国家计算机病毒应急处理中心通报64款移动应用违法违规收集使用个人信息​

国家计算机病毒应急处理中心（以下简称“应急中心”）今日发布通报，在2025年5月23日至6月11日的专项检测中，发现64款移动应用存在违法违规收集使用个人信息行为。此次行动依据《网络安全法》《个人信息保护法》等法律法规，贯彻落实中央网信办、工业和信息化部、公安部、市场监管总局联合发布的《2025年个人信息保护系列专项行动公告》要求，旨在强化移动互联网应用生态治理，切实保障公民个人信息权益。

一、突出问题分类通报

经应急中心技术检测，涉事应用主要存在以下13类违规行为：

1. 隐私政策告知缺失或模糊
   《云听》《厦心健康管理中心》等10款应用在首次运行时未通过弹窗等显著方式提示用户阅读隐私政策，未明确告知个人信息处理者名称、联系方式及保存期限，违反《个人信息保护法》第十七条规定。

2. 第三方信息收集未明示
   《黑岩阅读》《华润万家》等25款应用隐私政策未逐一列明嵌入的第三方代码、插件收集个人信息的目的、范围及方式，导致用户无法知悉数据共享风险。

3. 数据共享未获单独同意
   《诚通证券》《货拉拉》等14款应用在向第三方提供个人信息时，未向用户告知接收方身份、处理目的及信息种类，且未取得单独同意，严重侵害用户知情权与选择权。

4. 强制收集与权限滥用
   《微博SDK》《太平洋咖啡会员》在用户未同意前擅自开启敏感权限或收集个人信息，违反“最小必要”原则。

5. 账号注销与信息删除障碍
   《乌海银行》《霸王茶姬》等8款应用未提供有效注销功能或未及时响应用户操作，人工处理流程超出承诺时限。

6. 用户投诉处理滞后
   《手机游戏联运SDK》《帮帮兼职社》等5款应用对用户举报未在承诺时限内受理，损害用户维权渠道。

7. 撤回同意机制缺失
   30款应用包括《智联招聘》《得到》等未提供便捷的撤回个人信息收集同意的途径，违反《个人信息保护法》第十五条。

8. 自动化营销推送违规
   《云听》《NOWWA挪瓦咖啡》等4款应用通过自动化决策推送商业信息时，未提供非个性化选项或拒绝方式。

9. 敏感信息处理不合规
   《本地陌交友》等3款应用处理生物识别、行踪轨迹等敏感信息时未取得单独同意，且未告知处理必要性及影响。

10. 未成年人保护缺位
    《校花校园投票》《社区慧生活》等7款应用未制定未成年人信息处理规则，收集14周岁以下儿童信息时未取得监护人同意。

11. 数据安全措施不足
    29款应用如《戏曲多多》《茶百道》未对传输数据采取加密、去标识化等安全措施，存在泄露风险。

12. 广告关闭功能缺陷
    《戏曲多多》等应用广告无关闭标志或强制用户等待计时结束，侵害用户自主选择权。

13. 无隐私政策
    《SpeechSDK》《红旗车载应用》等6款应用未制定隐私政策，属严重违规行为。

二、整改要求与后续措施

应急中心已责令相关应用运营者立即整改，并通报各应用分发平台对逾期未整改的28款应用予以下架处理。同时要求：

• 各企业严格落实个人信息保护主体责任，限期提交整改报告；

• 应用商店加强上架审核，完善动态监测机制；

三、专家解读与法律警示

中国网络安全研究院专家指出，此次通报凸显部分企业仍存在“重业务轻合规”倾向，尤其在未成年人信息保护和数据跨境传输环节隐患突出。根据《个人信息保护法》，违规企业最高可面临5000万元或上年度营业额5%的罚款，相关责任人将依法追责。

国家计算机病毒应急处理中心强调，将持续开展常态化技术检测，联合多部门深化“清源”“净网”行动，坚决遏制个人信息滥用乱象，为数字经济发展营造安全可信的网络环境。

深圳数智引领科技有限公司（简称：深圳数智引领）是一家专注于信息科技风险管理领域的咨询和培训机构。公司基于“数智赋能，创新引领”的理念，在信息科技风险管理咨询（评估、审计、认证）、培训、系统开发部署积累丰富的案例，为客户提供专业的一站式服务。公司是EXIN（Exam Institute for Information Science，国际信息考试学会）的官方授权单位，DPO（Data Protection Officer，数据保护官）认证官方授权培训单位。多家数据交易所的专业数据服务单位，包括深圳数据交易所、广州数据交易所、北京国际大数据交易所、贵阳大数据交易所、杭州数据交易所、浙江数据交易所等等。公司技术团队凭借领先的方法论、丰富的实践经验、优秀的服务态度、专业的服务意识，持续为银行、保险、证券、基金、能源、电信、大型国央企、外资等诸多企业客户提供着优质的信息技术风险管理咨询培训服务，受到行业客户的一致认可和广泛好评。