近期,公安部计算机信息系统安全产品质量监督检验中心对移动互联网应用个人信息保护情况开展检测。
通报显示,54款移动应用存在违法违规收集使用个人信息情形,涉及微信小程序、支付宝小程序及部分主流应用商店上架应用。
相关问题涵盖信息收集规则公开、权限申请告知、授权同意机制、数据最小必要原则落实以及用户维权渠道设置等多个环节,反映出部分应用在合规管理上仍存明显短板。
问题:通报所列问题类型较为集中。
一是规则透明度不足,部分应用未公开收集使用个人信息的规则,导致用户难以知悉数据流向与用途。
二是告知义务履行不到位,存在未逐一列明收集使用目的、方式、范围,或在申请权限时未同步告知目的等情况。
三是同意机制不规范,有的在征得用户同意前即开始收集个人信息。
四是“越界”收集较突出,包括实际收集信息超出用户授权范围、超出功能必要范围,或在配置文件中声明的权限超出必要范围。
五是权限索取前置化,有的提前要求用户开启与当前功能无关的权限。
六是用户救济渠道缺失,部分应用未提供个人信息相关投诉渠道或功能。
值得注意的是,被点名的应用中停车服务类小程序占比较高,显示民生高频使用场景成为个人信息治理的重点领域之一。
原因:综合来看,违规问题呈现“产品驱动—合规滞后”的矛盾。
一方面,部分应用为追求用户增长、精准营销或业务扩张,倾向于通过广泛采集信息提升画像能力,形成“多要数据以备后用”的惯性。
另一方面,小程序与App生态链条较长,涉及开发者、运营方、第三方SDK、平台审核等多主体,合规责任在一些环节被弱化,隐私政策模板化、权限弹窗形式化、数据治理制度不健全等问题相互叠加。
此外,少数开发团队法律合规能力不足,对“最小必要”“单独同意”“明示告知”等要求理解偏差,导致在产品迭代中不断累积风险。
影响:个人信息保护事关群众切身利益和社会治理基础。
违规收集使用行为不仅增加信息泄露、精准诈骗、账户被盗用等风险,也会削弱用户对数字服务的信任,进而影响平台生态的长期发展。
从行业层面看,若缺乏统一规范与严格执行,容易形成“劣币驱逐良币”的不正当竞争:守法合规的企业因限制数据收集而在短期竞争中处于不利,最终损害行业创新质量与可持续性。
从治理层面看,此次通报延续依法监管、以查促改的导向,有助于推动企业将个人信息保护从“被动整改”转向“前置设计”。
对策:下一步治理可从“监管—平台—企业—用户”四端协同发力。
监管方面,应在专项行动框架下强化抽检通报、责令整改和复测机制,对屡查屡犯、情节严重的依法从严处置,并推动标准化指引落地,明确小程序等轻量化形态在隐私政策、权限调用、日志留存等方面的具体要求。
平台方面,应用商店与小程序平台要压实上架审核与动态巡检责任,重点识别“权限过度”“弹窗告知不清”“第三方SDK违规调用”等高风险点,完善下架、限期整改、黑名单等处置闭环。
企业方面,应落实“最小必要”与“目的限定”,把隐私保护纳入产品全生命周期管理:优化隐私政策可读性,逐项说明收集目的与使用范围;将权限请求与具体功能绑定,避免“一揽子授权”;建立第三方组件准入与审计制度,防止外部工具成为数据外流通道;同时设置明确便捷的投诉入口与账号注销、信息删除等权利实现路径。
用户方面,可通过查看应用权限、谨慎授权、定期清理不常用应用、优先使用口碑较好的正规渠道下载等方式降低风险,发现异常收集行为及时向平台或监管渠道反映。
前景:随着《网络安全法》《个人信息保护法》等法律法规持续实施,配合专项行动常态化推进,移动互联网领域的个人信息治理将进一步趋严,透明告知、最小必要与可追责将成为产品上线的硬约束。
未来一段时期,民生服务类高频应用、涉及位置与支付等敏感信息的场景仍将是监管关注重点。
可以预期,合规能力将逐步成为企业核心竞争力之一,行业也将从“拼数据”转向“拼服务、拼安全、拼治理”,推动数字经济在更可信的基础上发展。
个人信息是数字时代最宝贵的资产,其保护直接关乎每个用户的切身利益。
本次通报的54款违规应用虽然数量有限,但所反映的问题具有典型性和普遍性。
这警示我们,在享受移动互联网便利的同时,必须筑牢个人信息保护的防线。
相关企业应以此为鉴,主动拥抱合规,用户也要提高警觉,积极举报违规行为。
只有形成企业自律、行业规范、政府监管、用户参与的良性循环,才能真正营造安全、清朗的网络环境,让个人信息保护成为互联网发展的有力支撑。