围绕移动互联网应用中个人信息与用户权益保护,监管部门再度释放强监管信号。
工业和信息化部信息通信管理局6日发布关于侵害用户权益行为的APP(SDK)通报,指出在近期抽查中发现22款APP及SDK存在侵害用户权益行为,并要求相关主体依规整改,对整改不到位者将依法依规开展后续处置。
这一举措体现出在《个人信息保护法》《网络安全法》《电信条例》等法律法规框架下,移动应用生态治理正从“运动式整治”向“常态化监管”深化推进。
问题层面看,APP及SDK侵害用户权益通常集中在个人信息收集使用不规范、权限申请与告知不充分、超范围采集与过度索权、账号注销与更正删除机制不完善、以及第三方组件调用链条不透明等方面。
SDK作为应用的“基础零部件”,嵌入后可实现统计分析、广告投放、支付登录等功能,但也可能在开发者未充分审查的情况下,带来跨场景的数据流转与合规风险。
一旦SDK在后台触发数据采集或与多方共享信息,用户往往难以感知和有效选择,权益受损具有隐蔽性和扩散性。
原因层面既有技术治理难题,也有商业模式驱动。
其一,移动应用行业迭代快、功能更新频繁,部分企业合规内控和安全评估跟不上产品节奏,尤其是中小开发者在合规团队、审计能力和测试资源方面相对薄弱。
其二,数据要素对增长、推荐、精准营销等具有显著价值,少数主体存在“多采一点、先用再说”的侥幸心理,导致告知同意流于形式。
其三,SDK链条长、外包与多方合作普遍,责任边界在实践中容易被模糊;若缺少对第三方组件的准入评估、动态监测与版本管理,违规风险将随更新扩散到更多应用。
其四,部分产品在权限设计上追求“功能一次到位”,将与核心服务不相关的权限捆绑申请,造成用户被动授权。
影响层面,此类行为不仅侵害用户知情权、选择权与个人信息权益,也会加剧用户对移动应用生态的不信任,影响数字消费体验与行业长期发展。
对企业而言,违规不仅可能带来通报、下架、行政处罚等合规成本,还会造成品牌信誉受损、合作方审查趋严、融资与市场拓展受限等连锁反应。
对行业而言,如果“合规即成本、违规有收益”的预期未被扭转,将劣币驱逐良币,抬高整个生态的治理成本。
对国家层面而言,个人信息保护与网络安全是数字经济健康发展的基础工程,治理不到位将影响数据安全、公共安全以及数字化转型的质量。
对策层面,通报明确了“发现问题—督促整改—依法处置”的监管闭环,释放出压实主体责任、强化执法协同的方向。
下一步治理可从几方面发力:一是以法律法规为底线,推动企业落实“最小必要、公开透明、目的限定”的个人信息处理原则,在产品设计阶段嵌入合规评估与隐私保护机制,做到“先合规、后上线”。
二是强化SDK治理,建立组件准入白名单和安全评估机制,明确SDK版本管理、权限调用、数据流向与共享对象,防止“黑箱式采集”;对关键SDK实行动态监测与异常告警,形成可追溯的技术台账。
三是优化用户可感知、可操作的授权体验,避免强制捆绑授权;完善注销、更正、删除等权利实现路径,降低用户行权门槛。
四是发挥第三方检测与社会监督作用,提升抽查覆盖面与针对性,形成对违规行为的持续震慑。
五是推动平台侧治理,应用商店、分发平台和广告平台等应强化合规审核与违规处置联动,形成“多环节共同担责”的治理格局。
前景层面,随着个人信息保护制度体系不断完善,移动应用治理将更加强调精细化与可验证:既看“是否告知”,也看“告知是否清晰”;既看“是否同意”,也看“是否可撤回、是否可替代”;既看“数据是否采集”,也看“采集是否必要、存储是否安全、共享是否合规”。
可以预期,监管将持续推动行业从“以数据为中心”转向“以用户权益为中心”,合规能力将成为企业竞争力的重要组成部分。
对依法合规、注重隐私设计的企业而言,治理趋严反而有利于形成更公平的市场环境,促进创新在安全边界内健康发展。
移动互联网生态的健康发展,既需要监管利剑高悬,更呼唤企业将用户权益保护内化为发展基因。
随着法律法规的细化和技术监管手段的升级,这场关乎数亿用户信息安全与数字经济发展质量的攻坚战,正迎来从量变到质变的关键转折。