监管动态 - 国家计算机病毒应急处理中心检测发现70款移动应用存在违法违规收集使用个人信息情况 [1] - 专项行动依据《网络安全法》《个人信息保护法》等法律法规及四部门联合公告要求开展 [1] 违规详情 - 方舟健客网上药店(版本6.42.0)存在未告知个人信息接收方详细信息及未取得单独同意的问题 [1] - 该应用未向用户提供撤回同意收集个人信息的途径和便捷撤回方式 [1] 公司背景 - 应用运营商为广州方舟医药有限公司 系广州方舟云康信息科技集团有限公司全资子公司 [1] - 方舟健客成立于2015年 专注互联网慢病管理服务 目标成为中国最大慢病服务平台 [1]

监管行动与违规详情 - 国家计算机病毒应急处理中心检测发现70款移动应用存在违法违规收集使用个人信息的情况 [1] - 违规应用《掌上华医》（版本V3.124.5，应用宝）存在多项问题：隐私政策未逐一列明收集使用个人信息的目的、方式、范围；向其他处理者提供个人信息时未履行告知及获取单独同意义务；未向用户提供撤回同意收集个人信息的便捷途径 [1] 涉事公司背景 - 《掌上华医》运营商为北京华医网科技股份有限公司 [2] - 公司第一大股东为天津红杉资本投资基金中心（有限合伙），持股比例为25.34% [2] - 公司第二大股东为姚文彬，持股14.48%；第三大股东为北京中海易达投资管理中心（有限合伙），持股11.12% [2] 公司业务概况 - 北京华医网科技股份有限公司成立于2008年，目前有400余名员工，总部位于北京，在全国各地设有28个办事处 [2] - 公司“华医AI”于2024年4月通过国家互联网信息办公室备案，目前已应用在各培训产品和管理平台中 [2]

公司违规事件概述 - 租赁行业头部平台"人人租"（版本3.16.3）因四项违规被国家网络安全通报中心点名通报 [2] - 违规问题包括隐私政策未逐一列出收集使用个人信息的目的、方式、范围；未向用户提供撤回同意的明确途径；未提供便捷的撤回同意方式；未采取加密、去标识化等必要安全技术措施 [2] - 截至8月14日，人人租运营方广州研趣信息科技有限公司尚未就整改计划发布正式公告，其官网及APP Store页面仍正常运营 [2] 监管背景与要求 - 此次通报是"2025年个人信息保护系列专项行动"的一环，由中央网信办、公安部等四部委联合推动 [2] - 监管依据为《个人信息保护法》，通过对APP进行技术检测后集中通报 [2] - 通报要求各运营者在15个工作日内完成整改，逾期不改或情节严重的，将依法暂停相关业务或下架处理 [2]

移动应用违法违规收集个人信息 - 国家计算机病毒应急处理中心检测发现70款移动应用存在违法违规收集使用个人信息问题 [2] - 涉及多款金融类应用包括《万达普惠》《烟台银行市民e贷》《人人租》等 [2] 烟台银行市民e贷小程序问题 - 微信小程序《烟台银行市民e贷》版本v2 4 1 0存在投诉举报未按时受理处理问题 [3] - 未建立便捷的个人行使权利申请受理和处理机制 [3] - 未提供撤回同意收集个人信息的途径和方式 [3] - 个人信息处理者未提供便捷的撤回同意方式 [3] 烟台银行近期违规处罚 - 7月份因多项违法行为被处以警告并罚款319 2万元 [3] - 违法行为包括违反金融统计规定、账户管理规定、商户管理规定等 [3] - 同时没收违法所得387 45元 [3]

核心观点 - 金融消费者信息安全是法律保护的重要权益 个人信息泄露可能导致财产损失和信誉影响 金融机构需积极履行社会责任以共建安全金融环境 [1] 案例警示 - 客户因未妥善处理含家庭住址和保单信息的业务批单 导致不法分子获取个人信息后实施诈骗 [2] - 犯罪分子冒充保险公司工作人员诱导退保并购买虚假高收益理财产品 造成客户保障缺失和财产损失 [2] 风险防护措施 - 建议对取款凭条 业务批单等材料进行姓名 地址 账号等关键信息的无痕化处理 从源头阻断泄露风险 [3] - 重要业务优先选择本人柜面办理 若委托代办需确认受托人可靠性并全程跟踪业务进度 [4] - 对陌生上门服务要求核查身份 拒绝敏感操作 并通过营业网点进行场外验证 [5] - 发现信息被冒用或诈骗时立即保留证据报警 并向金融机构官方渠道反馈 [6] 金融机构行动 - 公司通过金融知识普及活动 服务流程优化和技术防护强化等措施守护客户信任 [7] - 公司开通24小时客服热线为客户提供咨询与协助 [6] - 呼吁公众增强风险意识和防护技能以巩固金融安全 [7]

问题的提出 - 2025年6月13日，工信部等八部委征求对《汽车数据出境安全指引（2025版）》的意见，旨在推动建立高效便利安全的汽车数据跨境流动机制 [4] - 2024年我国汽车整车出口达585.9万辆（同比增长19.3%），其中新能源汽车出口128.4万辆（同比增长6.7%） [5] - 2025年1-6月汽车整车出口308.3万辆（同比增长10.4%），新能源汽车出口106万辆（同比增长75.2%），伴随大量汽车数据跨境流动 [5] 《指引（2025版）》主要内容分析 主要变化 - 相比2021年《汽车数据安全管理若干规定（试行）》，新指引在数据出境路径、技术防护要求、重要数据识别等10个方面进行细化和调整 [7][8] 适用范围 - 新增"电信运营企业、自动驾驶服务商、平台运营企业"作为汽车数据处理者 [8] - 明确三类数据出境行为：数据传输至境外、境外机构调取境内存储数据、境外处理境内个人信息 [9] 数据出境路径 - 申报安全评估：涉及重要数据出境或关键信息运营者出境100万+个人信息/1万+敏感个人信息 [9] - 标准合同或认证：10万-4100万个人信息/不满1万敏感个人信息可选两种方式 [9] - 九类豁免情形包括自贸试验区负面清单外数据、OTA召回源代码等 [9] 重要数据界定 - 采用"业务场景+数据类别+判定规则"三维框架，明确六大场景重要数据： 1 研发设计：物料清单、源代码、测试场景数据 [11][12] 2 生产制造：生产控制程序源代码 [12] 3 驾驶自动化：算法、训练数据、特征数据 [12] 4 软件升级：动力/底盘系统源代码 [12] 5 联网运行：车辆密钥、实景影像、车路协同数据 [12][13] 6 其他：行业标准识别数据 [13] 实施流程 - 五步流程：数据识别→路径判定→安全评估→标准合同→保护认证 [14] - 日志记录要求留存不少于3年 [15] 对车企的挑战与机遇 重大挑战 - 重要数据识别需组建专业团队评估动态阈值，改造数据资产管理系统 [17] - 地理信息数据出境需保密处理，影响自动驾驶业务 [17] - 合规成本激增，需复合型人才和流程再造投入 [17] 重大机遇 - 利用自贸试验区负面清单外数据免申报政策优化全球数据流 [18] - 推动隐私计算技术应用，加速本土自动驾驶研发 [18] - 合规领先企业可获得更多跨境合作机会，重塑行业格局 [18][19]

监管行动概况 - 国家计算机病毒应急处理中心检测发现70款移动应用存在违法违规收集使用个人信息行为 [1] - 检测依据为《网络安全法》《个人信息保护法》及2025年个人信息保护系列专项行动要求 [1] - 检测时间范围为2025年7月2日至2025年7月29日 [4] 违规类型分布 - 13款应用在首次运行时未显著提示隐私政策或告知信息不完整 包括《北斗伴》《边锋斗地主》《才能网》等 [1] - 38款应用隐私政策未逐一列明第三方信息收集目的及范围 包括《百家云Android SDK》《蝉妈妈》《宠日常》等 [1] - 17款应用向第三方提供信息时未取得用户单独同意 包括《车轮》《方舟健客网上药店》《美丽修行》等 [1][2] - 7款应用未经同意即开始收集信息或开启权限 包括《寄信助手》《兰湘子湘菜小炒》《木屋外卖》等 [2] - 5款应用未提供有效的账号管理功能或响应迟缓 包括《百家云Android SDK》《斯维登民宿》《云课堂 SDK》等 [2] - 7款应用未建立有效的投诉处理机制 包括《91桌面》《烟台银行市民e贷》《神龙加速》等 [2][3] - 28款应用未提供撤回同意的便捷途径 包括《对庄翡翠》《好分数》《石油商旅》等 [3] - 2款应用通过自动化决策推送信息时未提供拒绝选项 包括《句读》《雪球基金》 [3] - 1款应用处理敏感信息未取得单独同意 《万达普惠》 [3] - 12款应用未制定未成年人信息处理规则或未获监护人同意 包括《费大厨辣椒炒肉》《陶味茶楼》《天津鲁能城》等 [3] - 1款应用信息收集频度超出业务需要 《音乐多多》 [3] - 31款应用未采取加密或去标识化安全措施 包括《大悦城商场》《肯德基》《朴朴超市》《洲际酒店集团》等 [3] - 2款应用广告关闭机制不符合要求 《上海思极_Android_SDK》《元气SDK》 [3] - 5款应用完全缺失隐私政策 均为长安启源Q05预装或商店应用 包括《车辆中心》《酷咖游戏》《中国象棋》等 [3] 平台合规态势 - 违规应用覆盖多个主流分发渠道 包括微信小程序(19次)、华为应用市场(6次)、PP助手(6次)、vivo商店(5次)等 [1][2][3] - 长安汽车预装应用商店出现系统性合规缺失 5款应用均无隐私政策 [3] - 前期通报的68款应用中仍有25款未完成整改 已被应用商店下架 [3]

核心观点 - 国家网络安全通报中心检测发现60多款移动应用存在违法违规收集使用个人信息问题 其中涉及7家金融机构APP 包括4家券商和3家银行 [1] - 违规行为主要集中在三大领域：隐私政策未完整披露信息收集范围(25款应用) 未提供用户撤回同意途径(30款应用) 未采取加密等安全技术措施(29款应用) [1][2] - 金融机构具体违规应用包括诚通证券6.0.3.0版 申港证券3.1.7版 兴业证券优理宝8.9.0版 五矿证券3.40.2版 乌海银行5.0.1版 海峡银行4.0.0版 龙江银行2.00.03版 [2] 违规行为分析 - 隐私政策未完整列明信息收集目的方式范围 涉及25款移动应用 包括龙江银行和申港证券APP [1] - 未提供用户撤回同意收集个人信息的便捷途径 涉及30款移动应用 包括兴业证券APP [1] - 未采取加密和去标识化等安全技术措施 涉及29款移动应用 包括诚通证券APP [2] - 存在向第三方提供个人信息时未告知接收方信息且未取得单独同意的问题 涉及诚通证券 五矿证券 兴业证券 申港证券 海峡银行 乌海银行等机构 [3] 涉及行业分布 - 60多款违规应用覆盖餐饮 游戏 招聘 交友 生活服务 金融等多个领域 [2] - 茶饮行业成为重灾区 包括星巴克 古茗 霸王茶姬 库迪咖啡 太平洋咖啡 奈雪的茶 茶颜悦色 茶百道 喜茶等品牌APP [2] - 金融行业共7家机构被点名 券商占比57%（4家） 银行占比43%（3家） [1][2] 监管背景 - 检测时间为2025年5月23日至6月11日 由国家计算机病毒应急处理中心执行 [1] - 2025年以来已发布6期违规移动应用名单 前5期也有金融机构被点名 [3] - 中央网信办正在开展2025年个人信息保护系列专项行动 将对拒不整改的依法从严处理 [3]

行业现状与问题 - 保险行业属于个人信息密集型行业，涉及生物识别、金融账户、家庭关系、财产状况、就医健康等敏感个人信息，数据要素多、保护链条长、风险点分散[3] - 部分保险中介机构的用户注册或隐私协议中存在侵权条款，例如授权将联系方式及间接用户画像用于“合作伙伴产品推荐”[1] - 车险即将到期时，车主频繁接到能准确说出个人信息的保险公司陌生推销电话，表明个人信息泄露及滥用问题在行业内存在[1] 违规行为与侵权方式 - 相关企业存在借“行业惯例”之名倒卖用户信息的现象[3] - 某些机构将监管要求的“销售页面操作轨迹”记录，扩大为收集浏览历史、点赞记录等无关数据，将满足监管的必要收集与商业目的的信息收集混为一谈[3] - “沉默式”侵权条款隐藏在复杂的协议文本中，较高的阅读成本和理解门槛使用户可能在无准确认识的情况下，同意了超出“最小必要”原则的信息收集[3] 监管要求与法律框架 - 个人信息保护法规定，收集和处理个人信息应遵循“最小必要”原则，即限于实现处理目的的最小范围[3] - 原银保监会于2020年发布《关于规范互联网保险销售行为可回溯管理的通知》，要求保险机构记录“投保人在销售页面上的操作轨迹”以确保可追溯性并防止销售误导[3] - 我国已形成由网络安全法、数据安全法、个人信息保护法构成的数据合规顶层法律框架，并开展了各类违法违规收集使用个人信息专项治理行动[4] 问题根源与治理挑战 - 个人信息违规收集现象屡禁不止，背后涉及利益方对合规成本与违规收益的考量[4] - “最小必要”原则相对模糊、数据流转黑箱化、技术滥用隐蔽等因素增加了治理难度[4] - 铺天盖地的营销信息不仅打扰用户、引起反感、丢失潜在客户，也会引发公众对信息安全质疑，损害整个行业的公信力[3] 治理建议与方向 - 治理个人信息的过度获取和不当使用，单靠用户的“火眼金睛”或企业的“道德自觉”远远不够[4] - 需要细化场景规则，做到有效告知，提高违规成本，建立刚性约束[4]

快递行业隐私保护措施 - 我国快递业务量已突破1000亿件，但快递上的个人信息保护问题凸显 [1] - 北京市邮政管理局组织开展隐私运单专项检查，要求企业做到"应用尽用" [1] - 隐私运单通过隐匿信息、虚拟号码等技术对收寄件人信息进行加密处理 [1] 快递企业技术应用 - 顺丰推行隐私面单和虚拟号码技术保护用户信息 [1] - 顺丰对后端存储的客户敏感数据加密，即使被非法访问也无法查看真实内容 [1] 政府监管行动 - 市网信办将联合邮政管理局等部门开展快递寄送场景隐私保护专项整治 [1] - 近期将深化线下消费场景个人信息治理，包括摸排、自查、抽查检验等措施 [2] - 强化问题线索发现和常态监管，维护市民个人信息权益 [2]