廣東
在國家四部門聯合開展個人信息保護系列專項行動的政策背景下,2025年,全國和地方監管部門及相關機構通報的侵害用戶權益APP數量出現大幅上升,同比增加約152%。
南都記者近日結合專業機構提供的數據梳理發現,2025年共有3852款APP在監管通報中“榜上有名”,2024年則有1529款APP被通報。
這項專項行動始于2025年3月底,由中央網信辦、工信部、公安部、市場監管總局共同發起。
行動實施后,“力度確實比之前加深了。”北京浩天(上海)律師事務所合伙人宋海新從事數據合規業務,他察覺到的一個直觀變化是:在上海,很多外資、國資的APP都被通報了。其中部分APP還因為通報后未按要求完成整改被下架了,這在往年較為少見。
監管通報暴露出企業保護用戶個人信息權益存在的短板。但另一方面,有被通報的APP運營方人士反饋說,部分監管部門及相關機構的通報方式有待改進,比如未提前和企業溝通便對外通報,或對涉及違規的問題缺乏詳細告知,不必要地增加了企業的合規負擔。
誰最“賣力”?誰頻“上榜”?
違規APP通報類似于一種公開警告,這一監管舉措至少可追溯至2019年。
時年1月,同樣是中央網信辦、工信部、公安部和市場監管總局四部門聯合發文,在全國范圍開展為期一年的APP違法違規收集使用個人信息專項治理。其中,公安部、工信部還在2019年11月各自發起整治APP侵犯用戶權益的行動,并于大概1個月后相繼通報了一批侵害用戶個人信息權益行為的APP名單。
上述四部門從2025年3月底開始,又一次聯合開展個人信息保護專項行動,重點整治APP(含小程序、公眾號、快應用)和SDK(軟件開發工具包)違法違規收集使用個人信息等問題。
當前,常態化對外通報APP個人信息保護違規的機構分為中央和地方兩個層面:中央層面涉及四家政府部門與相關機構,包括工信部、中央網信辦、國家計算機病毒應急處理中心、公安部計算機信息系統安全產品質量監督檢驗中心;而在地方層面,承擔APP通報職責的主要是各省市通信管理局和網信辦。
南都記者以梆梆安全、棱眼安全等專業機構提供的數據為基礎,梳理了近三年監管通報的APP走勢情況。需要說明的是,這些數據經過了力所能及的核驗,但可能仍無法確保統計結果的完整性。此外,同一款APP可能被多次點名,在統計時,每次點名均單獨計為一條APP通報記錄。
統計顯示,2023年至2025年,被監管部門通報的APP(含SDK)數量分別為2129款、1529款和3852款。2025年的通報總數相比過去兩年增幅明顯。
根據公開記錄,這一年,公安部計算機信息系統安全產品質量監督檢驗中心首次加入對外通報APP的行列;國家計算機病毒應急處理中心則是第二年開展APP通報,其2025年通報的APP數量比2024年激增約621%。合計來看,這兩家機構在2025年共通報了888款APP,占總通報APP數量的近1/4。
從數量上看,通報APP最多的監管機構當屬上海市通信管理局。2025年,共有819款APP被上海市通信管理局通報,遠遠高于在地方機構層面緊隨其后的北京市通信管理局——后者在2025年共通報了230款APP。
在上海市通信管理局的嚴格監管下,被通報次數前十位的APP運營公司,有八家出自上海市通信管理局的通報名單。其中不乏外資企業身份,如知名廚衛品牌科勒(中國)投資有限公司(下稱“科勒”)、飛利浦(中國)投資有限公司、化工企業巴斯夫(中國)有限公司。例如,在2025年8月的一次通報中,科勒旗下12款應用因違規被點名。
據宋海新觀察,以前被通報的APP運營方,相當一部分都不為公眾熟知。但近兩年有越來越多大型企業卷入其中,外資和國資企業亦不例外。
通報中,APP被頻繁點名的問題集中于:違規收集個人信息,未明示個人信息處理規則,強制、頻繁、過度索取權限,未經用戶同意收集使用個人信息等。
一位不愿具名的數據合規律師告訴記者,APP肯定是某個方面的問題被“實錘”才會遭通報,監管部門一般不會就尚有爭議的事項進行通報,比如收集和處理個人信息是否符合最小必要原則——這帶有一定程度的主觀性。
監管通報方式不一
是否將檢測出的APP問題提前告知企業,不同監管機構的做法存在差異。
記者梳理發現,廣東、浙江、河北、廣西等地的通信管理局采取“三步走”的通報路徑:首先,對檢測出存在違法違規問題的APP,向相關APP運營方一對一發送整改通知書,要求其限期整改;緊接著,對期限內未完成整改的APP進行公開通報,繼續給予一定的整改期限,相當于給企業第二次整改機會;最后,對逾期未整改的APP予以下架處理。
然而,也有部分機構采取檢測后直接對外通報的做法。據記者多方了解,國家計算機病毒應急處理中心并不會在公開通報前事先告知APP運營方。上海市通信管理局的做法則較為反復:接到企業意見反饋后,曾調整為提前告知企業;但有上海的企業方人士稱,在11月被通報時,他們又未接到事前告知。
一位從事數據合規的企業法務認為,若缺乏事前溝通徑直通報,對企業影響顯著。相關APP可能僅因微小違規被通報,若在限期內完成整改,仍可正常上架運營。但一旦被公開通報,部分媒體二次傳播內容時,會在標題中使用“趕緊卸載”“謹慎下載”等字眼,這不僅導致涉事企業聲譽受損,還可能直接影響APP的用戶數。
某網站在二次傳播APP通報內容時,在標題中呼吁“趕快卸載”。
事先告知的做法有規可循。工信部2020年下發的《關于開展縱深推進APP侵害用戶權益專項整治行動的通知》提到,對第一次檢查發現存在問題的企業,將責令5個工作日內完成整改,對整改不徹底仍然存在問題的,將采取向社會公告、組織下架等措施。
據宋海新觀察,這些年以來,大部分監管機構還是堅持著先給APP運營方一次內部通報整改的機會。
不同監管機構之間,在是否告知APP問題詳情上也有所不同。
南都記者看到的一份廣東省通信管理局發給企業的整改通知書顯示,監管機構會將APP違規問題類型梗概、具體問題描述、檢測截圖、整改要求等內容悉數告知。
“對外通報可以籠統,但是給企業要說清楚。”前述不具名企業法務表示,“違規收集個人信息”作為一項問題大類,經常見諸通報,但企業實際上難以準確定位問題所在。一旦監管機構沒有將違規問題詳情一對一告知APP運營方,企業只能私下和相關機構取得聯系,以獲取APP被檢測出的具體問題,“(顯得)非常不正式”。
記者還梳理發現,不同監管機構給APP運營方的整改期限同樣長短不一:時間長則如國家網信辦在2025年2月通報82款違法違規APP時,責令運營方限期1個月完成整改;短則如上海市通信管理局在11月通報第十批侵害用戶權益行為的APP名單時,要求運營方自通報之日起5個工作日內,將書面整改報告和自查評估報告報送監管部門。
APP整改自評估報告的“聲明頁”模板,要求勾選是企業獨立完成,抑或委托第三方機構完成。
宋海新說,自查評估報告內容較多,寫起來比較耗時耗力,寫到100多頁也是常見的情況。一旦期限緊張,企業整改和撰寫評估報告可能得加班加點。“如果只是改改隱私政策,相對還快一些。就怕要系統開發新功能,這個比較麻煩。”
即使完成整改,企業還有可能在上傳自查評估報告時“踩坑”。有的整改報告,監管部門要求通過系統上傳,有的則讓發郵件遞交。記者了解到,實踐中有企業由于未在指定渠道上傳整改報告,導致整改結果無效,相關APP最終遭下架處理。前述不具名數據合規律師認為,這一情形也與企業的應對經驗不足有關。
APP整改背后的生意
APP通報背后,有一群叫做“支撐單位”的主體扮演特殊角色:它們既是檢測APP違規問題的直接參與方,同時又作為企業整改過程中的幕后助手。
除了少數具備技術檢測能力的機構,無論是全國層面的部委,還是地方通信管理局,往往會定期遴選網絡和數據安全支撐單位。對外通報中,監管部門也常常提到是“組織第三方檢測機構”對APP進行的檢查。
前述企業法務表示,監管部門自身的技術檢測能力有限,通常聘請外部第三方機構來承擔具體的工作。每次集中檢測前,監管部門從支撐單位庫中挑選若干機構來負責該批次APP的檢測任務。收到企業整改報告后的復測,也由支撐單位執行。
即使被通報,APP運營方也并未被強制要求選擇外部支撐單位來完成整改。前述不具名數據合規律師說,企業在決定是否引入外部支撐單位時,一般會評估內部是否有專業人手和足夠的預算。
受訪的企業法務透露,一份整改評估報告的費用大概在一萬多元至幾十萬元不等。
費用只是一項考慮因素,這位企業法務更擔心的是,APP運營方若獨立整改,可能對問題細節和監管尺度把握不準,導致無法通過復測。其所在公司就有自行整改但仍被“上榜”通報的遭遇。“想穩妥一點的話,這個錢肯定是不會省的。”
宋海新同樣認為,作為長期協助監管機構開展相關工作的專業機構,支撐單位一般比較了解檢測過程中的關注點,也更清楚如何針對性地進行改進。因此,如果企業具備相應的預算,與這樣的機構合作是比較理想的選擇。
當挑選支撐單位時,前述不具名數據合規律師建議,企業要考慮該機構的檢測范圍,是否能覆蓋從中央到地方監管部門關注的檢測事項,而不能只為了應付眼前某地監管部門的通報。“頭痛醫頭、腳痛醫腳是不合適的。”他說,否則,這次整改過關,后續仍可能遭其他監管部門通報。
據記者了解,實踐中,一些企業會選擇某家檢測機構作為長期合作方。這些作為支撐單位的檢測機構,不僅接受公司委托協助整改APP的問題,當企業方不清楚具體違規事項時,檢測機構還幫忙找人打聽。
有業內人士反映,每當出現通報,時常有支撐單位主動聯系APP運營方,詢問是否采購檢測服務。但前述不具名數據合規律師表示,現在對這種做法查得很嚴,支撐單位有可能因此被投訴。
支撐單位如何為APP挑毛病?據宋海新介紹,最終形成的檢測報告,通常將APP的風險劃分為高、中、低三個等級。對于風險較高的問題,企業一般需要按照整改建議完成整改;如果問題的風險較低,則具有一定的靈活處理空間。企業可以基于內外部數據合規人士的判斷,兼顧業務運營的需求,來決定是否予以調整。這是因為,一些支撐單位對法律法規和檢測標準的理解存在偏差或較為機械化,導致其檢測出來的某些問題,實際上不構成違規。
宋海新在實務中還發現,不同的測評機構對同一問題的理解也可能出現差異,這常常讓企業感到困惑。一些規模較大的企業為了確保整改結果穩妥,索性同時聘請兩家甚至更多支撐單位,相當于進行交叉驗證。
(感謝梆梆安全、棱眼安全等提供的數據支持)
采寫/制圖:南都N視頻記者 楊柳
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
