夜雨聆风引言
近期,国家计算机病毒应急处理中心、工信部接连发布问题 APP / 小程序 / SDK 通报,直指个人信息保护违规高发问题。这是国家2026 年个人信息保护专项行动的持续落地,合规审查更严、覆盖更广、处罚更重。
一、两部门接连通报:高频违规要点总结。
(一)2026年4月30日,国家计算机病毒应急处理中心检测发现67款违法违规收集使用个人信息的移动应用。
• 涉及:67 款 APP + 多平台小程序
• 13 类违规,覆盖全生命周期:
○ 未明示隐私政策 / 默认同意(13)
○ 未列明收集目的 / 方式 / 范围(32)
○ 未经同意向第三方提供信息(15)
○ 未提供注销 / 更正 / 删除(6)
○ 未提供撤回同意途径(19)
○ 未加密 / 去标识化(18)
○ 未做未成年人保护、强制人脸识别等
• 重点警示:金融、医疗、教育、旅游为监管重点,企业工具类小程序同样严查。
(二)2026年5月21日工信部通报(2026 年第 3 批)。
• 涉及:31 款 APP 及 SDK
• 高发问题:
a. 违规收集个人信息(14 例)
b. 强制 / 频繁 / 过度索权(7 例)
c. 信息窗口乱跳转(5 例)
d. 超范围收集、强制定向推送、SDK 公示不到位
• 重点警示:SDK 首次被明确通报,企业对第三方 SDK 合规负主体责任。
二、违规后果很严重:不止下架,最高罚5000万或 5% 营业额。
1. 行政处理:限期整改→复测不合格直接下架→重点监管黑名单。
2. 行政处罚:最高可罚5000 万元或上一年度营业额 5%,可吊销业务许可。
3. 品牌风险:公开通报影响口碑与用户信任。
三、企业自查的6 项合规必做动作。
1. 隐私政策合规。
• 首次运行弹窗提示,不默认同意。
• 逐项写明收集目的、方式、范围、第三方 SDK。
• 向第三方提供信息需单独同意。
2. 权限与收集规范。
• 先同意再收集,不后台静默收集。
• 坚持最小必要,不索无关权限。
• 提供一键撤回同意入口。
3. 用户权利保障。
• 提供简单可操作注销,不设不合理门槛。
• 15 个工作日内响应删改 / 注销请求。
• 建立专属受理渠道。
4. SDK 与第三方管控。
• 全量 SDK 合规安全评估。
• 隐私政策公示SDK 清单。
• 定期审计,防止超范围采集。
5. 敏感信息与未成年人保护。
• 人脸 / 金融 / 医疗等单独告知 + 单独同意。
• 不强制人脸识别,提供替代方案。
• 面向未成年人需制定专规并获监护人同意。
6. 技术安全防护。
• 加密、去标识化保护个人信息。
• 数据分类分级,防泄露篡改丢失。
四、APP合规趋势:进入 “常态化审计” 时代。
1.监管范围:APP→小程序→SDK全覆盖。
2.违规认定:覆盖收集、存储、使用、加工、传输、提供、公开、删除全流程。
3.执法力度:复测不过直接下架,无缓冲期。
企业必须从被动整改转向主动合规体系建设,定期自查并进行第三方模拟检测,才能长效安全。
结语。
国家有关部门的监督、检查、通报,为企业敲响警钟。
警钟长鸣,自检自查,企业方能长治久安!
