近期,工业和信息化部依据《网络安全法》《个人信息保护法》等法律法规,通报一批存在违法违规行为的移动互联网应用程序(APP)及软件开发工具包(SDK)。
从通报内容看,此轮整治延续“专项治理、压实责任、结果导向”的监管思路,直指个人信息保护与权限管理两类突出风险,覆盖社交、工具、交通服务、软件开发等多类应用场景,具有较强的行业指向性与警示意义。
一是问题集中暴露在“收集什么、怎么收集、为何收集、如何使用”四个关键环节。
部分应用存在违规收集、超出必要范围收集个人信息,甚至出现违规使用个人信息等情形。
个别社交类应用同时触及多项合规红线,反映出在数据最小必要原则、用途限定原则和用户知情同意机制方面仍存在明显缺口。
与此同时,“强制、频繁、过度索取权限”在工具类与交通服务类应用中仍较为突出,尤其是与核心功能关联度不高的权限被反复触发申请,既削弱了用户的自主选择权,也客观上增加了敏感信息被滥用或泄露的概率。
二是SDK环节的合规短板值得高度关注。
相较单一APP,SDK作为上游基础组件,一旦在个人信息收集范围、调用规则或信息公示方面存在缺陷,容易形成“链条式风险”:一方面,SDK自身可能存在违规收集或超范围收集问题;另一方面,下游应用在集成过程中如未充分评估、未做必要的合规配置,可能连带出现隐蔽性更强、影响面更广的合规漏洞。
通报中提到的“信息公示不到位”等问题,折射出行业在透明度建设、第三方组件治理、责任边界划分等方面仍需补课。
三是原因层面,问题反复出现与多重因素叠加有关。
其一,部分企业合规意识不足,将数据视为“低成本资源”,在产品增长、广告投放、用户画像等利益驱动下,倾向于“多采集、多留存、多调用”,忽视了必要性与正当性边界。
其二,一些应用在产品设计阶段缺乏“隐私保护内嵌”理念,未建立覆盖需求评审、权限管理、隐私政策更新、第三方组件评估的全流程机制,导致上线后靠“补丁式整改”。
其三,移动互联网生态复杂,开发周期短、外包与组件化普遍,部分团队对SDK合规管理不到位,供应链式风险被低估。
其四,用户侧对权限提示与隐私条款往往难以逐字辨析,企业利用信息不对称“以默认换同意”的空间仍然存在。
四是影响方面,此轮通报既是对违法违规行为的及时纠偏,也是在释放治理常态化信号。
对用户而言,个人信息一旦被过度采集或被不当使用,可能引发骚扰营销、账号被盗、精准诈骗等现实风险,权益受损具有隐蔽性与持续性。
对行业而言,违规行为扰乱公平竞争秩序,迫使守规企业在成本与效率上承压;同时也损害数字服务的社会信任基础,影响产业长期健康发展。
对监管而言,持续通报与后续处置形成闭环,有利于推动形成“谁收集谁负责、谁使用谁担责、谁集成谁审查”的治理格局。
五是在对策与整改路径上,通报强调限期整改与后续依法处置,体现出“发现问题—督促整改—持续追责”的监管闭环。
面向企业,合规整改应从“能否不收集、能否少收集、能否更透明”三个维度落地:一是严格落实最小必要原则,对权限调用与数据采集进行功能必要性评估,做到“与功能相匹配、与场景相一致”;二是优化用户授权机制,避免以频繁弹窗、强制授权等方式变相剥夺选择权,提升授权提示的可理解性与可操作性;三是健全个人信息处理清单与隐私政策公示,明确收集目的、方式、范围、保存期限及共享对象,做到清晰、可查、可追溯;四是加强第三方SDK治理,建立引入评估、版本管理、定期审计与异常监测机制,对信息公示、数据流向、接口调用进行可视化管控;五是完善内部合规责任体系,推动研发、产品、运营、法务协同,把合规要求前置到产品设计与迭代流程。
六是前景判断上,随着相关法律法规持续落地和专项整治常态化推进,移动互联网个人信息保护将从“集中整治”走向“精细治理”,监管重点或将更加聚焦高风险场景、关键链条与技术隐蔽点。
未来一段时期,围绕权限管理、SDK供应链、数据跨主体共享、算法与个性化推荐等领域的合规要求有望进一步细化,企业“以合规促质量、以透明换信任”的竞争逻辑将更加清晰。
对于行业而言,合规不应被视作负担,而是提升产品可信度与长期竞争力的基础能力。
在数字经济蓬勃发展的今天,个人信息保护已成为衡量社会文明程度的重要标尺。
工信部此次通报既是对违规企业的警示,也是对行业规范的引导。
保护个人信息安全需要监管部门、企业、用户多方共同努力,构建起"法律规范、行政监管、行业自律、技术保障、公众监督"的综合治理体系,才能真正实现数字经济发展与个人信息保护的双赢局面。