围绕移动互联网领域个人信息保护突出问题,有关部门近期持续加大治理力度。
工业和信息化部表示,依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,针对APP、SDK在收集使用用户个人信息方面的违法违规现象开展规范整治。
近期抽查结果显示,24款APP及SDK被发现存在侵害用户权益行为,相关责任主体被要求按规定整改落实;对整改不到位的,将依法依规组织开展进一步处置工作。
问题:从近年监管实践看,侵害用户权益的典型表现主要集中在“超范围、强索取、难退出、难知情”等环节。
一些产品在用户未充分知情或未作出有效授权的情况下,过度收集与业务功能无关的信息;也有产品在权限申请、隐私政策展示、关闭授权与账号注销等方面设置不必要门槛,影响用户对个人信息的自主控制。
SDK作为提供登录、支付、广告投放、数据分析等能力的基础组件,其违规调用、链路传递不透明等问题也易成为风险点,造成“看不见的采集”和跨主体流转。
原因:一是部分企业合规意识与治理能力不足,对“最小必要”原则、告知同意规则、目的限定与安全保障义务理解不深,仍以技术便利替代合规边界。
二是商业模式驱动下,个别产品过度依赖数据要素进行用户画像与精准营销,导致“数据越多越好”的倾向难以纠偏。
三是移动应用生态链条长,APP开发者、第三方SDK提供方、广告联盟等多主体协作,责任边界与管理机制若不清晰,容易出现“合规短板”被层层放大。
四是部分平台和开发团队在版本迭代中重功能、轻审计,隐私合规评估与代码审查缺位,导致问题长期积累。
影响:个人信息保护事关公民合法权益和数字经济健康发展。
对用户而言,过度采集与不当使用可能带来骚扰营销、账户被盗用、精准诈骗等风险,削弱对网络服务的信任基础;对行业而言,违规行为破坏公平竞争秩序,挤压合规经营者空间,增加社会治理成本;对产业发展而言,数据要素价值释放必须建立在合法合规与安全可控之上,一旦信任受损,将影响应用创新和消费活力,阻碍数字化转型行稳致远。
对策:监管部门以专项行动为牵引,通过抽查检测、通报整改、依法处置等方式形成闭环,释放“以法治约束行为、以规则促进行业自律”的明确信号。
对企业来说,关键在于把合规要求嵌入产品设计与工程流程:一要严格落实最小必要原则,围绕核心功能确定采集清单,做到“能不采不采、能少采不多采”;二要提升告知质量与授权可控性,隐私政策表述清晰、重点信息醒目呈现,权限申请与业务必要性对应,提供便捷的撤回授权和账号注销渠道;三要加强SDK治理,建立引入评估、版本管理、调用审计和数据流向追溯机制,明确与第三方的责任分工与合规条款;四要强化数据安全保障,完善加密存储、访问控制、日志留存与安全评估,防止数据“收得多、管得弱”。
同时,行业协会、应用商店和平台运营方也应完善准入审核与常态化抽检,推动形成从上线到运营的持续合规管理链条。
前景:随着个人信息保护系列专项行动深入推进,移动互联网治理将从“集中整治”迈向“常态监管”,对企业合规能力提出更高要求。
可以预期,监管将更加注重可验证、可追溯的技术与管理措施,推动隐私保护从文本合规走向工程合规、从单点整改走向系统治理。
对用户而言,知情权、选择权与删除权等权利保障将进一步强化;对产业而言,合规将逐步成为创新与竞争的重要基础条件。
未来,只有把用户权益放在首位、把合规安全作为底线的产品,才能在激烈竞争中获得持久生命力。
个人信息保护关乎每一位公民的切身利益,也是数字时代社会治理的重要课题。
此次专项行动释放出强烈信号,任何企业都不得以技术创新和商业利益为名,突破法律底线侵害用户权益。
只有在法治轨道上推进数字化发展,平衡好创新与安全、发展与保护的关系,才能真正实现技术向善,让数字文明成果惠及全体人民。
广大用户也应提高个人信息保护意识,主动学习相关知识,善用法律武器维护自身合法权益。