近期,国家计算机病毒应急处理中心依据《网络安全法》《个人信息保护法》等法律法规要求,按照有关部门开展2025年个人信息保护系列专项行动的部署,对移动互联网应用开展检测。
结果显示,共有72款移动应用存在不同程度的违法违规收集使用个人信息情形,涉及移动端应用与部分小程序等形态。
有关情况的公开通报,体现了主管部门对个人信息保护突出问题的持续治理态势。
一是问题表现具有典型性和隐蔽性。
从通报内容看,部分应用在首次运行时未通过弹窗等明显方式提示用户阅读隐私政策或收集使用规则,有的以默认选择同意、弱提示等方式替代明示同意;还有的隐私政策入口设置不明显、难以访问,或对个人信息处理者的身份信息、联系方式、保存期限等关键事项告知不完整。
另一类较为集中问题是隐私政策未逐一列出应用(含委托第三方或嵌入第三方代码、插件)收集使用个人信息的目的、方式、范围等,导致用户难以了解信息流向与使用边界,影响知情权和选择权的有效实现。
值得关注的是,上述问题并非单一环节瑕疵,而是从“告知—同意—使用—管理”链条上暴露出的合规短板。
二是问题成因折射行业生态的多重压力与治理难点。
一方面,部分产品在快速迭代、追求增长过程中,倾向于将数据获取作为“默认配置”,以提升画像精度、推荐效果或商业转化,忽视了“最小必要”“目的限定”等基本原则。
另一方面,移动应用生态链条长、参与主体多,广告投放、统计分析、SDK插件等第三方组件嵌入普遍,一旦缺乏严格的准入评估、权限控制与持续审计,容易出现“开发者不完全掌握、用户难以感知”的信息采集风险。
此外,一些中小开发主体合规能力薄弱,隐私政策照搬模板、更新滞后、与实际功能不匹配,导致“文本合规”与“行为合规”脱节,最终触发违法违规风险。
三是对用户与行业的影响需要系统评估。
对个人而言,不规范的告知与同意机制可能造成过度授权与无感采集,进而带来骚扰营销、精准诈骗、账号被盗用等衍生风险;对未成年人、老年人等群体,因识别能力与防范能力相对不足,潜在危害更需警惕。
对企业而言,违规处理个人信息不仅可能面临整改、下架、行政处罚等后果,还会削弱用户信任与品牌信誉,增加合规成本与经营不确定性。
对行业生态而言,若“收集越多越好”的路径依赖不被纠偏,将扭曲竞争秩序,压制以隐私友好、合规设计取胜的创新,影响数字经济高质量发展基础。
四是对策路径应坚持“依法治理+技术治理+共治共享”并举。
监管层面,应持续聚焦高频敏感权限、第三方SDK治理、隐私政策可达性与可读性等关键点,强化抽检通报与闭环整改,推动“发现—处置—复核—问责”机制常态化。
平台层面,应用商店、分发平台及小程序平台要落实审核责任与技术管控,完善权限调用透明提示、隐私合规检测、SDK备案与风险拦截机制,避免“带病上架”“整改后反弹”。
企业层面,应将个人信息保护内嵌到产品设计与研发流程,做到权限最小化、默认不收集或少收集、用途边界清晰,并定期开展第三方组件安全审计;对于涉及定位、通讯录、相册、麦克风等敏感权限的功能,应提供清晰的触发场景说明与可撤回选择。
用户层面,建议通过官方渠道下载应用,安装后及时检查权限设置,谨慎授予与核心功能无关的权限;对长期不用的应用及时清理,发现异常弹窗、过度索权等情况可保留证据并向有关平台和主管部门反映。
五是前景判断:个人信息保护将迈向更精细、更可验证的治理阶段。
随着专项行动深入推进,监管规则将更加聚焦实际行为与数据流向,推动从“纸面合规”转向“可证明合规”。
同时,隐私计算、端侧处理、权限分级与透明化提示等技术手段的应用,有望在保障功能体验与保护个人信息之间形成更优平衡。
可以预期,合规水平将成为应用产品能否长期获得用户与市场认可的重要门槛,也将成为数字服务竞争力的一部分。
个人信息是数字时代的重要资产,保护好用户隐私是互联网企业必须承担的社会责任。
此次通报的72款违规应用虽然数量有限,但反映的问题具有普遍性。
这提醒我们,在享受数字便利的同时,必须筑牢个人信息保护的防线。
只有监管部门、企业、平台和用户形成合力,才能营造更加安全、规范的移动应用生态,让技术进步真正造福人民生活。