近期,公安部计算机信息系统安全产品质量监督检验中心依据《网络安全法》《个人信息保护法》等法律法规,并按照相关部门关于开展2025年个人信息保护系列专项行动的部署要求,对部分移动应用开展检测。
结果显示,54款移动应用存在不同类型的违法违规收集使用个人信息问题,其中不乏停车服务类小程序及少量工具、学习类应用。
通报既明确了问题类型,也向行业传递出“以最小必要为边界、以明示告知和有效同意为前提”的监管导向。
一、问题:告知不充分、授权不规范、收集不必要等现象并存 从通报梳理的类型看,问题呈现出“前端告知缺失”与“后台收集越界”叠加的特征:一是部分应用未公开个人信息收集使用规则,用户难以知悉数据从何而来、用于何处。
二是对收集使用个人信息的目的、方式、范围未逐项列明,告知内容笼统,无法满足“充分告知”的要求。
三是在申请可收集个人信息的权限时,未同步明确告知开启目的,导致授权行为缺乏必要信息支撑。
四是存在在征得用户同意前即开始收集的情况,触碰个人信息处理活动的基本边界。
五是部分应用实际收集信息超出用户授权范围,或超出相关功能的必要范围,甚至在配置文件中声明的权限就已超过功能所需。
六是出现提前要求用户开启与当前功能无关权限、以及未提供个人信息相关投诉渠道或功能等问题,影响用户行使查询、更正、删除、撤回同意等权利。
总体看,上述问题集中指向个人信息处理活动的关键环节:告知是否清晰、同意是否有效、权限是否必要、收集是否最小化、救济渠道是否畅通。
这些环节一旦缺位,就容易将“便捷服务”变为“过度索取”,削弱用户对数字服务的信任基础。
二、原因:合规能力不足与商业冲动交织,治理链条仍有短板 从行业实践看,违规现象的形成往往并非单一因素所致。
其一,部分开发运营者对法律规范理解不深,把“隐私政策上线”简单等同于“合规完成”,忽视了权限弹窗告知、功能与数据的必要性匹配、第三方SDK治理等细节要求。
其二,一些应用存在“先要权限再说”的产品设计惯性,以降低交互成本、提升留存转化,却忽略了最小必要原则。
其三,部分服务场景链条较长,涉及停车场运营方、平台方、聚合服务方等多主体,数据流转复杂,责任边界不清易导致“谁来告知、谁来负责、谁来兜底”模糊。
其四,小程序、应用商店等分发渠道的上架审核、动态抽检与持续监管仍需进一步强化,与快速迭代的产品节奏相比,治理能力和资源投入存在不匹配。
三、影响:损害个人权益与市场秩序,增加数据安全风险 个人信息是公民权益的重要组成部分。
告知不足、超范围收集会削弱用户对个人数据去向的掌控,增加被精准画像、过度营销甚至电信网络诈骗等风险暴露面。
从市场层面看,合规水平参差不齐会造成“守规矩者成本更高、不守规矩者获利更快”的不公平竞争,扰乱数字服务领域的健康生态。
对企业而言,违规不仅可能面临整改、下架、处罚等后果,也会带来品牌信誉受损和用户流失,长期看不利于行业可持续发展。
四、对策:压实主体责任,强化全链条合规与用户可感知整改 针对通报所指问题,整改应突出“能落地、可验证、可持续”。
首先,开发运营者需对照法律法规和相关标准,完善隐私政策与收集使用规则,并以清晰、易懂、可逐项核验的方式呈现,做到目的明确、范围清楚、方式透明。
其次,重塑权限管理与交互流程,做到与当前功能强关联、逐项弹窗告知、不同意不强制、拒绝后仍能提供非必要功能外的基础服务。
再次,开展数据最小化与必要性评估,清理“历史遗留权限”、减少默认开启、严控后台调用,尤其要加强第三方组件、SDK的准入评估与持续监测,建立可追溯的数据流转台账。
与此同时,完善用户权利保障机制,提供便捷的投诉与反馈渠道,明确响应时限与处置流程,让用户能够方便地查询、撤回同意和删除信息。
对平台与分发渠道而言,应强化上架审核、抽检巡查和违规处置,形成“发现—整改—复测—公开”的闭环,并推动建立更透明的合规信息披露机制。
五、前景:个人信息保护将持续趋严,合规将成为产品竞争力 随着个人信息保护系列专项行动深入推进,监管将更注重“可感知、可验证”的合规效果,既看文本承诺,也看实际行为;既查收集端,也查传输、存储、共享与删除等全流程。
可以预期,围绕权限收集、有效同意、最小必要、第三方治理等方面的检查仍将保持常态化,违规成本将进一步显性化。
在此背景下,合规不再只是“底线要求”,也将逐步成为产品可信度和服务质量的重要组成部分。
能否把个人信息保护内嵌到产品设计、研发测试、上线运营和供应链管理中,将直接影响企业的长期竞争力。
在数字化生活与隐私安全的平衡木上,监管的每一次亮剑都是对技术伦理的校准。
此次通报既是对违法者的警示,亦是对行业自律的呼唤。
当技术进步与法治建设同频共振,方能筑牢数字时代的信任基石,让亿万网民真正享有“可控的便利”。