近期,国家计算机病毒应急处理中心发布检测通报指出,部分移动应用在个人信息收集使用环节存在违法违规情形。
通报显示,相关问题主要表现为三类:一是在应用首次运行时,未通过弹窗等明显方式提示用户阅读隐私政策等规则,或隐私政策入口不便访问、告知要素不完整,涉及13款移动应用(含部分微信、抖音、支付宝等小程序及不同应用商店版本);二是隐私政策未逐一列明应用及其委托第三方、嵌入第三方代码或插件收集使用个人信息的目的、方式、范围等关键信息,涉及31款移动应用;三是个人信息处理者向其他处理者提供个人信息时,未就接收方信息、处理目的和方式、信息种类等履行告知义务并取得个人单独同意,涉及13款移动应用。
通报所列应用覆盖出行、教育、工具、游戏、二手车、生活服务等多个场景,反映出个人信息保护在部分细分赛道仍存在薄弱环节。
问题指向清晰:不少应用在“告知—同意”这一基本合规链条上存在缺口。
按照相关法律法规要求,个人信息处理活动应坚持合法、正当、必要、诚信原则,并以显著方式向个人真实、准确、完整告知处理规则,且在向第三方提供信息、调用敏感权限等环节落实相应同意要求。
通报中多次出现“提示不明显”“政策难以访问”“披露不逐一”“未取得单独同意”等表述,说明问题并非集中在技术层面,而是合规治理的基础工作不到位:对个人信息处理的边界把握不清,对第三方SDK、插件等供应链环节的管理不足,对告知文本的可读性、可达性与完整性重视不够。
原因层面,业内普遍存在三方面现实压力:其一,部分应用为追求用户增长、广告投放与精细化运营,倾向于扩大数据采集范围,在权限调用、埋点统计、设备标识等环节容易出现“多收集、早收集”的冲动;其二,应用开发链条长、外包与第三方组件使用频繁,若缺少清单化管理与持续审计,就可能出现隐私政策“写了但对不上”“列了但不完整”的情况;其三,小程序、快应用等形态迭代快、上架渠道多,部分经营主体合规能力不足,容易把隐私合规视为上线后的“补课项”,导致首次运行提示、政策入口、同意记录留存等关键环节缺失。
影响不容低估。
一方面,个人信息合规问题直接关系用户知情权、选择权和人格权益,若信息被过度收集、被不透明共享,可能引发骚扰营销、账号风险、画像歧视等连锁后果,削弱公众对数字服务的信任基础;另一方面,应用生态一旦形成“合规成本高、违规收益大”的不良预期,会挤压合规经营者空间,影响行业公平竞争;从更宏观角度看,数据要素价值释放离不开安全与秩序支撑,个人信息保护短板会抬高社会治理成本,影响数字经济高质量发展。
对策上,需要形成监管、平台与企业的协同闭环。
监管层面,专项行动与通报机制有助于以点带面,推动问题整改和行业自查,关键在于持续加大对典型问题的执法力度,强化对第三方共享、SDK合规、默认勾选与强制授权等高风险行为的规范。
平台层面,各应用商店及小程序平台应完善上架审核与动态巡检,将隐私政策可达性、权限调用合理性、第三方组件清单披露、同意记录机制等纳入常态化规则,并对整改不力的主体采取梯度处置。
企业层面,应把个人信息保护从“文本合规”提升到“全链路治理”:建立数据最小必要清单,明确业务目的与收集范围;对第三方SDK实行准入评估、版本锁定、日志审计与退出机制;优化首次启动弹窗与隐私政策入口,保证告知要素齐备、语言清晰易懂;对向第三方提供信息、处理敏感个人信息等场景落实单独同意、可撤回与可追溯;同时定期开展自检与员工培训,把合规责任落实到产品、研发、运营与法务的协作流程中。
前景判断上,随着个人信息保护法律体系持续落地、专项行动推进以及社会公众权利意识增强,移动应用合规将从“阶段性整改”走向“长期性约束”。
未来监管或将更强调技术与制度并重:一方面,通过检测手段提升对权限滥用、隐蔽采集、违规共享的发现能力;另一方面,通过标准化指引推动隐私政策、SDK管理、同意机制等形成可执行的行业共识。
对企业而言,合规能力将成为产品竞争力的一部分,谁能在保障用户权益的基础上提供透明、可控、可信的服务,谁就更可能赢得市场与口碑。
在数字经济成为全球竞争新高地的背景下,此次专项整治既是维护公民权益的必要之举,更是夯实数字中国建设基石的战略选择。
当技术狂奔时,法治的缰绳必须握得更紧——这不仅是监管的艺术,更是发展的智慧。