事件概述

2026年3月13日，工业和信息化部信息通信管理局发布《关于侵害用户权益行为的APP（SDK）通报（2026年第2批，总第55批）》，公开点名24款APP及第三方软件开发工具包（SDK）存在侵害用户权益的违规行为。此次通报正值“3·15”国际消费者权益日前夕，聚焦群众日常使用高频场景，依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规开展检测，既直面行业顽疾，也为普通用户划出清晰的安全红线。

通报核心信息：本次通报由工信部组织第三方专业机构随机抽查，共检出24款违规产品，其中18款为普通APP、6款为隐藏在应用内的SDK插件，覆盖休闲游戏、少儿教育、招聘求职、出行服务、生活家政、实用工具等多个领域。官方明确要求所有被通报的APP及SDK开发运营方必须在限期内完成全面整改；整改不彻底、落实不到位的，工信部将依法依规采取下架应用、停止接入服务、行政处罚等处置措施。

主要违规行为：此次24款产品的违规行为集中在七大类型，全是用户日常吐槽最多的问题：

1. 违规收集个人信息：
   
   未征得用户明确同意，私自采集手机号、位置、通讯录、设备信息等敏感数据，登山赛车、小学英语同步学软件、出行365等多款APP均涉及此类问题。
2. 欺骗误导用户提供信息：
   
   用模糊话术、虚假提示诱导用户填写身份证、银行卡等敏感信息，鱼泡直聘因该问题被明确点名。
3. 强制、频繁、过度索取权限：
   
   不给通讯录、相机、定位等非必要权限，就不让使用核心功能，穷游APP同时存在违规收集信息与过度索权问题。
4. 频繁自启动与关联启动：
   
   后台悄悄自动打开，还唤醒其他应用，既消耗手机电量、占用内存，还可能持续窃取信息，好慷在家涉及此类违规。
5. 信息窗口乱跳转、无法关闭：
   
   弹窗广告一点就跳转到其他应用，部分弹窗没有关闭按钮，或是关闭键极小、难以点击，南宁市民卡、拼图猫存在乱跳转问题，成语高手、全能拍照识物存在弹窗无法关闭问题。
6. 违规提供自动续费服务：
   
   未显著提示自动续费规则，取消续费流程复杂，侵害用户消费自主权。
7. SDK超范围收集信息、公示不到位：
   
   6款第三方SDK插件隐藏在应用内，超范围采集数据且不公开合规说明，成为隐私泄露的“隐形漏洞”。

典型案例：蓝领招聘平台“鱼泡直聘”9.23.0版本因“欺骗误导用户提供个人信息”被点名。据创始人周峰回应，该版本中引导用户实名认证的功能已下架并完成整改，新版9.24.0已提交审核。鱼泡直聘注册用户达1.1亿，日活跃用户超过400万，此次通报对其品牌声誉和用户信任造成直接冲击。

政策要点

此次通报严格依据现行法律法规，为企业划定了明确的合规边界：

核心法律依据：

1. 《中华人民共和国个人信息保护法》：
   
   明确规定处理个人信息应当取得个人同意，遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。
2. 《中华人民共和国网络安全法》：
   
   要求网络运营者收集、使用个人信息应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围。
3. 《电信条例》：
   
   电信业务经营者应当为用户提供迅速、准确、安全、方便和价格合理的电信服务，不得擅自向他人提供用户个人信息。
4. 《电信和互联网用户个人信息保护规定》：
   
   详细规定了用户个人信息收集、使用规则，明确要求经营者应当采取技术措施和其他必要措施，确保信息安全。

违规认定标准：根据《App违法违规收集使用个人信息行为认定方法》，以下行为被明确认定为违规：

• 未明示收集使用规则：
  
  APP首次运行时未通过弹窗等明显方式提示用户阅读隐私政策。
• 未经用户同意收集使用个人信息：
  
  未征得用户同意前即开始收集个人信息或打开可收集个人信息的权限。
• 违反必要原则：
  
  收集与现有业务功能无关的个人信息，或用户拒绝提供非必要个人信息后，拒绝提供业务功能。
• 未经同意向他人提供个人信息：
  
  未经用户同意，且未做匿名化处理，向第三方提供个人信息。
• 未提供更正、删除功能：
  
  未提供有效的更正、删除个人信息及注销用户账号功能。

整改要求：通报要求涉事APP及SDK运营主体应按有关规定及时完成整改。对于整改落实不到位的产品，工信部将依法依规组织开展相关处置工作，切实维护市场秩序和用户合法权益。这意味着企业不仅需要立即停止违规行为，还需建立长效合规机制，防止问题反复。

合规启示

针对此次通报暴露的问题，企业应从以下五个方面立即开展合规自查与整改：

1. 用户同意机制优化：

• 明确告知：
  
  在收集个人信息前，通过清晰、易懂的语言向用户告知收集目的、方式、范围。
• 单独同意：
  
  对敏感个人信息（如身份证号、银行卡号）应取得用户的单独同意，不得捆绑在一般条款中。
• 随时撤回：
  
  提供便捷的同意撤回渠道，用户撤回同意后应及时停止处理并删除个人信息。

2. 权限索取规范化：

• 必要性审查：
  
  对照《常见类型移动互联网应用程序必要个人信息范围规定》，逐一审查所索取权限是否与业务功能直接相关。
• 动态申请：
  
  遵循“最小必要”原则，仅在用户使用相关功能时动态申请相应权限，避免一次性索取全部权限。
• 拒绝不影响：
  
  用户拒绝授予非必要权限时，不得拒绝提供基本服务功能。

3. 透明度提升措施：

• 隐私政策可读性：
  
  避免使用过于专业的法律术语，采用用户易于理解的方式呈现。
• 突出关键条款：
  
  将收集个人信息类型、使用方式、共享情况等关键信息以醒目方式提示。
• 定期更新通知：
  
  隐私政策发生重大变更时，应通过显著方式通知用户，并重新获得同意。

4. 第三方SDK管理：

• 准入评估：
  
  引入第三方SDK前，应对其数据安全能力、合规记录进行评估。
• 合同约束：
  
  在合作协议中明确数据保护责任，要求SDK提供方遵守中国法律法规。
• 持续监控：
  
  定期检查SDK的数据收集行为，发现违规及时要求整改或终止合作。

5. 内部合规体系建设：

• 设立合规岗位：
  
  明确数据保护负责人，建立跨部门协同机制。
• 员工培训：
  
  定期对产品、技术、运营人员进行个人信息保护培训。
• 应急预案：
  
  制定数据泄露等安全事件的应急响应预案，确保及时处置。

前瞻分析

此次3·15通报不仅是单次监管行动，更体现了未来监管的三大趋势：

1. 常态化通报机制固化：工信部已建立“季度通报+随机抽查”的常态化监管机制。2026年第二批通报（总第55批）显示，APP侵害用户权益整治已从专项行动转向日常监管。企业应预期未来每季度都将面临一轮集中检查，合规压力持续存在。

2. 处罚力度阶梯式升级：从通报要求看，监管正在形成“通报→限期整改→下架→行政处罚”的阶梯式处置链条。对于整改不到位的企业，处罚将从产品下架升级为罚款、列入信用黑名单等联合惩戒。以鱼泡直聘为例，作为头部平台被点名，其整改进度将被重点监控，后续若再违规可能面临更严厉处罚。

3. 平台责任进一步压实：通报特别强调“运营主体”责任，不仅指向APP开发者，也涵盖应用商店、SDK提供方等生态链各方。未来监管将更注重“穿透式”问责，要求平台承担对第三方组件的管理责任。企业需建立从产品设计到供应链的全链条合规体系。

行业影响预判：

• 合规成本上升：
  
  中小企业可能因难以承担合规成本而退出市场，行业集中度提升。
• 技术驱动合规：
  
  自动化合规检测工具、隐私计算技术将获得更大应用空间。
• 用户意识觉醒：
  
  消费者将更关注APP隐私政策，倒逼企业提升透明度。

企业应对建议：

• 立即启动合规自查：
  
  对照通报的七大问题类型，全面排查自身产品。
• 建立长效合规机制：
  
  将个人信息保护融入产品设计、开发、运营全流程。
• 关注监管动态：
  
  定期跟踪工信部、网信办等部门的政策更新，提前调整策略。

此次通报为企业敲响了警钟：在数字经济时代，用户权益保护不再是可选项，而是企业生存发展的底线。只有将合规内化为核心竞争力，才能赢得用户信任，实现可持续发展。