近期,围绕移动应用侵害用户权益的治理再度加码。
国家网络安全通报中心发布信息显示,经国家计算机病毒应急处理中心检测,部分移动应用存在违法违规收集使用个人信息等问题;紧接着,工业和信息化部通报一批存在侵害用户权益行为的App及SDK,要求相关主体按规定整改,整改不到位将依法依规处置。
两天内密集通报,反映出个人信息保护与平台合规治理仍处于攻坚阶段。
问题层面看,违规表现呈现多点散发、类型多样的特征。
一是隐私合规“基础项”仍未过关,包括隐私政策缺失或告知不充分、未清晰列明收集使用个人信息的目的方式与范围、未提供有效注销功能、缺少必要安全技术措施等。
二是权限与数据处理存在“超范围”倾向,一些应用被指出存在超范围收集、未明示个人信息清单、强制频繁过度索取权限等情形,增加用户被动暴露风险。
三是新型场景中的合规边界更受关注,部分应用在可采用其他方式实现同等目的的情况下,将人脸识别设置为唯一验证手段,用户不同意提供人脸信息时缺少替代路径。
四是消费权益类问题不容忽视,个别应用被点名存在强制自动续费、信息窗口跳转扰民等行为,影响用户知情权与选择权。
原因层面,乱象背后至少有三方面因素交织。
其一,部分开发者合规意识不足,将隐私政策、权限管理等视为“上线手续”,忽视最小必要原则与透明告知要求,导致“有政策无落实”“能收就收”的惯性行为。
其二,商业模式驱动下的激励失衡,个别产品追求快速转化与留存,倾向通过过度授权、强制验证、默认续费等方式降低用户退出成本或提高付费率。
其三,移动互联网生态链条长,应用商店、小程序平台、SDK服务商、终端设备渠道共同构成分发与能力供给网络,一旦某一环节审核把关不严,问题就可能在多渠道扩散。
值得注意的是,通报涉及主流应用商店与小程序渠道,也出现平板应用市场等新增来源,表明监管视野正从传统手机应用向多终端、多渠道延伸。
影响层面,侵权行为不仅损害用户切身权益,也会带来更广泛的社会与产业成本。
对个人而言,过度收集与不当使用可能引发信息泄露、精准骚扰、账号被盗等风险;对行业而言,隐私与安全短板会削弱用户信任,抬高合规与治理成本,形成“劣币驱逐良币”的不良竞争;对数字经济发展而言,若关键场景中人脸识别等技术被滥用,可能加剧社会对新技术的不信任,影响技术应用的健康落地。
此次将人脸识别使用规范纳入检测项目,也释放出明确导向:便利不能以牺牲选择权为代价,技术应用必须遵循必要性、替代性与可退出性原则。
对策层面,治理需要监管、平台、企业与用户共同发力、形成闭环。
监管部门通过通报、抽检与依法处置持续释放高压信号,促使问题从“被动整改”转向“前置合规”。
平台与应用商店应进一步压实主体责任,强化上架审核与动态巡检机制,对隐私政策质量、权限调用合理性、SDK合规证明、人脸识别替代方案等设置更细颗粒度的准入门槛,同时建立更便捷的下架、整改与复测流程。
企业端要把合规内嵌到产品全生命周期:在设计阶段落实最小必要采集与默认保护,在开发阶段规范SDK接入与数据流向管理,在运营阶段完善注销、撤回同意、关闭个性化推荐等功能的可用性与可达性,并对自动续费等敏感功能做到显著提醒、明确同意、便捷取消。
对人脸识别等生物识别信息处理,更应坚持“能不用就不用、能替代就替代”,提供其他合理、便捷的验证方式。
用户端也需提升自我保护意识,谨慎授权、及时清理不必要权限、关注续费提醒与扣费渠道,发现问题通过投诉举报等途径维护权益。
前景方面,从连续通报与检测范围扩展可以判断,个人信息保护治理将呈现更常态化、更精细化的趋势:覆盖渠道将更广,从手机到平板、从应用商店到小程序与SDK供应链;治理焦点将更深,从“有没有隐私政策”转向“是否真正可用、是否最小必要、是否可退出”;处置方式将更硬,通报整改与依法处置联动,推动行业形成可量化、可核验的合规标准。
随着相关法律法规与配套规范持续落地,移动互联网生态有望在“安全可控、透明可知、选择可行”的框架下实现更高质量发展。
移动应用的规范发展关乎数字生态的健康。
当前,我国个人信息保护法律体系不断完善,监管机制日趋健全,但应用生态中的违规现象仍然存在。
93款应用的集中通报既是对当前问题的预警,也是对行业发展方向的指引。
只有应用开发者、应用商店、监管部门和用户形成合力,才能构建更加规范、安全、可信的移动应用生态,切实保护好每一位用户的合法权益。