夜雨聆风2026
违规APP
案例解析
inham
Information Technology Co., Ltd
一、官方通报APP分析
2026年4月中下旬,相关部门通报了存在违法违规收集使用个人信息的移动应用,涉及在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策、隐私政策未逐一列出App收集使用个人信息的目的、方式、范围等问题。
详情链接
国家计算机病毒应急处理中心检测发现67款违法违规收集使用个人信息的移动应用
二、案例解析
问题案例一
违规原因:
在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则
违规截图示例:
小程序首次打开时未弹窗隐私政策告知用户直接进入了首页
合规建议:
在小程序首次打开时弹窗隐私政策告知用户
问题案例二
默认同意隐私政策
违规原因:
以默认选择同意隐私政策等非明示方式征求用户同意
违规截图示例:
在征求用户同意相关协议时默认用户同意,未给拒绝的选项
问题案例三
隐私政策难以访问
违规原因:
隐私政策在进入主界面后难以访问
违规截图示例:
隐私政策在进入主界面后超过4次才能点击访问到
合规建议:
在进入主界面后4步内即可访问到隐私政策
问题案例四
未清晰明示个人信息处理者的信息
违规原因:
个人信息处理者在处理个人信息前,未以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名、联系方式、个人信息的保存期限等
违规截图示例:
隐私政策未清晰明示个人信息处理者的姓名、联系方式和个人信息的保存期限
合规建议:
问题案例五
未列出收集使用个人信息的目的、方式、范围
违规原因:
隐私政策未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等
违规截图示例:
APP或第三方SDK收集了个人信息但未在隐私政策向用户告知
问题案例六
未向个人告知接收方的信息
违规原因:
个人信息处理者向其他个人信息处理者提供其处理的个人信息的,未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意
违规示例:
隐私政策关于第三方SDK收集个人信息未清晰明示第三方的姓名、联系方式、处理目的、处理方式和个人信息的种类
问题案例七
未经用户同意向第三方提供个人信息
违规原因:
App客户端向第三方提供个人信息,未经用户同意,未做匿名化处理
违规截图示例:
APP在传输个人信息时未进行加密
合规建议:
在传输个人信息时进行加密
问题案例八
未经用户同意收集个人信息
违规原因:
未在征得用户同意后才开始收集个人信息或打开可收集个人信息的权限
违规截图示例:
小程序未向用户弹窗隐私政策告知用户,就申请了可收集个人信息的权限
合规建议:
在用户同意隐私政策后再申请可获取个人信息的权限和个人信息
问题案例九
未提供有效的注销账号功能
违规原因:
未提供有效的更正、删除个人信息及注销用户账号功能;为更正、删除个人信息或注销用户账号设置不必要或不合理条件;虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内完成核查和处理
违规截图示例:
APP未向用户提供账号注销服务,或为注销服务设置不合理的障碍
合规建议:
当 App 提供需要用户注册并登录才可以访问的内容时,APP 需要提供注销账号功能,不能为注销设置不合理的注销条件,不能无效注销且及时响应用户相应操作
问题案例十
违规原因:
个人信息处理者未建立便捷的个人行使权利的申请受理和处理机制
违规截图示例:
APP未建立便捷的投诉方式,只提供了邮箱联系等方式
合规建议:
提供便捷的投诉方式,比如APP内联系客户、电话等方式
问题案例十一
未提供撤回同意的途径、方式
违规原因:
未向用户提供撤回同意收集个人信息的途径、方式;个人信息处理者未提供便捷的撤回同意的方式
违规截图示例:
未向用户提供在APP内撤回同意收集个人信息的途径、方式,只在隐私政策模糊告知
合规建议:
在隐私政策向用户清晰告知如何在APP内撤回同意收集个人信息的途径、方式,如在APP内点击可以跳转到撤回权限的设置等
问题案例十二
违规原因:
实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式的,将人脸识别技术作为唯一验证方式。个人不同意通过人脸信息进行身份验证的,未提供其他合理、便捷的方式
违规截图示例:
在实名认证时只提供了人脸识别这一种验证方式
合规建议:
实名认证不止可以通过人脸,也可以通过国家网络身份认证app、手持身份证照片或者活体视频录制等方法,不能将人脸识别技术作为唯一验证方式
关于映涵
inham
映涵安全是映涵科技旗下专注于数据和网络安全的品牌,致力于为全球客户提供一站式的安全解决方案。映涵安全通过创新的自研技术,为客户提供卓越的个人信息保护、数据治理和网络安全防御服务。
在个人信息保护领域,映涵安全凭借行业领先的检测技术,为安卓、ios和鸿蒙等终端提供全自动化或人机结合的隐私合规检测报告,帮助客户精准识别并解决隐私合规风险。
在数据治理领域,映涵安全基于自主研发的数据治理大模型,提供涵盖数据全生命周期的完整服务,有效防范数据泄露风险,提升数据价值。
在网络安全防御领域,映涵安全依托先进的威胁检测引擎及技术,提供专业的安全防护服务,并通过轻量级垂直响应机制,帮助客户有效提升网络威胁对抗能力。作为中国国际进口博览会、上海市委网信办和上海市通信管理局等重大活动和监管部门的技术支撑机构,映涵安全积极协助政府监管工作并参与制定行业规范,参与编写了《上海市移动互联网应用程序个人信息和用户权益保护合规指南》等指导性文件。
联系电话:
021-52769952
