个人信息保护的监管执法力度不断加大。国家网络安全通报中心消息显示,依据《网络安全法》《个人信息保护法》等法律法规,按照中央网信办、工业和信息化部、公安部、市场监管总局关于2025年个人信息保护专项行动的要求,经国家计算机病毒应急处理中心检测,72款移动应用被发现存违法违规收集使用个人信息等问题。 违规问题主要集中在两个环节。一是"告知与同意"不规范。部分应用在首次运行时未通过弹窗等方式提示用户阅读隐私政策,甚至采用默认勾选、默认同意等方式获取授权;隐私政策入口不清晰,难以访问;在处理个人信息前未以显著方式告知处理者身份、联系方式、保存期限等关键信息。二是第三方信息处理缺乏透明度。应用在隐私政策中未逐一列出第三方或嵌入插件收集使用个人信息的目的、方式、范围,导致用户难以判断信息去向与风险。被通报应用涉及生活服务、金融资讯、工具软件、学习娱乐等多个领域,既有App也有小程序,反映出个人信息保护存在行业共性问题。 问题根源在于四个上。首先,合规建设与业务扩张不同步。移动产品迭代快、功能模块多,若内部合规评估、数据梳理、授权管理等基础工作不到位,容易在上线、更新、接入第三方SDK时出现告知不充分、授权不规范等问题。其次,"最小必要"原则落实不足。一些产品在功能实现与商业化需求间把握不当,将不必要的权限申请、信息采集前置化、默认化,削弱了用户的自主选择权。再次,第三方治理链条较长。应用接入广告投放、统计分析、客服风控等第三方能力后,若未对其数据处理活动进行审查、披露和监管,容易出现隐私政策描述笼统、责任边界模糊等情况。最后,部分企业法治意识薄弱,对个人信息处理的合法性、正当性、必要性审查不到位。 这些问题的影响不容忽视。若告知不清、同意不明、第三方使用不透明,将削弱公众对数字服务的信任,抬高用户维权成本,为电信网络诈骗、精准诱导营销、账号盗用等风险埋下隐患。从产业看,违规行为扰乱公平竞争秩序,形成"谁更敢采集谁更占便宜"的逆向激励,不利于行业健康发展。从治理看,个人信息流动边界不清,会增加数据安全与公共安全风险,影响数字经济规范发展。 通报表达出"依法监管、常态治理"的信号。对个人信息处理者而言,应以问题清单为抓手,尽快补齐合规短板。一是优化首次运行与关键功能触发时的告知方式,确保隐私政策便捷可访问、重点条款清晰可读,杜绝默认同意、捆绑授权;二是严格落实"最小必要"原则,对权限申请、信息采集、保存期限、使用目的逐项评估,与核心功能相匹配,并提供可撤回、可管理的授权选项;三是强化第三方治理,对接入的SDK、插件、委托处理活动建立审查、评估、备案与动态监测机制,在隐私政策中逐项披露第三方的收集使用目的、方式和范围,明确责任边界;四是完善内部合规体系,推动"研发—法务—安全—运营"协同,把合规要求嵌入产品设计、版本发布、应急响应全流程。对应用商店与平台方而言,应加强上架审核、抽检复核和整改闭环管理,形成"发现—通报—整改—复查—惩戒"的治理链条。 随着个人信息保护专项行动加快,监管将更注重精准执法与协同治理,覆盖范围将从单一权限问题延伸到第三方数据流向、算法推荐、未成年人保护、跨境数据等更复杂领域。可以预见,合规将成为移动互联网产品的基础门槛,企业需在提升服务体验与守住个人信息安全底线间建立清晰边界。对公众而言,个人信息保护意识也将继续增强,用户对授权弹窗、隐私条款、权限调用的审视将更趋理性,倒逼产品以透明、克制、可控的方式提供服务。
在数字经济与隐私保护的平衡中,这场持续三年的专项整治已从单点突破迈向系统重构。当每一款应用都需在用户权益与商业价值间作出选择,我们迎来的不仅是更清朗的网络空间,更是对"科技向善"的集体践行。下一个治理周期,考验的将是全社会共建共治的智慧与决心。