:损害用户权益,增加安全风险,扰乱行业秩序 个人信息处理不透明,会直接削弱公众对数字产品的信任基础,诱发过度授权、被动授权乃至信息被滥用的风险。
对企业而言,违规不仅带来整改成本、渠道下架风险和品牌声誉损失,也可能触及更严厉的行政处罚与民事责任。
同时,若大量应用以不规范方式采集信息,可能形成“劣币驱逐良币”的竞争环境,挤压守法合规企业的经营空间,不利于数字经济健康发展。
对策:以专项行动为牵引,推动“可感知、可选择、可追溯”的合规闭环 治理个人信息违规收集使用,需要监管、平台、企业协同发力。
其一,强化“首次运行告知”刚性要求,确保隐私政策入口清晰可达、授权弹窗提示明确,杜绝默认勾选、捆绑同意等变相强迫授权做法,做到“不同意不影响基本功能”的边界清晰。
其二,提升隐私政策透明度与可读性,按业务场景逐项说明收集信息的目的、方式、范围、保存期限、共享对象及用户权利救济路径,避免概念堆砌和模糊表述。
其三,建立第三方组件全生命周期管理机制,对SDK、插件、外包服务实行清单化备案与最小必要调用,做到来源可查、用途可控、风险可评。
其四,应用分发平台与小程序生态应完善准入审核与抽检机制,对高风险权限调用、频繁变更组件、投诉集中产品提高审查强度,并对整改结果形成闭环反馈。
前景:合规将成为行业“基本盘”,治理重心向精细化、持续化转变 随着个人信息保护专项行动持续推进,监管将更注重常态化抽检与问题复发治理,推动从“事后通报”向“事前预防、过程控制、结果问责”延伸。
可以预期,隐私合规将不再只是文案层面的“写清楚”,而是产品设计、权限调用、数据存储与共享全链条的“做规范”。
在这一趋势下,企业要将合规能力建设纳入产品研发与经营管理体系,通过隐私工程、数据分级分类、最小必要原则落地等方式,提升长期竞争力。
个人信息是数字时代最宝贵的资产,保护好每一个用户的隐私权是建设清朗网络空间的必然要求。
这次对72款APP的通报曝光,既是对违规行为的严肃问责,也是对整个行业的一次深刻警示。
随着《个人信息保护法》等法律制度的不断完善和执法力度的持续加强,个人信息保护的法治化、规范化水平必将进一步提升。
只有当每一个市场参与者都将用户隐私保护放在首位,才能真正构建起安全、可信、健康的数字生态,让广大网民在享受数字便利的同时,也能获得充分的安全保障。