国家网络安全通报中心29日发布通报称,依据《网络安全法》《个人信息保护法》等法律法规,并按照有关部门开展2025年个人信息保护系列专项行动的部署要求,经公安部计算机信息系统安全产品质量监督检验中心检测,发现54款移动应用存在违法违规收集使用个人信息情形,问题类型较为集中,覆盖小程序与应用商店分发的多类产品,其中停车出行类应用占比较高,反映出部分细分领域在合规治理上仍有薄弱环节。
从问题表现看,此次通报聚焦“规则透明”“告知同意”“最小必要”等关键合规要点:一是隐私规则公示不到位,存在未公开收集使用规则的情况,涉及多款停车相关小程序;二是信息处理说明不完整,未逐一列明收集、使用个人信息的目的、方式与范围,导致用户难以准确判断授权边界;三是权限申请与告知不同步,在请求调用可能获取个人信息的系统权限时未同步说明用途,影响用户作出真实、充分的知情选择;四是同意机制前置不足,出现未征得同意即开始收集的情况;五是超范围、超必要收集较为突出,既包括超出用户授权范围的实际收集,也包括配置文件声明权限超过功能必要、提前索取非当前功能所需权限等问题。
通报还指出,个别应用未向用户提供个人信息相关投诉渠道或功能,影响权利救济。
从原因分析看,部分应用在快速迭代、抢占市场的过程中,合规建设未能同步“前置”。
一些产品在设计阶段未严格落实“目的明确、最小必要”原则,倾向于一次性获取多类权限以换取后续业务扩张空间;部分运营方对小程序与多渠道分发场景的合规要求理解不深,隐私政策模板化、更新滞后,致使告知内容与实际功能不匹配;也不排除个别企业抱有侥幸心理,将合规视作“上线后再补”的流程环节。
此外,第三方SDK接入、数据链条多方参与,若缺乏清单化管理和持续审计,也容易造成权限“越界”或说明“缺位”。
从影响研判看,个人信息违规收集使用不仅直接侵害用户知情权、选择权与个人信息权益,还会带来数据泄露、精准骚扰、账号盗用等现实风险,破坏数字服务生态的信任基础。
对企业而言,合规缺失将引发下架、通报、行政处罚等综合性后果,进而影响品牌信誉与商业合作;对行业而言,若停车出行等高频民生应用长期存在“过度要权限”的惯性做法,将推高公众对数字化服务的疑虑,拖累智慧城市、便民服务等场景的健康发展。
从对策路径看,治理需要“监管推动、平台把关、企业自查、社会共治”协同发力。
监管层面,应继续以专项行动为抓手,强化检测通报与闭环整改,对屡改屡犯、问题突出的主体依法从严处置,推动形成可复制的合规检查指标体系。
平台层面,应用商店、分发渠道与小程序平台要压实审核责任,完善隐私政策、权限调用、SDK清单等上架前核验,并对更新版本开展持续抽检;对涉及敏感权限的产品,应建立更严格的分级审核和风险提示机制。
企业层面,要把个人信息保护纳入产品全生命周期管理:隐私政策做到“能看懂、对得上、说得清”,对每一项信息收集明确目的与必要性;权限申请坚持“用时再要、逐项告知、可撤可管”,不得以不必要权限作为提供服务的前提;同时完善投诉受理、查询更正、删除撤回同意等权利通道,确保用户权益可触达、可操作。
技术层面,可通过最小化采集、边缘处理、加密存储、访问控制与审计追踪等措施降低数据风险,并加强对第三方组件的合规评估与动态监测。
从前景判断看,随着个人信息保护法律制度不断落地,监管执法与行业标准将更趋细化,企业合规能力将成为产品竞争力的重要组成部分。
可以预期,围绕高频民生服务、出行停车、工具类应用等领域的权限治理和数据处理透明度要求将进一步提升,过度采集、默认勾选、强制授权等做法生存空间将持续收窄。
对守法经营者而言,合规整改将推动服务更加规范、体验更加可信,也有助于形成良性竞争环境。
此次通报既是监管利剑出鞘的警示,也是数字经济健康发展的必经阵痛。
在数据成为核心生产要素的今天,唯有平衡创新发展与隐私保护,才能筑牢数字时代的信任基石。
当每一款应用都学会对用户权利保持敬畏,互联网生态才能真正实现高质量发展。