近期,围绕个人信息保护系列专项行动要求,相关检测机构对移动应用个人信息收集使用行为开展核验,发现54款移动应用存在违法违规收集使用个人信息情形,并予以通报。
从通报所列问题看,违规类型覆盖“告知不充分、同意不规范、收集不必要、权限不匹配、救济不完善”等多个环节,其中停车服务相关小程序占比较高,反映出生活服务类应用在合规建设上的薄弱环节仍较突出。
一是问题表现更趋多样,但核心仍是“透明度不足”和“必要性缺失”。
通报显示,有的应用未公开收集使用规则,用户难以知悉信息流向与处理方式;有的未逐一列明收集个人信息的目的、方式和范围,导致授权难以做到真实、充分;还有的在申请调用权限时未同步说明目的,或在征得同意前即开始收集,触碰法律红线。
更值得关注的是,部分应用存在超出用户授权范围或超出业务功能必要范围收集信息的问题,个别应用甚至出现配置文件声明权限超出功能需要、提前索取非当前功能所需权限等情形。
与此同时,部分应用未提供个人信息相关投诉渠道或功能,削弱了用户维权与纠错机制。
二是原因层面,既有技术与运营惯性,也有合规治理不到位的现实因素。
其一,部分生活服务类应用依赖位置、设备识别码、通讯录等敏感或高风险数据来提升“匹配车位、优化推荐、便捷登录”等体验,但在“最小必要”边界上把握不严,容易形成“先要权限再谈服务”的路径依赖。
其二,小程序生态迭代快、入口多、服务链条长,开发、运营、外包与第三方SDK接入等环节复杂,一旦缺少全流程合规评估与持续监测,便可能出现“文档合规、实际越界”或“版本更新引入新增权限”的问题。
其三,部分运营主体对法律要求理解不到位,把用户勾选视为“免责依据”,忽视了“告知应具体、同意应明确、收集应必要、使用应受限”的系统要求;而在投诉受理、纠错删除、撤回同意等机制建设上投入不足,也使问题更难被及时发现与纠正。
三是影响方面,违法违规收集使用个人信息不仅直接损害个人权益,也会对数字经济秩序与行业信任造成冲击。
对个人而言,信息被过度采集、关联画像或不当共享,可能带来骚扰营销、精准诈骗、账号被盗用等风险,尤其在位置轨迹等数据被滥用时,潜在危害更为隐蔽。
对企业而言,合规缺失会带来监管处置、下架整改、声誉受损及用户流失等连锁反应,并增加后续治理成本。
对行业生态而言,若“过度索权”“默认同意”等不良做法屡禁不止,将削弱公众对移动互联网服务的信任基础,影响正常创新和公平竞争。
四是对策上,应推动形成“监管从严、平台尽责、企业自律、用户可感”的闭环治理。
首先,开发运营主体应对照法律法规与专项行动要求,开展自查自纠,重点整改告知文本不清晰、权限申请不对应、超范围收集与默认勾选等问题,建立版本发布前的合规评审机制,做到“目的明确、范围最小、期限可控、过程可查”。
其次,要以“分场景、分功能”方式进行权限管理,能本地处理的不上传,能用匿名化或去标识化实现的不过度采集,坚决杜绝“与当前服务无关的前置索权”。
再次,完善用户权利保障机制,提供清晰可达的投诉渠道、撤回同意入口及查询更正删除路径,让用户能够真正管理自己的信息。
与此同时,应用分发平台和小程序平台应强化上架审核与持续抽检,对多次违规或整改不到位的主体加大处置力度,推动第三方SDK治理、权限调用审计与数据出境合规等重点领域规范化。
行业协会、检测机构也可通过标准指引与风险通报,提升中小开发者合规能力。
五是前景判断,随着个人信息保护系列专项行动深入推进,移动应用合规将从“被动整改”走向“常态治理”,并进一步向精细化、工程化演进。
一方面,监管将更加关注高频民生服务场景、典型应用类别以及第三方组件链路,推动“全链条可追溯”的治理要求落地;另一方面,企业也将更重视“合规即竞争力”,通过隐私计算、端侧处理、权限最小化与透明化告知等手段,在保障用户权益的前提下提升服务质量。
可以预期,谁能把合规做成产品能力,谁就更能赢得用户长期信任与市场稳定增长。
此次通报既是警示也是契机,标志着我国个人信息保护进入精准治理新阶段。
在数字经济蓬勃发展的今天,唯有平衡创新发展与安全底线,方能实现技术红利与公民权益的双赢。
这道治理考题的答案,将深刻影响数字中国的建设成色。