中央网信办通报15款App及16款SDK违规收集个人信息 限期15日整改​

2025年5月6日，中央网信办秘书局发布《关于15款App和16款SDK个人信息收集使用问题的通报》（以下简称《通报》），依据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等法律法规，对墨迹天气TV版、医家等15款App及CTP穿透采集、金仕达穿透采集等16款SDK存在的个人信息违规收集使用问题予以公开通报，要求相关运营者15个工作日内完成整改。此次行动是2025年个人信息保护系列专项行动的重要环节，彰显监管部门对数据安全治理的持续高压态势。

一、通报背景：强化个人信息保护法治化监管

随着数字经济快速发展，App和第三方SDK（软件开发工具包）成为个人信息泄露的高风险环节。近年来，中央网信办联合工信部、公安部、市场监管总局等部门持续开展专项整治，2025年专项行动进一步聚焦技术隐蔽性强、用户感知度低的违规行为。

此次通报依据多部法律法规：

1. 《网络安全法》：明确网络运营者收集个人信息应遵循合法、正当、必要原则。

2. 《个人信息保护法》：要求处理个人信息需取得单独同意，并完整公开收集使用规则。

3. 《网络数据安全管理条例》：细化数据分类分级管理要求。

4. 《App违法违规收集使用个人信息行为认定方法》：为违规行为提供具体判定标准。

二、问题剖析：App与SDK的典型违规行为（一）15款App未履行信息透明义务

通报指出，墨迹天气TV版、医家等15款App存在以下问题：

1. 未逐一列明嵌入的SDK：部分App仅在隐私政策中模糊提及“可能与第三方共享数据”，但未具体说明SDK名称及功能。

2. 收集目的与范围表述不清：如某健康类App声称收集地理位置用于“优化服务”，实际却将数据用于广告推送。

3. 用户权利响应机制缺失：部分App未提供有效的个人信息删除或更正渠道。

专家解读：中国信息安全研究院副院长左晓栋指出，此类行为违反“最小必要”原则，损害用户知情权与选择权。

被点名的16款SDK问题更为隐蔽：

1. 未提供独立隐私政策：如CTP穿透采集SDK未说明其数据存储期限及跨境传输情况。

2. 未明确用户权利响应措施：金仕达穿透采集等SDK未承诺如何处理用户提出的数据访问或投诉请求。

3. 技术手段隐蔽：部分SDK通过“热更新”机制动态加载代码，规避应用商店审核。

行业影响：SDK作为底层工具，常被多款App集成，其违规行为可能导致连锁式数据泄露风险。

三、整改要求与后续监管措施

《通报》明确整改时限为15个工作日（截至2025年5月27日），具体要求包括：

1. 全面修订隐私政策：需逐项列明SDK名称、功能、收集数据类型及目的。

2. 建立用户权利响应机制：设置专职岗位处理数据访问、删除等请求，并在15日内反馈。

3. 提交整改报告：运营者需向中央网信办（邮箱：Appzhili@cac.gov.cn）提交书面说明及技术验证材料。

监管动向：网信办将联合多部门采取“穿透式监管”，通过技术检测、现场检查等方式复核整改效果。对逾期未整改者，将依法采取下架、罚款乃至列入失信名单等措施。

四、行业警示：数据合规已成生存红线

此次通报释放三大信号：

1. 从“单一App”转向“全链路治理”：监管部门首次对SDK单独点名，体现对供应链安全的重视。

2. 技术监管能力升级：通过动态检测、代码审计等手段识别隐蔽违规行为。

3. 企业需构建常态化合规体系：包括数据生命周期管理、第三方合作审查等机制。

企业应对建议：

• 定期开展隐私政策合规性审计。

• 引入第三方认证（如个人信息保护影响评估）。

• 建立用户投诉快速响应通道。

五、结语：平衡发展与安全，筑牢数字生态屏障

中央网信办此次通报既是警示，也是指导。在数字经济时代，个人信息保护不仅是法律要求，更是企业社会责任的核心体现。未来，随着《数据要素X行动计划》等政策落地，监管部门将持续细化规则，推动形成“政府监管、企业自律、公众监督”的共治格局。

（本文信息来源：中央网信办官网、“网信中国”微信公众号）