监管行动概述 - 上海市通信管理局于12月17日通报下架38款侵害用户权益的App（SDK）[1] - 此次行动依据《个人信息保护法》《网络安全法》等法律法规，并响应四部门联合发布的2025年个人信息保护系列专项行动要求[1] - 被下架的38款App（SDK）是在2025年11月被公示后，未在规定整改期限内按要求落实整改的产品[1] 涉及行业与公司 - 被下架的App（SDK）涉及多家金融机构[2] - 具体涉及的金融产品包括上海银行的“上行惠相伴”App[2]

行业监管动态 - 中国互联网金融协会于12月17日通报了针对10款移动金融App的自律检查情况，所涉运营机构类型包括银行、保险、支付、农信社等[1] - 协会于今年9月组织了非现场检查，发现了相关App存在问题和风险，并要求运营机构进行整改[1] - 协会表示将常态化开展App自律检查，聚焦个人信息保护、安全防护、数据安全等突出问题，通过定期检查、专项检查提升行业安全合规水平[5] 机构整改进展 - 截至12月16日，在10家被检查机构中，有5家已完成整改，3家基本完成整改，另有2家仍在整改中[1][2] - 完成整改的5家机构及其App为：紫金财产保险（掌上紫金）、银盛支付（银盛通）、本溪银行（本溪银行）、黑龙江省农村信用社联合社（黑龙江农信）、宁夏黄河农村商业银行（黄河银行）[2][3] - 基本完成整改的3家机构及其App为：宁夏银行（宁夏银行）、哈密市商业银行（哈密市商业银行）、泰康在线财产保险（泰康在线）[2][3] - 仍在整改中的2家机构及其App为：韩亚银行（中国）（韩亚银行）、国华人寿保险（国华人寿）[2][3] 检查发现的主要问题领域 - 自律检查发现的问题主要涵盖三大领域：个人信息保护、安全防护和数据安全[6] - 个人信息保护领域问题最为突出，具体涉及五大类违规行为[6] 个人信息保护具体违规行为 - 未公开收集使用规则：部分App隐私政策访问路径复杂（如点击超过4次）、文本格式不易阅读、缺少未成年人保护专门章节、未明示更新日期[7] - 未明示收集使用个人信息的目的、方式和范围：隐私政策未完整列明SDK处理信息、申请权限时未同步告知目的、收集生物识别信息前未单独告知并征得明示同意[8] - 未经用户同意收集使用个人信息：例如在征得同意前即开始收集个人信息[9] - 违反必要原则，收集与其提供服务无关的个人信息：包括收集频度超出业务实际需要[9] - 未按法律规定提供删除或更正个人信息功能，或未公布投诉举报方式：例如隐私政策描述的删除功能与实际不符[9] 安全防护与数据安全问题 - 安全防护方面问题集中在身份认证、逻辑安全、密码算法及密钥管理等环节，例如已登录状态下未屏蔽展示姓名、银行卡号[9] - 数据安全方面问题涵盖了数据销毁和数据获取的具体项目[9] 行业背景与挑战 - 随着数字化转型深入，金融行业业务模式已紧密围绕大数据展开，致力于构建用户画像和精准营销[10] - 高水平数据应用需求迫切，但部分机构为获取原始数据采取的方式存在过度收集个人信息之嫌，导致合规风险攀升[10] - 2023年中国消费者协会调查显示，“个人信息泄露烦扰多”位列消费环境问题之首[10] - 近年监管实践中，因“个人金融信息”违规而遭处罚的案例屡见不鲜，被处罚主体覆盖银行、券商、金融科技及消费金融公司[10] 公众意识与现状 - 公众对于人脸等生物识别信息的保护意识仍有待提升，部分消费者为追求支付便利而在隐私保护上近乎“躺平”[11] - 普通消费者在信息泄露后维权过程艰难曲折，因此从信息采集源头加强保护尤为重要[11]

监管行动 - 上海市通信管理局对38款存在侵害用户权益行为且未在规定期限内完成整改的APP（SDK）采取下架处理 [1] - 监管机构表示将持续跟踪，并可能进一步采取停止接入、行政处罚、纳入电信业务经营不良名单等措施 [1] 受影响公司及产品 - 下架名单中包含观察者网、kds宽带山、流利说阅读、名医导航、中银证券等38款APP（SDK） [1] - 众安在线财产保险股份有限公司有三款APP产品被下架，分别为众安家、退货运费险理赔、众安企业保 [1] - 上海流利说信息技术有限公司有三款APP产品被下架，分别为流利说阅读、流利说雅思、企业流利说 [2] - 中银国际证券股份有限公司的“中银证券”APP被下架 [2] - 上海银行股份有限公司的“上行惠相伴”APP被下架 [2] - 涉及公司类型广泛，包括新闻资讯、社交、在线教育、医疗健康、游戏、工具、金融保险、汽车、电商、物业等多个行业领域 [2]

行业监管动态 - 2025年仅上海通信管理局发布的十批通报中，就有9家保险机构合计超过20款APP（SDK）因侵害用户权益被点名[1] - 通报涉及的问题包括“未明示个人信息处理规则”、“账号注销难”、“违规收集个人信息”、“未妥善处理用户投诉”等[1] - 除上海外，江苏、湖南等地的通信管理部门通报中也有保险机构APP因类似问题上榜[2][3] 行业合规问题现状 - 保险业作为数据密集型行业，数据规模大、场景多元，属于个人信息保护合规风险高发的领域[1] - 行业在个人信息保护上存在系统性短板，问题集中于“规则不透明、收集无边界、注销设障碍、投诉无回应”[3] - 根源在于三重错配：销售导向下合规成本被内部化为次要考量的激励机制错配、中小机构缺乏专业团队的能力体系错配、第三方SDK嵌入后权责不清的责任链条错配[3] - 2024年3月金融监管总局的通报指出，银行保险机构侵害个人信息权益的行为仍时有发生，内部管控存在短板[4] - 发现的主要问题集中在个人信息收集、存储传输、查询使用、提供删除以及第三方合作五大方面[5] 监管政策与执法趋势 - 国家层面已出台《个人信息保护法》、《数据安全法》等一系列法律法规，数据安全监管体系日益完善[6] - 2024年12月，金融监管总局发布《银行保险机构数据安全管理办法》，明确“谁管业务、谁管业务数据、谁管数据安全”的原则[6] - 2025年，中央网信办、工信部等四部门联合部署个人信息保护专项行动，深入治理违法违规收集使用个人信息问题，这是自2019年以来的再次联合部署[7] - 监管重点正从“事后处罚”向“技术抽查、动态监测”转变，各地通信管理部门与金融监管机构正在逐步建立APP备案、SDK备案与数据合规检测机制，形成常态化监管闭环[8] - 个人信息执法已进入规范化、常态化、精细化的新阶段，保险公司个人信息保护必须从事后应对转向事前合规[8] 对行业的影响与建议 - 一旦APP因违规进入通报整改流程，公司可能不得不改变业务模式或影响产品上线时间，若整改不达标可能面临下架等严厉处置措施[8] - 专家建议保险业从三方面提升数据治理水平：重构治理架构并设立首席数据官、运用隐私计算等“可用不可见”技术强化技术赋能、对第三方合作实行“准入—监控—退出”闭环管理并建立用户数据权利响应机制[9]

文章核心观点 - 移动互联网应用程序普遍存在收集用户位置信息的现象，但部分收集行为可能超出“必要”原则，存在合规风险与隐私安全隐患[1] - 位置信息属于敏感个人信息，其收集需遵循合法、正当、必要原则并获得用户单独同意，但实践中存在通过捆绑同意、诱导授权等方式过度收集的情况[3][6] - 位置数据具有极高的商业与潜在军事价值，可能通过第三方代码组件被泄露或滥用，对个人隐私和国家安全构成风险[12][13] - 保护数字足迹需要用户提高安全意识、审慎授权，同时行业需借助隐私计算等新技术，在促进数据流通与经济发展中实现安全平衡[14][15] 行业实践与现状 - 记者实测40款主流App发现，近半数App在首次启用时会以不同方式申请位置权限，其中以电商、外卖、出行类App为主[1] - 部分App（如淘宝、高德、链家、携程）在用户首次打开并同意隐私政策后，会自动弹窗请求位置权限，并提供“允许一次/使用App时允许/不允许”等选项[3] - 另有部分App（如抖音、今日头条、百度、闲鱼）采取触发式授权，仅在用户使用需要位置信息的子功能时才弹出授权请求[3] - 几乎所有被测App均设置“捆绑同意”，即用户若不同意隐私政策中包含的获取位置等条款，则无法使用该App[6] - 少数App在获得“使用期间允许”授权后，会进行二次弹窗，试图诱导用户将授权等级更改为“始终允许”[7] 法规与合规框架 - 《中华人民共和国网络安全法》规定，网络运营者收集、使用个人信息应遵循合法、正当、必要原则[3] - 2021年发布的《常见类型移动互联网应用程序必要个人信息范围规定》对各类App可收集的必要信息范围进行了明确释义[3] - 地理位置信息属于敏感信息，其收集需获得用户的单独同意，仅在冗长的用户协议或隐私政策中说明不符合单独同意的要求[3] - 即使获得用户单独同意，但如果收集行为违反必要原则，超出了国家规定的该类型App可收集的必要信息范围，则仍属违法行为[3] - 对于“始终允许”收集位置信息的行为，除非能证明其具有充分必要性，否则同样违反了《中华人民共和国个人信息保护法》的必要原则[9] 数据价值与潜在风险 - 对于依赖推荐算法的App（如短视频、新闻资讯平台），位置信息是核心数据之一，用于分析用户所处位置的群体特征，以实现更精准的内容投放和营销[12] - 位置信息常与IP地址、设备信息等一同通过App内集成的第三方广告SDK被收集，这些数据组合具有极高的经济价值[13] - 位置数据的价值不仅限于商业用途，还可能被用于军事等目的，存在通过第三方SDK被泄露和兜售的风险[13] - 轨迹数据可能被用于对特定目标进行精准画像、实施策反，或用于威胁关键基础设施、操控社会认知与舆论[13] 用户防护与行业建议 - 用户应养成“最小授权”习惯，初次使用App时可先选择“不允许”或“仅使用期间允许”，测试App基本功能是否可用[14] - 用户可善用“模糊定位”功能，在手机设置中为大多数App关闭“精确位置”开关，仅提供大致范围[14] - 建议用户定期进行“权限大扫除”，检查并关闭长期不使用的App的位置权限[14] - 用户需警惕诱导开启“始终允许”的二次、三次弹窗，并对在社交媒体分享内容时附带地理位置信息保持谨慎[14] - 行业层面，可探索采用隐私计算等技术，实现在不交换原始数据的前提下进行协同计算，从而在保护数据隐私的同时促进数据要素流通和经济发展[15]

行业监管动态与问题现状 - 国家网络安全通报中心近期通报69款移动应用存在违法违规收集使用个人信息行为，涉及住宿预订、在线购票、生活服务、运动健康、教育培训等多个类别[1] - 今年以来，监管机构已进行三次此类通报，累计涉及应用超过两百款，反映出行业“屡罚屡犯、屡禁不止”的严峻现状[1] - 行业乱象包括频繁的推销电话、精准的广告推送及“开盒挂人”等网络暴力行为，其根源在于个人信息的过度采集、不当使用及非法买卖[1] 企业违规操作与用户困境 - 尽管《个人信息保护法》要求处理个人信息需遵循合法、正当、必要和诚信原则并取得个人单独同意，但现实中“知情同意”防线常被突破[1] - 部分App通过信息授权协议“含糊其辞”、“默认同意”或“强买强卖”等方式，直接剥夺用户选择权[1] - 部分用户因隐私政策文本过长而“盲点同意”，使得利用“隐蔽手段”的App成为潜伏的“隐私刺客”[1] 监管与治理建议 - 仅靠“点名通报”难以形成足够威慑，需让违规者付出代价，该重罚的重罚，该下架的果断下架，以打消企业“以身试法”的冲动[2] - 监管部门需建立常态化监管，探索引入第三方专业机构对App隐私政策进行监督，并建立全链条、可追溯的责任体系以斩断黑产[2] - 企业与平台需及时排查安全隐患，提高技术防线，堵上系统漏洞，将个人信息保护内化为产品“基因”，以事前预防取代事后补救[2] 用户行为与市场长期发展 - 用户需从“被动接受”转向“主动保护”，谨慎授权App获取个人信息，定期检查使用情况，并对不再使用的App及时注销账户[2] - 用户需要增长新媒体素养，敢于对侵权行为说“不”[2] - 用户信任是企业最宝贵的资产，漠视用户隐私的企业终将被市场抛弃[2] - 企业与平台的长远发展之道在于将依法依规掌握的消费者信息用于改进产品与服务，在良性互动中实现互利共赢[2]

案件核心判决与法律依据 - 广东省广州市中级人民法院审结了广东省首例因碳排放配额交易中个人信息披露引发的纠纷案 法院判决平台信息披露行为合法合规 不构成侵权 为碳市场健康有序发展提供了司法指引 [1] - 法院认为 碳交中心向与李某存在直接交易关系的五家企业披露其姓名和手机号 是基于履行合同附随义务（开具发票）所必需 符合《个人信息保护法》第十三条的规定 不需要取得个人同意 [2][3] - 法院认定 李某在注册会员时已同意遵守平台《隐私政策》 该政策明确约定在交易一方履行义务并提出请求时 平台有权提供交易对方的联络方式以促成交易完成或纠纷解决 因此该行为也具有合同依据 [2][3] - 法院指出 信息披露范围必要 目的限定 仅限于五家直接交易企业 且李某未能证明信息被用于无关用途或造成了实际损害 因此平台行为不存在过错 未对民事权益造成实质性损害 [3] 交易平台的信息披露实践与优化 - 在交易系统未直接显示个人会员全名及联系方式的情况下 平台依据买方申请提供必要信息 以协助完成开具发票等交易闭环 [2] - 案件审结后 法院向碳交中心发送司法建议 围绕“完善规则体系 优化平台功能 加强监督管理”三方面提出改进建议 [4] - 平台积极响应司法建议 报告了系列优化措施 包括制定交易主体信息保密和管理制度 在开户协议中明确开票义务与信息披露权限 履行事前通知义务 以及升级系统争取开发“交易平台线上开票”功能模块 [4] 案件对行业发展的影响与意义 - 该案件清晰地界定了在碳排放权交易等特定场景下个人信息合理使用的边界 [4] - 案件处理实现了既保障碳市场交易顺畅进行 又敦促交易平台完善个人信息保护机制的目标 促进了绿色低碳经济发展与个人信息权益保护的有机统一 [4] - 该案为全国碳市场处理类似纠纷提供了可资借鉴的“广东经验” [4]

监管行动概览 - 工业和信息化部近期组织第三方检测机构抽查 发现24款App及SDK存在侵害用户权益行为 [1] - 存在问题的App及SDK需按规定整改 整改不到位将面临依法处置 [1] 涉事应用与问题类型 - **会计云课堂** (天津东奥时代培训学校有限公司) 涉及未明示收集个人信息清单、违规收集个人信息 [3] - **麦田认字** (上海麦田映像信息技术有限公司) 涉及违规收集个人信息、App强制频繁过度索取权限 [3] - **养森** (贵州养森大健康产业有限公司) 涉及违规收集个人信息 [3] - **音柚漂流瓶** (连云港宸奥网络科技有限公司) 涉及未明示收集个人信息清单 [3] - **家庭端** (北京十六进制科技有限公司) 涉及违规收集个人信息 [3] - **秘恋** (深圳市鹏城映像科技有限公司) 涉及欺骗误导用户提供个人信息 [3] - **麦号熊** (咸宁市飓风网络科技有限公司) 涉及未明示收集个人信息清单、App强制频繁过度索取权限 [3] - **小小学英语** (北京神州讯路科技有限公司) 涉及违规收集个人信息、违规使用个人信息、App强制频繁过度索取权限 [4] - **智汇社工** (宿迁国弊教育科技有限公司) 涉及App强制频繁过度索取权限 [4] - **广小易** (陕西东尼网络科技有限责任公司) 涉及未明示收集个人信息清单、违规收集个人信息 [4] - **失眠管家** (上海字研网络科技有限公司) 涉及未明示收集个人信息清单、违规收集个人信息 [4] - **白云视频播放** (三亚市林洛信息技术有限公司) 涉及违规收集个人信息、信息窗口点击乱跳转 [4] - **拉点货司机** (深圳市吉顺物流科技有限公司) 涉及违规收集个人信息、超范围收集个人信息 [4] - **安装学院** (上海安装工程职业技术培训中心) 涉及违规收集个人信息、App强制频繁过度索取权限 [4] - **焊工考试宝审** (上海厚一信息科技有限公司) 涉及未明示收集个人信息清单、违规收集个人信息 [4] - **高考志愿决策** (北京金誉智尚网络科技有限公司) 涉及超范围收集个人信息 [5] - **同城探遇** (南京探陌信息科技有限公司) 涉及未明示收集个人信息清单 [5] - **观星模玩** (惠山区尘外观星玩具商行) 涉及App强制频繁过度索取权限、违规使用个人信息 [5] - **仙王请留步** (广州塔牛网络科技有限公司) 涉及App强制频繁过度索取权限 [5] 涉事SDK与问题类型 - **优优广告SDK** (深圳市素人网络科技有限公司) 涉及违规收集个人信息、超范围收集个人信息、信息窗口点击乱跳转、SDK信息公示不到位 [5] - **知鸟广告SDK** (玩出未来(北京)科技有限公司) 涉及超范围收集个人信息、SDK信息公示不到位 [5] - **OneAdSDK** (北京凡提科技有限公司) 涉及违规收集个人信息、超范围收集个人信息 [5] - **大咖玩** (广州掌跃网络科技有限公司) 涉及超范围收集个人信息、SDK信息公示不到位、违规收集个人信息 [5] - **鯉跃SDK** (随身云(南京)信息技术有限公司) 涉及强制用户使用定向推送功能、强制频繁过度索取权限、SDK信息公示不到位 [5][6]

监管行动概览 - 工业和信息化部近期组织抽查，发现**24款APP及SDK**存在侵害用户权益行为，并要求整改 [1] - 此次行动依据《个人信息保护法》等法律法规，是四部门联合发布的2025年个人信息保护系列专项行动的一部分 [1] 涉事产品与厂商 - 涉事产品涵盖**智能家居**（如摄像头、智能锁、智能音箱）、**儿童智能设备**（如电话手表）、**智能学习终端**及**智能玩具**等多个物联网硬件品类 [2][3][4][5][6] - 涉事产品主要来自**拼多多**平台（共17款），其次为**淘宝**（1款）和**京东**（1款） [2][3][4][5][6] - 部分生产厂商信息**未明示**，涉及产品包括儿童电话手表和智能门锁 [2][3] 主要违规问题类型 - **未提供个人信息处理规则**：是本次抽查中最普遍的违规问题，涉及绝大多数被通报产品 [2][3][4][5][6] - **违规传输个人信息至云端**：涉及家庭网络摄像机、3D人脸智能锁、智能聊天机器人、智能玩具及部分学习终端等多款产品 [2][3][5][6] - **未提供权限管控机制**：涉及智能摄像头、儿童手表、智能音箱、智能门锁及学习终端等产品 [2][3][4][5][6] - **收集人脸信息未单独告知**：主要出现在具备人脸识别功能的**智能门锁**和**儿童电话手表**上 [2][3][4] - **强制自动续费**：出现在智能摄像头、儿童手表及智能音箱等产品上 [2][3] - **超范围收集非必要个人信息**：出现在部分智能门锁及智能学习终端上 [4][5][6]

事件概述 - 国家计算机病毒应急处理中心检测发现69款移动应用存在违法违规收集使用个人信息情况 [1] - 《安然商城》（版本V1.1.5，应用宝）是69款被通报的应用之一 [1] 涉事公司信息 - 《安然商城》的应用运营商为山东安然纳米实业发展有限公司 [2] - 山东安然纳米实业发展有限公司由刘润东、梁浩于2004年成立，是安然集团旗下的全资子公司 [3] - 公司是一家以纳米技术、介质电容物理提取技术、植物干细胞技术为主体的健康产业集团，集研发、生产、销售、服务、教育于一体 [3] 公司业务与资质 - 山东安然纳米实业发展有限公司于2012年1月9日获批直销经营许可证 [3] - 公司共有9个分支机构，72个服务网点 [3] - 公司直销产品涵盖3大类，共计27种 [3] 具体违规行为 - 《安然商城》存在隐私政策未逐一列出App（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围等问题 [1] 公司回应情况 - 截至发稿时，山东安然纳米实业发展有限公司未对相关问询作出回复 [3]