监管行动概览 - 国家网络安全通报中心依据《网络安全法》《个人信息保护法》等法律法规，对72款移动应用存在违法违规收集使用个人信息的情况进行了通报 [1] - 此次行动是依据中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告要求进行的 [1] - 检测工作由国家计算机病毒应急处理中心执行，检测时间为2025年12月26日至2026年1月20日 [1][11] - 上期通报的71款应用中，经复测仍有33款存在问题，相关应用分发平台已予以下架 [10] 违规行为类型与涉事应用分布 - **首次运行时隐私政策提示违规**：涉及17款移动应用，主要问题包括未以弹窗等明显方式提示、默认选择同意、隐私政策难以访问、未清晰告知处理者信息等 [1] - **隐私政策内容不完整**：涉及34款移动应用，主要问题为未逐一列出收集使用个人信息的目的、方式、范围，包括委托或嵌入的第三方 [2] - **向第三方提供信息违规**：涉及17款移动应用，主要问题包括未告知接收方信息并取得单独同意、向第三方提供信息未经同意且未做匿名化处理 [3] - **未经同意收集信息或开启权限**：涉及5款移动应用，主要问题包括用户拒绝后仍收集信息、频繁征求同意干扰正常使用 [4] - **用户权利保障缺失**：涉及9款移动应用，主要问题包括未提供有效的更正、删除、注销功能，或设置不合理条件、未及时响应 [4] - **投诉举报处理机制不健全**：涉及3款移动应用，主要问题包括未在承诺时限内受理处理、未建立便捷的申请受理机制 [5] - **未提供撤回同意途径**：涉及22款移动应用，个人信息处理者未提供便捷的撤回同意方式 [5] - **自动化决策与定向推送违规**：涉及2款移动应用，主要问题包括未提供非个性化选项或便捷拒绝方式、未经同意将信息用于定向推送且未提供关闭选项 [6] - **敏感个人信息处理违规**：涉及4款移动应用，主要问题包括未取得单独同意、未告知处理必要性及影响 [6] - **未成年人信息保护违规**：涉及6款移动应用，主要问题包括未制定专门规则、未取得监护人单独同意 [6][7] - **安全技术措施缺失**：涉及25款移动应用，主要问题为未采取相应的加密、去标识化等安全技术措施 [8] - **广告干扰正常使用**：涉及1款移动应用，问题为在同一页面或文档关闭后继续弹出广告 [9] - **人脸识别技术滥用**：涉及3款移动应用，问题包括将人脸识别作为唯一验证方式、未提供其他合理便捷方式 [9] - **无隐私政策**：涉及4款移动应用，均为百度小程序 [10] 涉及的应用分发平台与市场 - 通报涉及的应用来自多个主流分发平台，包括华为应用市场、微信小程序、支付宝小程序、AppStore、应用宝、vivo应用商店、豌豆荚、抖音应用中心、360手机助手、小米应用商店、百度手机助手、PP助手、搜狗下载、历趣市场、学而思学习机应用商店、多多软件站等 [1][2][3][4][5][6][7][8][9][10] 重复违规与重点应用 - 部分应用在多个违规类别中重复出现，表明其合规问题较为严重 - **《笨嘴神器股票数据分析交流平台》（微信小程序）** 出现在第1、2、5、6、9类违规中，共涉及5个类别 [1][2][4][5][6] - **《河马智能回收》（微信小程序）** 出现在第3、4、5、6、7、8、9、10、11类违规中，共涉及9个类别，是涉及违规类型最多的应用 [3][4][5][6][7][8] - **《大智慧》（版本V1.10，华为应用市场IdeaHub专区）** 出现在第1、2、3、5、7、10类违规中，共涉及6个类别 [1][2][3][4][5][7] - **《英语时文阅读》（版本1.7.1，学而思学习机应用商店）** 出现在第1、2、5、7、10类违规中，共涉及5个类别 [1][2][4][5][7] - **《豆豆饭》（版本v2.3.5，华为应用市场）** 出现在第1、2、3、5、7类违规中，共涉及5个类别 [1][2][3][5] - **《米加小镇世界》（版本1.93，应用宝）** 出现在第2、5、7、12类违规中，共涉及4个类别 [2][4][5][9]

行业监管政策动向 - 国家互联网信息办公室发布《互联网应用程序个人信息收集使用规定（征求意见稿）》，旨在规范互联网应用程序对个人信息的收集和使用活动，直击过度索权乱象 [1] - 新规旨在厘清软件和平台的信息收集边界，构建“有界流通”的数据应用生态，以实现个人信息保护与数据合理流通的双赢 [1][2] 当前行业存在的乱象 - 互联网应用长期存在诸多个人信息获利潜规则，例如调用通讯录、短信、麦克风、相册等权限以收集用户社交关系、消费偏好或辅助广告推送 [1] - 平台常将过度索权包装成“体验升级”，采用“一揽子同意”、“默认勾选”等套路，导致用户在不知情中泄露个人信息 [1] - 部分平台将通讯录、位置、生物特征等敏感信息与基础功能捆绑，实行“不给权限不让用”的强制运营模式 [1] 新规的核心要求与原则 - 要求应用程序将核心功能与非必要权限剥离，用户可选择性授权，杜绝捆绑授权 [2] - 延续并细化了“最小必要”原则，明确权限调用需与当前功能直接相关，并在场景结束后立即停止 [2] - 举例说明具体要求，如外卖、闪送平台仅在下单时申请定位，社交软件仅在发语音时调用麦克风，意在消除“后台监听”、“持续追踪”等问题 [2] 对行业生态的预期影响 - 新规旨在推动企业回归服务本质，对个人信息明明白白收集、规规矩矩使用，不再依赖“数据掠夺”获利 [2] - 促进行业从依赖“数据掠夺”转向依靠技术创新和服务优化来赢得市场 [2] - 为人工智能、大数据的应用和发展保留合理空间，充分发挥数据要素价值 [2]

监管行动背景与范围 - 国家计算机病毒应急处理中心依据《网络安全法》《个人信息保护法》等法律法规，对移动应用进行检测 [1] - 本次专项行动检测时间为2025年9月1日至2025年9月28日 [13] - 共发现70款移动应用存在违法违规收集使用个人信息的情况 [1] - 上期通报的69款应用中，经复测仍有28款存在问题并已被应用分发平台下架 [12] 个人信息收集规则违规 - 23款应用在首次运行时未以明显方式提示用户阅读隐私政策，或隐私政策难以访问 [1] - 24款应用的隐私政策未逐一列出收集个人信息的目的、方式、范围，包括委托或嵌入的第三方代码和插件 [2] - 5款应用未在征得用户同意前就开始收集个人信息或打开相关权限 [4] - 9款应用被发现无隐私政策，全部为百度小程序，涉及物流、房产、医疗等领域 [12] 用户同意与权利保障缺失 - 14款应用在向其他方提供个人信息时，未告知用户接收方信息并取得单独同意 [3] - 23款应用未向用户提供撤回同意收集个人信息的便捷途径和方式 [7][8] - 4款应用未提供有效的更正、删除个人信息及注销用户账号的功能 [5] - 2款应用对用户的投诉、举报未在承诺时限内受理并处理 [6] 特定人群与敏感信息处理违规 - 13款应用在处理不满十四周岁未成年人个人信息时，未制定专门规则或未取得监护人单独同意 [10] - 1款应用在处理敏感个人信息时，未向个人告知处理的必要性及对个人权益的影响 [9] - 3款应用通过自动化决策方式进行信息推送或商业营销时，未提供不针对个人特征的选项或便捷的拒绝方式 [8] 数据安全技术措施不足 - 34款应用未采取相应的加密、去标识化等安全技术措施来保护个人信息 [11] - 安全漏洞涉及的应用类型广泛，包括零售、健康、宠物、娱乐等多个行业 [11]

违规应用通报情况 - 国家网络安全通报中心检测发现64款移动应用存在违法违规收集使用个人信息问题 [1] - 涉及13项违规行为，其中5类问题最为突出 [3] - 被通报应用覆盖金融、餐饮、游戏、出行、生活服务等多个行业 [7] 金融机构违规详情 - 7家金融机构APP被点名，包括4家券商（诚通证券、兴业证券、申港证券、五矿证券）和3家银行（龙江银行、乌海银行、海峡银行） [1][5] - 主要违规行为：未告知第三方信息接收方详情（4家券商和3家银行均涉及）、未采取加密/去标识化措施（诚通证券）、未提供撤回同意途径（兴业证券） [6] - 银行APP具体问题：龙江银行未提供撤回同意途径，乌海银行未及时响应用户注销请求 [6] 违规行为分类统计 - 未显著提示隐私政策：涉及星巴克、古茗等10款应用 [3] - 未列明个人信息收集范围：涉及龙江银行、申港证券等25款应用 [3] - 未告知第三方信息共享详情：涉及诚通证券、海峡银行等14款应用 [3] - 未提供撤回同意途径：涉及兴业证券、海南航空等30款应用 [3] - 未采取加密措施：涉及微博、诚通证券等29款应用 [4] 涉及知名品牌 - 非金融领域被通报品牌包括星巴克、货拉拉、海南航空、茶颜悦色、喜茶等 [3][7]

核心观点 - 中央网信办检测发现15款App和16款SDK存在侵害用户权益行为，主要问题包括未明确列出个人信息收集使用规则、未说明响应措施等 [1][3][6] - 问题App中8款未逐一列出收集个人信息的SDK，7款未准确列出SDK收集目的、方式、范围 [1][2][3] - 问题SDK中3款未提供收集规则，4款未说明响应措施，6款未及时响应用户投诉，3款处理时限超15个工作日 [3][4][6] - 相关运营者需在15个工作日内完成整改并提交报告，网信办将核查并依法处置 [6] 问题App详情 - **未逐一列出SDK的App（8款）**：墨迹天气tv版（1.3.8）、医家（5.4.33）、成丰货运司机端（4.10.84）、天津公交（2.4.17）、企鹅天气预报（1.0.2）、21cake（3.6.2）、动漫之家（3.9.13）、烟台出行（3.82） [2][3] - **未准确列出收集目的的App（7款）**：亲邻开门（4.9.9）、杉宝（3.7.0）、学霸在线（3.0.8）、马踏飞蒸（4.8.2.5）、有道精品课（6.8.2）、最右（6.3.19）、途虎养车（7.10.5） [2][3] 问题SDK详情 - **未提供收集规则的SDK（3款）**：CTP穿透采集（上海期货信息技术）、金仕达穿透采集（上海金仕达软件科技）、传漾广告（上海传漾数字科技） [4] - **未说明响应措施的SDK（4款）**：LinkedME（北京微方程科技）、亿帆（南京亿帆数字科技）、Mercury（上海倍业信息科技）、西瓜影音（深圳西瓜影音科技） [4] - **未及时响应用户投诉的SDK（6款）**：机智云（广州机智云物联网）、聚合渠道（厦门游力信息科技）、声网（上海声网科技）、U8（上海丞诺网络科技）、CC视频云直播（创盛视联数码科技）、数美（北京数美时代科技） [4][6] - **处理时限超15个工作日的SDK（3款）**：融云IM/RTC（北京云中融信网络科技）、枫岚互联（北京格瑞创新科技）、免密以正（北京一砂信息技术） [4][6] 监管动态 - 检测范围细化至告知内容及处理方式的合理性、可行性 [6] - 整改期限为通报发布后15个工作日，逾期将依法处置 [6]

中国网络安全法规体系 - 《中华人民共和国网络安全法》于2016年11月7日通过，2017年6月1日施行，是中国首部全面规范网络空间安全管理的基础性法律，标志着网络空间法治化里程碑 [3] - 《中华人民共和国数据安全法》于2021年6月10日通过，同年9月1日施行，作为数据领域首部基础性法律，为各行业数据安全提供监管依据 [8] - 《中华人民共和国个人信息保护法》于2021年8月20日通过，11月1日施行，细化个人信息处理规则与权利义务边界，完善保护工作机制 [11] - 《关键信息基础设施安全保护条例》2021年9月1日施行，规范能源、金融、交通等关键领域网络设施安全保护，成为依法治理的纲领性文件 [15] 核心概念定义 - 网络安全指通过必要措施防范网络攻击、干扰、破坏及非法使用，保障网络保密性、可用性 [4][5] - 数据安全要求确保数据处于有效保护和合法利用状态，涵盖收集、存储、使用、传输等全流程 [8] - 个人信息包括可识别自然人的各类信息，处理活动需遵循最小范围、最短保存期限原则 [13][14] - 关键信息基础设施涵盖金融、能源、国防等一旦遭破坏可能危害国家安全的重要网络设施 [16] 行业合规要求 - 数据处理者需建立分类分级保护制度，中央网信部门统筹协调，行业主管部门对本领域数据安全负责 [9] - 关键信息基础设施运营者必须同步规划安全保护措施，设置专门管理机构并定期报告安全事件 [17] - 个人信息处理需保障知情权、删除权等八大权利，敏感信息如生物识别数据需特殊保护 [14][18] 金融领域风险案例 - 冒充银行客服诈骗通过虚假链接窃取银行卡信息与验证码，典型案例显示受害者因泄露动态密码损失资金 [27][28] - AI换脸诈骗利用深度伪造技术生成虚假视频，某案例中诈骗者通过16秒伪造通话骗取40万元 [30][32][34] - 虚假投资理财平台通过操纵虚拟股票交易造成本金损失，犯罪团伙利用"内幕消息"话术诱导反向操作 [40][42] - 征信修复诈骗以消除不良记录为名收取高额代理费，实际无法修改信用报告数据 [36][37] 个人信息防护措施 - 避免随意丢弃含个人信息的快递单等纸质单据，处理电子设备前需彻底清除数据 [19][22][23] - 重要信息需加密处理，如身份证复印件标注限定用途，账户密码应定期更换复杂组合 [24][25] - 警惕公共WiFi风险，不在此环境下输入银行账户等敏感信息，安装安全软件定期扫描 [26] - 对陌生音视频通话需通过挥手验证等生物特征交互确认身份，防范AI换脸欺诈 [35] 数字化金融安全趋势 - 国家反诈中心APP与96110专线构成预警劝阻体系，云闪付"一键查卡"功能强化账户安全 [44][45] - 网络安全为数字化转型提供基础保障，数字金融技术正赋能新质生产力发展 [48]