新京报贝壳财经讯 8月4日，据工信微报消息，根据中央网信办、工业和信息化部、公安部、市场监管总局等四部门联合发布的《关于开展 2025年个人信息保护系列专项行动的公告》，依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》 等法律法规，我部对APP、SDK违法违规收集使用个人信息等问题开展治理。近期，经组织第三方检测机构进行抽查，共发现23款APP及SDK 存在侵害用户权益行为（详见附件），现予以通报。 | | DUN | 什仅有限公司 | | | 日心图片 儿/五大内 | | --- | --- | --- | --- | --- | --- | | | | | | | SDK 信息公示不到位 | | | | | | | 超范围收集个人信息 | | | | | | | 强制用户使用定向推 | | | 果玩游戏联 | 山东新岱宗网络 | | | 送功能 | | 19 | 运 SDK | 文化有限公司 | 官网 | 4.6.6 | 强制、频繁、过度索 | | | | | | | 取权限 | | | | | | | SDK 信息公示不到位 | | | | | | | 超范围收集个人 ...

行业监管动态 - 中国网络空间安全协会组织指导邮件快递寄递、二手车交易、旅游服务三类5款App运营方完成个人信息收集使用优化改进 [1] - 优化重点针对超范围收集个人信息、过度调用敏感权限、权限设置和账号注销不便等合规问题 [1] - 5款App运营方已在应用商店或官网上架改进版本并承诺持续保持合规水平 [1] 企业合规行动 - App运营方依据《中华人民共和国网络安全法》等法律法规开展合规性整改 [1] - 涉及行业包括邮件快件寄递、二手车交易及旅游服务三大垂直领域 [1] - 所有整改App均通过版本更新方式实现合规目标 [1]

行业趋势与挑战 - AI时代个人信息保护面临数据泄露和诈骗手段智能化升级等严峻挑战 [3] - 政府、企业、社会组织需协同构建治理体系以应对数字安全风险 [4] 公司产品与技术优势 - 夸克AI应用通过国产技术架构确保数据自主可控并在法律框架内运行 [3] - 夸克高考产品累计服务超1.6亿用户 提供智能选志愿和志愿报告等功能 [3] - 夸克AI相机采用多模态识别技术 可快速鉴别网图和分析可疑短信链接 [4] - 通过视觉搜索与深度推理技术实现"先检测后行动"的一键式风险识别 [4] 市场竞争地位 - 国产智能工具在隐私保护和风险防范中发挥关键作用 [1] - 使用国产系统与软件被视为构建安全防线的重要路径 [3] - 技术普惠转化为切实的安全保障 成为家长与考生的信赖选择 [3][4]

保险中介机构个人信息收集问题 - 部分保险中介机构在用户协议中隐藏条款，允许向第三方推送营销信息并共享用户数据，如"投保排排网"和"保通保险代理"明确提及与合作伙伴共享用户联系方式及画像信息 [5] - "童管家"将营销短信与投保通知绑定，用户无法单独拒收营销信息，且协议中将营销内容列为"重要信息"强制接收 [6][7] - 机构通过复杂冗长的用户协议设计，使投保人在未充分知情的情况下被迫同意条款，限制自主选择权 [8] 违规收集个人数据行为 - "投保排排网"以合规为名过度收集用户上网记录（搜索、浏览、点击等），超出银保监会规定的"操作轨迹"记录范围，涉嫌违反"最小必要"原则 [9][10] - 律师指出机构混淆法律要求与商业目的的信息收集，误导消费者认为非必要数据收集是监管强制要求 [10] 监管动态与法律分析 - 国家金融监管总局2024年通报指出保险机构存在强制同意、扩大授权等问题，例如强制消费者同意将信息用于无关业务 [11] - 《银行保险机构数据安全管理办法》明确要求个人信息收集限于业务最小范围，禁止过度收集 [11] - 《个人信息保护法》规定处理信息需与目的直接相关，且保险行业需额外遵守区分"必要/可选信息"、明确第三方义务等 stricter 要求 [12]

核心观点 - 文章揭露AdventureX组织存在非法售卖选手个人信息、性骚扰、财务不透明等严重问题 [10][12][47] - 该组织以"公益"名义运营但实际存在商业化操作，涉嫌违反《个人信息保护法》多项条款 [30][35][43] - 创始人R同学被指控存在系统性不尊重女性行为，且组织管理呈现独裁倾向 [11][22][50] 个人信息违规行为 - 将包含选手简历、联系方式、教育背景的"梦想家数据库"以数万元价格出售给赞助商 [30] - 报名表中用模糊授权条款获取"单独同意"，法律上无效 [37] - 与境外组织共享数据涉嫌非法跨境传输个人信息 [39][41] - 收集信息目的与使用严重不符，违反"目的明确合理"原则 [44] 组织管理问题 - 活动超支十多万元未公开明细，仅用"均摊"解释 [47] - 创始人R同学被指存在性骚扰倾向，公开谈论女性成员私生活 [14][15] - 管理模式独裁，对异议者威胁取消资格 [50] - 以"公益"名义运营但未注册非营利主体，商业性质存疑 [53] 法律风险 - 违反《个保法》第十条非法买卖个人信息条款 [31] - 未按第二十八条获取敏感信息处理的单独同意 [36] - 跨境数据传输未通过网信部门安全评估 [41] - 赞助商数据使用协议合法性存疑 [53] 行业影响 - 事件反映部分青年创业项目存在法律意识薄弱问题 [10][27] - 技术社区商业化过程中易出现隐私权与商业化的冲突 [10][43] - 组织者利用理想主义情怀掩盖违规操作的现象值得警惕 [53]

学生信息泄露现状 - 学生及家长信息泄露在全国范围内具有普遍性，涉及的环节复杂多样，严重影响正常生活并破坏教育行业生态[1] - 网络社交平台存在公开贩卖家长信息的现象，卖家通过留言即可联系买家并提供家长电话等资源[2] - 部分家长仅在官方中考系统填报信息，仍遭遇精准匹配的骚扰电话，最高一天接到20个[2] 法律与责任分析 - 教培机构未经同意获取并拨打家长电话属于违法行为，违反《民法典》第1032、1033条关于隐私权保护的规定[2] - 《个人信息保护法》要求处理个人信息需遵循合法、正当、必要原则，过度收集或恶意骚扰可适用《治安管理处罚法》[3] - 非法获取、出售或提供公民个人信息情节严重者构成侵犯公民个人信息罪，面临刑事处罚[3] 监管与排查进展 - 有关部门要求广州各学校排查新生注册环节的信息采集链接，确保符合个人信息保护法规要求[4] - 平台通过大模型和人工审核加强违规内容识别，降低黑灰产内容发布率，并识别站外导流行为进行治理[4][5] - 平台将聚类违规线索提供给有关部门，形成案件打击以斩断黑灰产源头[5] 行业治理建议 - 建议教育部门联合通信部门开通教育类骚扰信息快速举报通道，溯源泄密节点并严惩违规机构[6] - 教育类APP应接受专项检查，泄露个人信息的APP需下架，网信部门推行"网络安全指数"评价纳入信用评级[6] - 建立教培行业黑名单及信用惩戒机制，通过跨部门信息共享形成持续约束，公示失信机构以倒逼行为规范[8][9] 家长应对措施 - 家长接到骚扰电话需记录机构名称和宣传内容以便举报，注册学习类APP时避免提供非必要敏感信息[7] - 中考季家长应关注权限设置，减少成绩、报考意向等敏感信息的泄露风险[7]

个人信息治理专项行动 - 北京多部门联合开展违法违规收集使用个人信息治理工作[1] - 治理聚焦公共场所人脸识别信息收集和线下消费场景个人信息收集[1] - 交通运输行业涉及汽车站、停车场等场所[1] - 住宿旅游行业覆盖酒店、景区、住宅区、售楼处等场景[1] - 教育培训行业包括学校、线下教育机构、图书馆等[1] - 文化体育行业涉及公共体育场馆、博物馆、美术馆等[1] - 物流商贸行业包含商场、超市、快递柜等[1] - 休闲娱乐行业覆盖演出场所、公园、电影院等[1] - 自动售卖、出行乘车涉及公交、地铁、网约车、共享车等[1] - 商超支付、住宅区物业管理、快递寄送等场景也被纳入治理范围[1]

个人信息保护专项行动通报 - 33款移动应用存在违法违规收集使用个人信息情况 [1] - 检测时间为2025年6月23日至2025年7月9日 [14] 违规行为分类 - 未公开收集使用规则：涉及《比陌》（1.1.2，百度手机助手） [1] - 未逐一列出收集使用目的方式范围：涉及14款应用包括《映客直播》《悦享家生活》《小盒学习》等 [2] - 申请权限时未同步告知目的：涉及《即陌》（1.0.12.2，豌豆荚） [2] - 收集敏感信息未告知目的：涉及《Nico》（8.32.2，VIVO应用商店） [3] - 未经同意收集信息：涉及3款应用包括《零售云》《一起作业》《即陌》 [4] - 超出授权范围收集信息：涉及14款应用包括《宝宝树孕育》《花生日记》《情多多》等 [5] - 声明权限超出必要范围：涉及3款应用包括《宝宝树孕育》《陌生》《万能遥控》 [6] - 实际收集超出功能必要范围：涉及3款应用包括《花生日记》《附近陌生人欢聊》《萤石云视频》 [7] - 收集频率超出必要范围：涉及14款应用包括《得间免费小说》《糖豆》《映客直播》等 [8][9] - 提前要求非必要权限：涉及5款应用包括《万能遥控》《Nico》《陌趣》等 [10] - 强制要求非必要权限：涉及2款应用《爱文漂流瓶》《扫描全能王》 [11] - 强制要求非必要信息：涉及2款应用《Nico》《爱文漂流瓶》 [12] - 广告存在误导欺骗行为：涉及3款应用《随手电筒》《小伴龙》《Nico》 [13] 历史问题处理 - 上期通报的45款应用中仍有8款存在问题并已下架 [13]

行业监管动态 - 全国网络安全标准化技术委员会发布《网络安全标准实践指南——摇一摇广告触发行为安全要求》，明确要求App和SDK运营者设置广告关闭渠道及合理触发阈值 [1][5] - 四部门联合开展2025年个人信息保护专项行动，重点整治App开屏场景频繁"意外"跳转广告问题 [1][10] - 工信部此前将"欺骗误导强迫点击跳转"纳入《电信和互联网服务用户权益测评规范》征求意见稿，拟明确摇一摇广告灵敏度参数标准 [6][8] 技术规范要求 - 摇一摇广告触发需调用加速度/重力/陀螺仪传感器，阈值设定需避免误触（如加速度≥15m/s²、转动角度≥35°、操作时长≥3s） [5][6] - 要求第三方广告SDK提供显著关闭标志及摇动操作引导，并向App运营者开放功能开关参数配置 [6][7] - App运营者需在设置页面提供一键关闭摇一摇广告功能，用户关闭后不得再展示此类广告 [7][13] 企业合规进展 - 腾讯视频、滴滴、网易云音乐、百度网盘、哔哩哔哩、虎扑等App已上线"展示摇一摇类开屏广告"开关功能 [1][10][13] - 部分厂商曾通过调高传感器灵敏度提升广告点击率，导致用户日常动作（行走/乘车）误触发跳转 [8][13] - 监管通报显示，开屏弹窗"乱跳转"问题多次被列入侵害用户权益App名单 [8] 用户影响与案例 - 摇一摇广告覆盖移动应用、电商营销等领域，但因阈值过低导致非自愿跳转引发大量投诉 [2][8] - 大学生因摇一摇广告问题起诉平台并胜诉，推动行业整改 [8] - 实测发现仍有部分App未提供摇一摇广告关闭选项 [13]

景区强制"刷脸"现象 - 北京欢乐谷等景区强制年卡用户必须通过"刷脸"方式入园 拒绝提供身份证、指纹等其他验证方式 [1][2][3] - 景区给出的理由是防止会员卡被盗刷 确保入园者与购卡者系同一人 [1] - 北京环球度假区提供"刷脸"和刷身份证两种入园方式 用户可自主选择 [9][14] 人脸信息处理合规问题 - 线下办理年卡时园区未充分履行告知义务 未说明人脸信息处理者、保存使用情况等 [3][15] - 仅在隐私政策中"一揽子"告知的做法涉嫌违法 未取得用户单独同意 [15][16] - 园区将游客人脸信息与关联公司共享 但未告知接收方详细信息 也未取得单独同意 [16] 技术应用现状 - 人脸识别技术已成为景区主流身份验证方式 尤其针对VIP会员 [1][22] - 景区普遍采用集二维码、身份证、人脸识别等功能于一体的智能三辊闸设备 [22][23] - 带人脸库的人脸识别机售价12800元/台 使用支付宝人脸库作比对 每年需支付1000元授权费 [23] 监管与法律风险 - 《人脸识别技术应用安全管理办法》规定不得以胁迫方式采集人脸信息 必须提供非生物特征验证选项 [1][25] - 景区强制"刷脸"涉嫌违反《个人信息保护法》和《人脸识别技术应用安全管理办法》 [25][26] - 多地已开展公共场所违法违规收集使用人脸识别信息专项治理 [31] 行业影响 - 欢乐谷集团旗下13个城市25个主题公园年接待游客约4000万人次 [22] - "一脸游"成为景区智能化管理的标志性服务 被作为重要卖点宣传 [22] - 人脸识别技术可缩短检票时间 避免伪造门票和黄牛倒卖等问题 [22]