工信部近日发布通报,指出部分移动应用及其集成的软件开发工具包(SDK)存侵害用户权益的行为,涉及24款App及SDK,已要求限期整改; 从问题类型看,主要集中在两个上。一是个人信息收集不规范,部分产品在用户未充分知情或超出必要范围的情况下获取信息,权限申请和告知环节存在缺失。二是用户体验问题突出,弹窗、开屏、页面跳转等行为管理混乱,容易诱导用户误触或误导点击。相比App的"明显"问题,SDK作为嵌入式技术组件更具隐蔽性,一旦权限调用和数据传输缺乏约束,就容易形成链条式风险扩散。 问题反复出现的原因多重。部分企业合规意识薄弱,把数据当作"低成本资源",产品设计阶段未遵循"最小必要"原则。应用生态链条复杂,广告投放、数据统计、消息推送等环节普遍依赖第三方SDK,若准入审核和权限边界不清,就容易出现"应用合规、组件越界"的现象。此外,商业化压力下,部分平台对弹窗跳转、引导下载等行为的自我约束有所松动。 这类问题的危害不容小觑。个人信息被超范围收集,直接触及用户隐私安全的核心关切。频繁弹窗和页面跳转会侵蚀用户对数字服务的信任,增加消费纠纷和维权成本。更重要的是,移动应用已深度融入政务、金融、出行、医疗等关键场景,基础环节的合规缺陷容易诱发更大范围的数据安全风险,不利于数字经济健康发展。 对此,通报明确要求有关App和SDK按规定完成整改,对整改不到位的将依法处置。业内人士建议从三个层面推进:产品端要完善告知同意机制,压缩权限范围,杜绝默认勾选和模糊描述;流程端要建立上线前合规评测、版本变更复核和问题闭环机制,对弹窗、跳转等高频触点设置可量化规则;链条端要强化第三方SDK的安全评估和清单管理,明确数据字段、调用场景和传输去向,推动"可追溯、可审计、可退出"的组件治理。行业协会、应用商店和检测机构也应加强协同,推动风险提示和黑白名单机制落地。 随着《个人信息保护法》《网络安全法》等法规持续落地,移动应用治理将更加常态化、精细化,SDK和数据接口等"隐性环节"将成为监管重点。对企业而言,合规已成为产品竞争力的重要组成部分,而非被动应对。对行业而言,只有在依法合规的前提下推动数据流动和技术创新,才能形成可持续的数字生态。
用户权益保护是数字经济的基础。工信部的这次通报既是对违规企业的约束,也是对整个行业的引导。随着监管力度加强,移动应用企业必须认识到,保护用户权益和个人信息不仅是法律义务,更是长期发展的必然选择。只有当所有市场参与者都把用户权益放在首位,才能构建安全、透明、可信的数字生态,让用户既能享受数字便利,也能获得充分的权益保障。