监管行动背景与范围 - 国家计算机病毒应急处理中心依据《网络安全法》《个人信息保护法》等法律法规，对移动应用进行检测 [1] - 本次专项行动检测时间为2025年9月1日至2025年9月28日 [13] - 共发现70款移动应用存在违法违规收集使用个人信息的情况 [1] - 上期通报的69款应用中，经复测仍有28款存在问题并已被应用分发平台下架 [12] 个人信息收集规则违规 - 23款应用在首次运行时未以明显方式提示用户阅读隐私政策，或隐私政策难以访问 [1] - 24款应用的隐私政策未逐一列出收集个人信息的目的、方式、范围，包括委托或嵌入的第三方代码和插件 [2] - 5款应用未在征得用户同意前就开始收集个人信息或打开相关权限 [4] - 9款应用被发现无隐私政策，全部为百度小程序，涉及物流、房产、医疗等领域 [12] 用户同意与权利保障缺失 - 14款应用在向其他方提供个人信息时，未告知用户接收方信息并取得单独同意 [3] - 23款应用未向用户提供撤回同意收集个人信息的便捷途径和方式 [7][8] - 4款应用未提供有效的更正、删除个人信息及注销用户账号的功能 [5] - 2款应用对用户的投诉、举报未在承诺时限内受理并处理 [6] 特定人群与敏感信息处理违规 - 13款应用在处理不满十四周岁未成年人个人信息时，未制定专门规则或未取得监护人单独同意 [10] - 1款应用在处理敏感个人信息时，未向个人告知处理的必要性及对个人权益的影响 [9] - 3款应用通过自动化决策方式进行信息推送或商业营销时，未提供不针对个人特征的选项或便捷的拒绝方式 [8] 数据安全技术措施不足 - 34款应用未采取相应的加密、去标识化等安全技术措施来保护个人信息 [11] - 安全漏洞涉及的应用类型广泛，包括零售、健康、宠物、娱乐等多个行业 [11]

违规应用通报情况 - 国家网络安全通报中心检测发现64款移动应用存在违法违规收集使用个人信息问题 [1] - 涉及13项违规行为，其中5类问题最为突出 [3] - 被通报应用覆盖金融、餐饮、游戏、出行、生活服务等多个行业 [7] 金融机构违规详情 - 7家金融机构APP被点名，包括4家券商（诚通证券、兴业证券、申港证券、五矿证券）和3家银行（龙江银行、乌海银行、海峡银行） [1][5] - 主要违规行为：未告知第三方信息接收方详情（4家券商和3家银行均涉及）、未采取加密/去标识化措施（诚通证券）、未提供撤回同意途径（兴业证券） [6] - 银行APP具体问题：龙江银行未提供撤回同意途径，乌海银行未及时响应用户注销请求 [6] 违规行为分类统计 - 未显著提示隐私政策：涉及星巴克、古茗等10款应用 [3] - 未列明个人信息收集范围：涉及龙江银行、申港证券等25款应用 [3] - 未告知第三方信息共享详情：涉及诚通证券、海峡银行等14款应用 [3] - 未提供撤回同意途径：涉及兴业证券、海南航空等30款应用 [3] - 未采取加密措施：涉及微博、诚通证券等29款应用 [4] 涉及知名品牌 - 非金融领域被通报品牌包括星巴克、货拉拉、海南航空、茶颜悦色、喜茶等 [3][7]

核心观点 - 中央网信办检测发现15款App和16款SDK存在侵害用户权益行为，主要问题包括未明确列出个人信息收集使用规则、未说明响应措施等 [1][3][6] - 问题App中8款未逐一列出收集个人信息的SDK，7款未准确列出SDK收集目的、方式、范围 [1][2][3] - 问题SDK中3款未提供收集规则，4款未说明响应措施，6款未及时响应用户投诉，3款处理时限超15个工作日 [3][4][6] - 相关运营者需在15个工作日内完成整改并提交报告，网信办将核查并依法处置 [6] 问题App详情 - **未逐一列出SDK的App（8款）**：墨迹天气tv版（1.3.8）、医家（5.4.33）、成丰货运司机端（4.10.84）、天津公交（2.4.17）、企鹅天气预报（1.0.2）、21cake（3.6.2）、动漫之家（3.9.13）、烟台出行（3.82） [2][3] - **未准确列出收集目的的App（7款）**：亲邻开门（4.9.9）、杉宝（3.7.0）、学霸在线（3.0.8）、马踏飞蒸（4.8.2.5）、有道精品课（6.8.2）、最右（6.3.19）、途虎养车（7.10.5） [2][3] 问题SDK详情 - **未提供收集规则的SDK（3款）**：CTP穿透采集（上海期货信息技术）、金仕达穿透采集（上海金仕达软件科技）、传漾广告（上海传漾数字科技） [4] - **未说明响应措施的SDK（4款）**：LinkedME（北京微方程科技）、亿帆（南京亿帆数字科技）、Mercury（上海倍业信息科技）、西瓜影音（深圳西瓜影音科技） [4] - **未及时响应用户投诉的SDK（6款）**：机智云（广州机智云物联网）、聚合渠道（厦门游力信息科技）、声网（上海声网科技）、U8（上海丞诺网络科技）、CC视频云直播（创盛视联数码科技）、数美（北京数美时代科技） [4][6] - **处理时限超15个工作日的SDK（3款）**：融云IM/RTC（北京云中融信网络科技）、枫岚互联（北京格瑞创新科技）、免密以正（北京一砂信息技术） [4][6] 监管动态 - 检测范围细化至告知内容及处理方式的合理性、可行性 [6] - 整改期限为通报发布后15个工作日，逾期将依法处置 [6]

中国网络安全法规体系 - 《中华人民共和国网络安全法》于2016年11月7日通过，2017年6月1日施行，是中国首部全面规范网络空间安全管理的基础性法律，标志着网络空间法治化里程碑 [3] - 《中华人民共和国数据安全法》于2021年6月10日通过，同年9月1日施行，作为数据领域首部基础性法律，为各行业数据安全提供监管依据 [8] - 《中华人民共和国个人信息保护法》于2021年8月20日通过，11月1日施行，细化个人信息处理规则与权利义务边界，完善保护工作机制 [11] - 《关键信息基础设施安全保护条例》2021年9月1日施行，规范能源、金融、交通等关键领域网络设施安全保护，成为依法治理的纲领性文件 [15] 核心概念定义 - 网络安全指通过必要措施防范网络攻击、干扰、破坏及非法使用，保障网络保密性、可用性 [4][5] - 数据安全要求确保数据处于有效保护和合法利用状态，涵盖收集、存储、使用、传输等全流程 [8] - 个人信息包括可识别自然人的各类信息，处理活动需遵循最小范围、最短保存期限原则 [13][14] - 关键信息基础设施涵盖金融、能源、国防等一旦遭破坏可能危害国家安全的重要网络设施 [16] 行业合规要求 - 数据处理者需建立分类分级保护制度，中央网信部门统筹协调，行业主管部门对本领域数据安全负责 [9] - 关键信息基础设施运营者必须同步规划安全保护措施，设置专门管理机构并定期报告安全事件 [17] - 个人信息处理需保障知情权、删除权等八大权利，敏感信息如生物识别数据需特殊保护 [14][18] 金融领域风险案例 - 冒充银行客服诈骗通过虚假链接窃取银行卡信息与验证码，典型案例显示受害者因泄露动态密码损失资金 [27][28] - AI换脸诈骗利用深度伪造技术生成虚假视频，某案例中诈骗者通过16秒伪造通话骗取40万元 [30][32][34] - 虚假投资理财平台通过操纵虚拟股票交易造成本金损失，犯罪团伙利用"内幕消息"话术诱导反向操作 [40][42] - 征信修复诈骗以消除不良记录为名收取高额代理费，实际无法修改信用报告数据 [36][37] 个人信息防护措施 - 避免随意丢弃含个人信息的快递单等纸质单据，处理电子设备前需彻底清除数据 [19][22][23] - 重要信息需加密处理，如身份证复印件标注限定用途，账户密码应定期更换复杂组合 [24][25] - 警惕公共WiFi风险，不在此环境下输入银行账户等敏感信息，安装安全软件定期扫描 [26] - 对陌生音视频通话需通过挥手验证等生物特征交互确认身份，防范AI换脸欺诈 [35] 数字化金融安全趋势 - 国家反诈中心APP与96110专线构成预警劝阻体系，云闪付"一键查卡"功能强化账户安全 [44][45] - 网络安全为数字化转型提供基础保障，数字金融技术正赋能新质生产力发展 [48]