App、SDK违法违规收集使用个人信息专项治理

在数字经济迅猛发展的今天，移动互联网应用程序（App）已成为社会公众日常生活不可或缺的基础设施。从社交沟通到移动支付，从在线教育到智慧出行，数以百万计的App承载着海量个人信息的流转、存储与处理，深刻重塑着人们的消费习惯与生活方式。然而，技术赋能的双刃剑效应也在个人信息保护领域日益显现——部分App及嵌入其中的软件开发工具包（SDK）利用信息不对称优势，在用户浑然不觉的情况下大规模收集、违规使用乃至非法交易个人信息，由此引发的数据泄露、精准骚扰、电信诈骗等问题层出不穷，已成为数字时代人民群众反映最强烈、最关切的痛点问题之一。

自《中华人民共和国个人信息保护法》施行以来，中央网信办会同有关部门持续加大个人信息保护工作力度，查处各类违法违规处理个人信息行为，督促指导个人信息处理者不断提升合规水平，取得了积极成效。2025年，中央网信办会同工业和信息化部、公安部、市场监管总局等部门，进一步深入治理常用服务产品和常见生活场景中存在的违法违规收集使用个人信息典型问题，切实维护人民群众在网络空间合法权益，着力提升人民群众满意度、获得感。2026年，治理工作继续深化，中央网信办、工业和信息化部、公安部将会同相关部门，进一步深入治理App、SDK等服务产品以及互联网广告、教育、交通、卫生健康、金融等重点领域违法违规收集使用个人信息典型问题。从多部门联合治理的持续推进态势来看，国家层面已将个人信息保护上升到保障公民基本权利与维护数字经济发展秩序的高度，构建起覆盖全场景、穿透全链条的立体化监管体系。

政策法规框架与治理标准体系

App与SDK个人信息收集使用专项治理的深入推进，离不开坚实完备的政策法规框架作为制度支撑。在国家法律层面，《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》共同构成了个人信息保护的基础性法律规范体系。其中，《个人信息保护法》明确界定了个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等全流程活动，为监管执法提供了明确的法律依据。围绕这些上位法，中央网信办、工业和信息化部、公安部、市场监管总局四部门联合发布的《关于开展2025年个人信息保护系列专项行动的公告》，将治理范畴从单一App延伸至SDK、智能终端、公共场所人脸识别、线下消费场景、违法犯罪案件等六大重点领域，形成了宽领域、全覆盖的治理格局。

在认定标准层面，国家互联网信息办公室、工业和信息化部、公安部、市场监管总局联合制定的《App违法违规收集使用个人信息行为认定方法》，为监管部门认定违法违规行为提供了操作性依据。该办法将违规行为系统归纳为“未公开收集使用规则”“未明示收集使用个人信息的目的、方式和范围”“未经用户同意收集使用个人信息”“违反必要原则收集与其提供的服务无关的个人信息”等四大类。在“未公开收集使用规则”方面，App中没有隐私政策或隐私政策中缺失收集使用规则，首次运行时未通过弹窗等明显方式提示用户阅读隐私政策，隐私政策难以访问，文字过小过密、颜色过淡、模糊不清等情形均构成违规。在“未明示收集使用个人信息的目的、方式和范围”方面，未逐一列出App（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围，收集使用规则变化时未以适当方式通知用户，申请敏感权限时未同步告知目的，内容晦涩难懂等均属违规。在“未经用户同意收集使用个人信息”方面，征得用户同意前即开始收集，用户明确拒绝后仍强行收集，以默认选择代替明示同意，擅自更改用户权限设置，以欺诈、诱骗等不正当方式误导用户同意等行为均被明确禁止。

在行业指南层面，工业和信息化部于2025年7月3日组织中国互联网协会和中国信息通信研究院发布了《移动互联网应用服务用户权益保护合规管理指南》。《指南》结合行业实际，着眼移动互联网应用常见服务场景，重点梳理了服务提供、个人信息保护、算法推荐、服务收费、投诉处理、客服热线6个方面的用户权益保护要求。其中，个人信息保护方面强调遵循合法、正当、必要和诚信原则处理个人信息，公开个人信息处理规则，保障用户个人信息主体权利，依法履行个人信息处理义务，采取有效措施保护用户个人信息安全，防止未经授权的访问以及个人信息泄露、篡改、丢失等。此外，行业标准《移动互联网应用程序（APP）收集使用个人信息最小必要评估规范 第17部分：交易信息》由中国信息通信研究院等主要起草单位编制，由中国通信标准化协会归口上报，为App规范对用户交易信息等个人信息的处理活动提供了最小必要评估的标准依据。

2025年度App/SDK专项治理执法全景

2025年是个人信息保护专项治理全面深化的关键之年。全国性监管单位对App/SDK的监管执法活动呈现出密集化、常态化、多维化的鲜明特征，公安系统、工信系统和网信系统构成了分工明确、协同发力的监管矩阵，形成了对移动互联网生态的穿透式压制。

从监管架构来看，公安部门是执法主力，展现出最强的威慑力。国家计算机病毒应急处理中心作为核心执法力量，2025年共通报13批合计663款应用，保持每月至少1批通报的稳定节奏，确立起无死角合规的执法氛围。公安部计算机信息系统安全产品质量监督检验中心共通报7批合计279款应用，与病毒中心形成有力的执法合力。公安系统合计覆盖近千款App/SDK，占总通报量的三分之二，呈现出多头并发、高频常态的特征。

工信系统的执法力度同样显著。工业和信息化部全年累计通报8批合计315款应用，配合地方通信管理局（尤其是较为高频的上海、北京等地）对属地应用的监管活动，形成了从中央到地方的常态化威慑。值得关注的是，工信部的通报覆盖了App和SDK两大类型，并明确要求被通报主体按期整改，整改落实不到位的将依法依规组织开展相关处置工作。网信系统则侧重以战略性专项整治建立合规红线，国家网信办和中央网信办通报2批合计113款应用，中国网络空间安全协会通过发布《完成个人信息收集使用优化改进App名单》（共115款应用）等灵活形式，以正面典型持续指导App运营方开展合规优化。

2025年度全国性单位对App/SDK的监管执法活动共通报了1370款应用，这一数字直观地反映了监管覆盖面的广泛性和执法力度的空前强化。在通报案例的具体违规类型方面，高频违规问题主要集中在以下几个维度。

告知义务履行是监管机构关注的首要问题。大量应用存在隐私政策未逐一列出收集使用个人信息的情况，在App首次运行时未通过弹窗等方式提示用户阅读，甚至出现无隐私政策、隐私政策无法打开或难以访问等基础性合规缺陷。此外，未落实列出“个人信息收集清单”义务，以及在申请打开可收集个人信息权限、申请收集敏感个人信息时未同步告知用户目的等情形，也成为通报中的常见问题。

最小必要原则的落实是第二个高发领域。个人信息收集超出用户授权范围、超出功能所必要或与功能无直接关联、超出必要频率，提前要求或强制要求用户提供个人信息，以及强制、频繁、过度索取权限等行为，均在工信部和检验中心的重点监管之列。

同意的合规性同样不容忽视。隐私政策默认同意、征得用户同意前即开始收集个人信息或打开可收集个人信息的权限，以及未提供撤回同意的途径及方式、未在隐私政策中明确撤回同意的方式等问题，在病毒中心通报中占据了重要比例。

SDK专项治理：隐蔽的合规风险与监管应对

SDK（Software Development Kit，软件开发工具包）作为嵌入在App中的第三方代码模块，长期以来处于个人信息保护的监管盲区。由于SDK在技术架构上具有隐蔽性，普通用户往往难以感知其存在和运行，而SDK收集的个人信息种类繁多、传输路径复杂，一旦合规管理不到位，就可能成为个人信息泄露的重灾区。

2025年的专项治理明确将SDK纳入重点监管范围，聚焦SDK未提供个人信息收集使用规则，未按照个人信息收集使用规则或与App明确的规则处理个人信息，未使用SDK相关功能时调用位置、媒体文件、通讯录、设备等非必要权限或收集非必要个人信息，未提供个人信息相关投诉渠道，提供个性化信息推送等功能但未向App提供停止收集个人信息或关闭该功能的选项等问题开展治理。从执法实践来看，工信部发布的通报批次中，多批均明确涉及SDK的违规问题。例如，2025年8月通报的23款App及SDK存在侵害用户权益行为，2025年10月通报的42款App及SDK存在侵害用户权益行为，2025年11月通报的39款App及SDK存在侵害用户权益行为，均涵盖SDK违规类型。

地方层面同样积极跟进SDK专项治理。宁夏通信管理局、自治区党委网信办组织开展2025年全区个人信息权益保护专项治理行动，重点对常用服务产品、SDK、智能终端等开展治理。全国多地网信、工信部门将SDK合规作为专项行动的核心任务之一予以推进，体现出SDK监管已经从宏观政策宣贯进入实质性执法阶段。

典型违规案例分析

从监管部门2025年通报的大量案例中可以清晰地观察到违法违规收集使用个人信息的多种具体表现。国家计算机病毒应急处理中心于2025年12月通报了69款违法违规移动应用，其中涉及的违规类型具有高度代表性。

第一类违规行为是在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则，隐私政策难以访问，个人信息处理者在处理个人信息前未以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名、联系方式、个人信息的保存期限等。涉及《Whatscolors》《百变主题》《比比客》《创金合信基金》《顶端新闻》《广东萨莉亚》《凯莱集团酒店预订平台》《宁波太平洋大酒店》《闪光兼职》《速8酒店》《淘票票》《天鹅到家》《天天兼职》《天天狼人》等15款移动应用。其中，《广东萨莉亚》《速8酒店》《淘票票》等知名品牌移动应用因隐私政策首次告知不清被通报，其违规行为可能造成用户在不知情时被收集敏感信息，继而引发数据泄露、营销骚扰乃至精准诈骗，用户维权时因“已知晓”“已同意”的格式化条款而难以举证。

第二类违规行为是隐私政策未逐一列出App（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围等，涉及《369出行》《bluefrog蓝蛙》《PigeonSwitch》《爱听音乐》《安然商城》《大拿物联》《东海通》《二手车之家》《呷哺呷哺》《库迪咖啡》《快电》《琅阅》《乐理手册》《龙虾游戏交易平台》《鹿客智能》《密码相册》《排班助手》《千聊》《趣演》《顺易充》《太极学堂》《特步跑步》《贴贴手帐》《顽鹿运动》《纬界极简提词器》《文字图片制作》《香格里拉会》《小年糕》《新电途》《学而思启蒙》《学而思亲子》《阳光排班》《乙女剑》《易展》《优衣库》《哟哟联盟》《医考帮》《云集》《众家联》等39款移动应用。《库迪咖啡》《学而思》《医考帮》等应用因收集使用规则列举不明被单独通报，这种行为容易造成消费者个人信息不知情泄露或陷入“不知情授权”。

第三类违规行为涉及对外提供信息未获单独同意以及安全技术措施不足。《永和大王》《呷哺呷哺》两家知名餐饮品牌的小程序共同存在“对外提供信息未获单独同意”和“安全技术措施不足”两项关键违规。依据《个人信息保护法》的规定，个人信息处理者向其他个人信息处理者提供其处理的个人信息，应当向个人告知接收方的名称、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意，且应当采取相应的加密等安全保护措施。

值得注意的是，2025年度监管执法还延伸到了小程序、快应用等新兴形态。通报案例中大量涉及微信小程序、支付宝小程序、今日头条小程序等，表明监管部门的覆盖面已经从传统的手机App扩展至整个移动互联网应用生态。国家计算机病毒应急处理中心于2025年8月通报的70款移动应用中，同样涉及多个小程序和快应用类型，违规问题涵盖未以显著方式完整告知个人信息保存期限、未提供有效的更正删除个人信息及注销账号功能、未建立并公布个人信息安全投诉举报渠道等。这些案例表明，无论是传统App还是新兴的小程序形态，在个人信息保护合规方面均存在大量亟待整改的问题。

2026年专项治理：延续深化与重点拓展

进入2026年，个人信息保护专项治理在延续2025年治理经验的基础上进一步深化和拓展。2026年4月，中央网信办、工业和信息化部、公安部发布关于开展2026年个人信息保护系列专项行动的公告，明确将App、SDK违法违规收集使用个人信息专项治理作为首要任务。

治理对象聚焦于常见类型App以及嵌入的SDK个人信息收集使用活动。重点治理问题更加精准和具体：一是未公开个人信息收集使用规则，未提供有效注销用户账号功能，未建立、公布个人信息安全投诉举报渠道等；二是未完整准确告知收集使用个人信息情况，或告知收集使用个人信息目的、方式、范围与实际收集使用情况不一致；三是未经用户同意收集使用个人信息，强制用户同意收集非必要个人信息；四是超出必要范围收集使用个人信息，在无关场景收集位置、通讯录、短信等个人信息，超出最低必要频率调用个人信息权限。

与2025年相比，2026年的专项行动呈现出两个显著特点。其一，治理领域从通用性App/SDK扩展至重点行业领域。专项行动同步覆盖了互联网广告领域、教育领域、交通领域、卫生健康领域、金融领域等特定行业，针对各行业的特殊场景和个人信息处理特点制定了差异化的治理重点。例如，在教育领域，重点治理教育机构处理不满十四周岁未成年人个人信息未制定专门规则、未取得监护人同意，以及过度收集位置、学校、学籍、家长身份证号等个人信息的问题；在交通领域，重点治理相关机构运营的App在无关场景收集位置、通讯录等个人信息，公共停车场扫码缴费强制要求用户注册、登录等行为。这种从“面”到“线”再到“点”的治理深化，反映出监管部门对个人信息保护的理解已从一般的合规管理转向场景化的精准监管。

其二，2026年更加注重对新出台规范的落实和已通报问题的整改闭环。2026年1月10日，国家网信办正式发布《互联网应用程序个人信息收集使用规定（征求意见稿）》，面向社会公开征求意见。《规定》以互联网应用程序为管理对象，同时围绕互联网应用程序收集使用个人信息，针对软件开发工具包（SDK）、分发平台、智能终端等不同服务商明确了主体责任。在执法层面，国家计算机病毒应急处理中心于2026年2月通报72款存在违法违规收集使用个人信息问题的移动应用，问题涵盖隐私政策告知不规范、未经同意向第三方提供个人信息、未保障用户信息更正注销权利等14类。值得注意的是，上期通报的71款违规应用复测后仍有33款存在问题，相关分发平台已对其作下架处理，这一数据凸显了整改闭环监管的重要性。

用户权益保障与投诉举报渠道建设

个人信息保护专项治理的核心目标在于切实维护人民群众在网络空间的合法权益。从用户维权的实际需求出发，监管部门持续优化投诉举报渠道建设，畅通用户维权路径。据中央网信办举报中心数据，2025年全国受理网络违法和不良信息举报2.23亿件，充分反映出社会公众对网络安全和个人信息保护问题的高度关注。

从具体操作层面来看，用户在遇到侵害用户权益的App时，可采取以下举报途径：通过“工信微报”微信公众号底部服务栏的“我要投诉”入口进行举报，通过“12321受理中心”微信公众号的投诉功能进行举报，或通过应用商店的举报功能进行举报——安卓用户可在应用商店中选择要举报的应用后点击“举报”功能，苹果用户可在App Store中选择应用后下拉找到“报告问题”，鸿蒙用户同样可在应用商店中选择应用后下拉选择“内容举报”。

在日常使用App过程中，用户防范个人信息泄露可从以下六个方面着手：一是下载App认准官方应用商店，避免通过第三方链接或非正规渠道下载App，优先选择应用商店内经过安全认证的应用，以降低恶意软件或钓鱼程序的风险；二是谨慎授权App应用权限，安装或使用App时避免授予非必要的权限如通讯录、定位、麦克风等，建议仅开放与功能相关的基础权限，并定期在系统设置中检查权限管理，关闭冗余授权；三是警惕陌生链接与虚假弹窗，不随意点击App内推送的广告和陌生链接，尤其是涉及“领现金”“中奖”等诱导性内容，防止误入钓鱼网站；四是定期给手机“做体检”，进入手机的隐私设置页面查看App隐私数据访问行为记录，对存在异常访问的App予以清除；五是使用高强度密码并开启双重验证，为账号设置包含大小写字母、数字及符号的复杂密码，避免重复使用同一密码，同时开启短信验证、人脸识别等验证功能增强账户安全性；六是及时更新应用与系统版本，定期更新App至最新版本修复已知漏洞，同时保持手机操作系统处于最新状态以获取最新的安全补丁和防护措施。这些措施从用户端构建起一道实用的个人信息安全防线，与监管端的治理行动形成双向发力的防护格局。

合规要求与企业应对策略

面对日益严格的监管环境和持续深化的专项治理，App运营者和SDK提供者必须构建系统化的个人信息保护合规体系，从被动整改转向主动合规。

在制度建设层面，企业应建立健全个人信息保护管理制度，明确企业决策层、管理层、执行层等内设机构在用户权益保护方面的合规权责，为企业用户权益保护合规管理筑牢组织根基。应设立个人信息保护负责人或数据保护官（DPO），负责统筹协调个人信息保护相关工作，确保合规要求在企业各业务环节得到有效落实。同时，应将个人信息保护相关法律法规的要求内化为企业内部合规管理制度，明确企业内部经营服务行为准绳，持续开展风险评估、风险应对、合规审计及合规整改等工作，确保合规要求有效落实。

在技术保障层面，企业应采取加密、去标识化、匿名化等安全技术措施，防止个人信息泄露、篡改、丢失。特别是对于敏感个人信息的处理，应当采取更加严格的安全保护措施，并依法开展个人信息保护影响评估。在对外提供个人信息时，应向用户告知接收方的名称、联系方式、处理目的、处理方式和个人信息的种类，并取得用户的单独同意。针对SDK的嵌入，App运营者应尽到审核义务，对SDK的数据收集行为进行风险评估和合规审查，确保SDK按照个人信息收集使用规则或与App明确的规则处理个人信息。

在用户权益保障方面，企业应公开个人信息收集使用规则，以清晰易懂的方式告知用户个人信息处理的名称、联系方式、保存期限等关键信息，并在隐私政策中逐一列出App（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围。应提供有效的更正、删除个人信息及注销账号功能，提供个人信息安全投诉举报渠道，并向用户提供便捷的拒绝个性化信息推送的方式。此外，应确保撤回同意的途径明确易操作，不得以默认选择等方式规避用户同意。

2025年最高人民法院发布的指导性案例265号，明确认定App经营者过度收集用户个人信息构成侵害个人信息权益。最高法研究室负责人表示，这一案例再次警醒广大App运营者要切实强化个人信息保护意识，严格遵守民法典、个人信息保护法等相关规定，加强企业数据合规体系建设，确保在法律规定的界限内采集使用个人信息。这一司法层面的权威指引，为企业在个人信息收集使用的法律边界问题上提供了清晰的裁判规则。

治理成效与未来展望

经过持续深化的专项治理，App、SDK违法违规收集使用个人信息问题得到了有力遏制，治理成效逐步显现。从监管数据来看，全国性监管单位2025年全年通报了1370款应用，公安部门、工信部门和网信部门组成监管矩阵，形成对移动互联网生态的穿透式压制，对企业合规韧性提出极高要求。从用户端来看，2025年全国受理网络违法和不良信息举报2.23亿件，表明社会公众对个人信息保护的关注度和维权意识显著提升。

但也要清醒地看到，App和SDK的个人信息收集使用问题具有高度的隐蔽性和动态变化性，治理工作仍面临诸多挑战。一方面，移动应用形态不断创新，小程序、快应用、跨端应用等新形态对现有监管框架提出了更高要求；另一方面，AI技术的发展使得数据收集和分析能力大幅增强，传统的告知-同意机制在面对复杂数据处理场景时可能难以有效发挥作用。此外，部分企业合规意识薄弱，在监管通报后整改不到位甚至反复违规的情形仍然存在，如前文所述2026年初复测时仍有33款应用未完成整改并被下架处理，这警示着整改闭环的持续追踪和惩戒机制仍有待加强。

展望未来，个人信息保护专项治理将呈现出四个重要趋势。一是监管范围将进一步扩大，从通用App和SDK向互联网广告、教育、交通、卫生健康、金融等重点领域纵深推进，实现更广覆盖和更精细化的监管。二是技术手段将更加智能化，利用自动化检测工具和AI分析技术提升对隐蔽违规行为的发现能力，实现从“抽样抽查”向“全面检测”的跨越。三是惩戒力度将持续加码，对拒不整改、屡查屡犯的运营者将依法从严处理，提高违法违规成本，形成有效威慑。四是国际协同合作将不断加强，随着数据跨境流动日益频繁，个人信息保护领域的国际规则协调与执法协作将成为重要方向。

结语

App、SDK违法违规收集使用个人信息专项治理，是数字时代个人信息权益保护的重要制度实践，也是完善网络空间治理体系的关键举措。从2025年四部门联合开展个人信息保护系列专项行动到2026年三部门接力深化治理，从对App的单点监管到对SDK、智能终端、重点领域的立体覆盖，从行政通报到司法案例的协同推进，我国已经构建起一套日趋完善的个人信息保护治理体系。这一体系既体现了国家对公民个人信息安全的高度重视，也反映出监管部门以法治化、规范化手段推动数字经济健康发展的坚定决心。

对于广大App运营者和SDK提供者而言，合规已不再是一种选择，而是参与数字经济的准入前提。只有将个人信息保护理念融入产品设计的全过程，将法律法规要求内化为企业运营的常态化机制，才能在日益严格的监管环境中行稳致远。对于社会公众而言，提升个人信息保护意识、掌握必要的防范技能、善用举报维权渠道，同样是参与网络空间治理、维护自身合法权益的重要方式。多方共治、协同发力，方能真正筑牢个人信息保护的制度屏障，让人民群众在数字时代享有更高水平的获得感、幸福感和安全感。