压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

今年以來(lái)，國(guó)家在個(gè)人信息保護(hù)領(lǐng)域持續(xù)開(kāi)展立法活動(dòng)，起草制定了一批重要法規(guī)規(guī)定，同時(shí)也明顯加大了個(gè)人信息保護(hù)執(zhí)法力度。3月28日，中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場(chǎng)監(jiān)管總局發(fā)布《關(guān)于開(kāi)展2025年個(gè)人信息保護(hù)系列專(zhuān)項(xiàng)行動(dòng)的公告》，明確將進(jìn)一步深入治理常用服務(wù)產(chǎn)品和常見(jiàn)生活場(chǎng)景中存在的違法違規(guī)收集使用個(gè)人信息典型問(wèn)題。截止目前，網(wǎng)信辦、工信部、公安部都已經(jīng)根據(jù)專(zhuān)項(xiàng)行動(dòng)開(kāi)展了相應(yīng)監(jiān)管活動(dòng)，通報(bào)和下架了一批APP（小程序）。

準(zhǔn)確認(rèn)識(shí)和把握個(gè)人信息保護(hù)監(jiān)管要求和合規(guī)趨勢(shì)，對(duì)于數(shù)字企業(yè)來(lái)說(shuō)十分重要。本文將全面梳理：（1）2025年數(shù)據(jù)立法趨勢(shì)；（2）APP檢測(cè)情況。以此，我們希望能夠系統(tǒng)回應(yīng)很多企業(yè)來(lái)咨詢(xún)和討論的問(wèn)題，幫助企業(yè)了解國(guó)家在個(gè)人信息保護(hù)方面的具體要求和執(zhí)法實(shí)踐，協(xié)助企業(yè)提升合規(guī)意識(shí)和提高個(gè)人信息保護(hù)水平。

01

2025年數(shù)據(jù)領(lǐng)域立法趨勢(shì)

2025年是《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》實(shí)施的第四年，國(guó)家在個(gè)人信息保護(hù)、重要數(shù)據(jù)方面規(guī)定了一系列的配套規(guī)定，不斷構(gòu)建完善數(shù)據(jù)監(jiān)管法律體系。而就在今年第一季度，國(guó)家又集中在立法方面蓄力，密集起草、出臺(tái)了相關(guān)數(shù)據(jù)保護(hù)法律規(guī)定（詳見(jiàn)下表）；國(guó)家數(shù)據(jù)局也集中出臺(tái)了一批關(guān)于數(shù)據(jù)要素和數(shù)據(jù)價(jià)值的文件。

來(lái)源：金杜網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)團(tuán)隊(duì)整理

綜合來(lái)看，數(shù)據(jù)保護(hù)法律規(guī)定涉及個(gè)人信息全流程保護(hù)、特殊領(lǐng)域保護(hù)、數(shù)據(jù)出境、數(shù)據(jù)泄露等多個(gè)方面，其中《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》自1月1日起實(shí)施，這部條例作為《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》三部基礎(chǔ)法律的配套行政法規(guī)，可以說(shuō)是網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個(gè)人信息保護(hù)領(lǐng)域的實(shí)施條例，其重要性不言而喻。

《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》包括六個(gè)方面的主要內(nèi)容：（1）一般性規(guī)定，涉及特定數(shù)據(jù)活動(dòng)的禁止性規(guī)定，數(shù)據(jù)安全事件的應(yīng)急處置，提供、委托處理重要數(shù)據(jù)和個(gè)人信息的規(guī)定，以及網(wǎng)絡(luò)數(shù)據(jù)接受托管的規(guī)定；（2）個(gè)人信息保護(hù)，細(xì)化了《個(gè)人信息保護(hù)法》關(guān)于隱私政策、告知同意、權(quán)利響應(yīng)、代表機(jī)構(gòu)等規(guī)定，其中還特別將1000萬(wàn)人以上的個(gè)人信息與主要數(shù)據(jù)掛鉤；（3）重要數(shù)據(jù)安全，規(guī)定了網(wǎng)絡(luò)數(shù)據(jù)處理者識(shí)別、申報(bào)重要數(shù)據(jù)的義務(wù)，明確了內(nèi)部負(fù)責(zé)人和管理機(jī)構(gòu)的要求以及年度報(bào)告，還確定了共享重要數(shù)據(jù)的風(fēng)險(xiǎn)評(píng)估要求；（4）數(shù)據(jù)跨境管理，主要規(guī)定了專(zhuān)項(xiàng)工作機(jī)制，固化了豁免情形，確定了數(shù)據(jù)跨境監(jiān)管措施；（5）網(wǎng)絡(luò)平臺(tái)服務(wù)提供者責(zé)任，重點(diǎn)規(guī)定了平臺(tái)規(guī)則的要求，對(duì)應(yīng)用程序分發(fā)平臺(tái)、自動(dòng)化決策、大型平臺(tái)等作出了細(xì)化規(guī)定；（6）監(jiān)督管理和法律責(zé)任，確定了網(wǎng)信、公安、國(guó)安、數(shù)據(jù)等相關(guān)部門(mén)的職責(zé)邊界，規(guī)定了監(jiān)管機(jī)關(guān)的檢查權(quán)限以及網(wǎng)絡(luò)數(shù)據(jù)處理者的配合義務(wù)，在法律責(zé)任方面補(bǔ)充了上位法的相關(guān)法律責(zé)任，同時(shí)也明確了“轉(zhuǎn)致”的要求，對(duì)相關(guān)違法行為可以根據(jù)《個(gè)人信息保護(hù)法》等追究更嚴(yán)厲的法律責(zé)任，如5000萬(wàn)元或者上一年度營(yíng)業(yè)額百分之五以下的罰款。

在個(gè)人信息保護(hù)方面，國(guó)家網(wǎng)信辦于2025年2月14日公布了《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》，并于5月1日起實(shí)施。該《辦法》詳細(xì)規(guī)定了合規(guī)審計(jì)的要求及審計(jì)要點(diǎn)，指導(dǎo)企業(yè)開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)工作。隨著個(gè)人信息保護(hù)工作走深走實(shí)，淺層合規(guī)（即隱私政策合規(guī)）需要向深層合規(guī)轉(zhuǎn)變，即企業(yè)需要全面、多維實(shí)現(xiàn)個(gè)人信息保護(hù)合規(guī)。合規(guī)審計(jì)就是企業(yè)盤(pán)點(diǎn)個(gè)人信息處理活動(dòng)、發(fā)現(xiàn)個(gè)人信息處理風(fēng)險(xiǎn)、補(bǔ)齊合規(guī)差距的重要工具之一，從目前來(lái)看，甚至是唯一的工具。根據(jù)《辦法》，個(gè)人信息保護(hù)合規(guī)審計(jì)分為強(qiáng)制審計(jì)和自行審計(jì)，自行審計(jì)又分為內(nèi)部審計(jì)和第三方審計(jì)。《辦法》并未強(qiáng)制要求企業(yè)開(kāi)展自行審計(jì)的方式，但從審計(jì)目的來(lái)看，如果僅為企業(yè)自查合規(guī)風(fēng)險(xiǎn)，采取內(nèi)部審計(jì)的方式就可以滿足需要；而如果希望通過(guò)合規(guī)審計(jì)達(dá)到證明合規(guī)努力和保護(hù)水平的效果，則建議通過(guò)第三方審計(jì)的方式開(kāi)展，特別是可以考慮取得具有權(quán)威性的專(zhuān)業(yè)機(jī)構(gòu)的審計(jì)報(bào)告，以證明企業(yè)的個(gè)人信息保護(hù)能力。

在數(shù)據(jù)跨境方面，國(guó)家網(wǎng)信辦與2025年1月3日向社會(huì)公開(kāi)征求對(duì)《個(gè)人信息出境個(gè)人信息保護(hù)認(rèn)證辦法（征求意見(jiàn)稿）》的意見(jiàn)，擬進(jìn)一步將保護(hù)認(rèn)證作為企業(yè)個(gè)人信息出境的方式之一，重點(diǎn)回應(yīng)跨國(guó)集團(tuán)內(nèi)部數(shù)據(jù)跨境流動(dòng)的現(xiàn)實(shí)需求。不僅如此，國(guó)家網(wǎng)信辦在北京、上海、深圳、杭州等16個(gè)城市舉辦政策宣講會(huì)，介紹數(shù)據(jù)出境安全管理政策標(biāo)準(zhǔn)；連續(xù)舉辦歐盟在華企業(yè)和中國(guó)在歐企業(yè)兩場(chǎng)數(shù)據(jù)跨境流動(dòng)政策座談會(huì)；連續(xù)發(fā)布“數(shù)據(jù)出境安全管理政策問(wèn)答（2025年4月）”“數(shù)據(jù)出境安全管理政策問(wèn)答（2025年5月）”，回應(yīng)具有代表性的高頻咨詢(xún)問(wèn)題，指導(dǎo)和幫助數(shù)據(jù)處理者高效合規(guī)開(kāi)展數(shù)據(jù)出境活動(dòng)。可以說(shuō)，數(shù)據(jù)跨境管理更為成熟，同時(shí)也正在朝精細(xì)化管理的方向發(fā)展。

02

數(shù)據(jù)監(jiān)管執(zhí)法全面重啟

3月28日，中央網(wǎng)信辦、工信部、公安部、市場(chǎng)監(jiān)管總局聯(lián)合發(fā)布了《關(guān)于開(kāi)展2025年個(gè)人信息保護(hù)系列專(zhuān)項(xiàng)行動(dòng)的公告》（以下簡(jiǎn)稱(chēng)《2025年公告》）。這是自2019年以來(lái)四部委再次聯(lián)合部署個(gè)人信息保護(hù)專(zhuān)項(xiàng)行動(dòng)。2019年，上述四部委就發(fā)布了《關(guān)于開(kāi)展App違法違規(guī)收集使用個(gè)人信息專(zhuān)項(xiàng)治理的公告》（以下簡(jiǎn)稱(chēng)《2019年公告》），開(kāi)啟了App個(gè)人信息治理活動(dòng)并持續(xù)至今。但是從2020年到2024年，四部委再?zèng)]有部署過(guò)專(zhuān)項(xiàng)行動(dòng)。

相較于《2019年公告》，《2025年公告》發(fā)生了一些變化和調(diào)整：

1. 適用范圍的變化

專(zhuān)項(xiàng)行動(dòng)從2019年的App違法違規(guī)收集使用個(gè)人信息擴(kuò)展到“個(gè)人信息保護(hù)”。我們知道，個(gè)人信息保護(hù)覆蓋多個(gè)層面和領(lǐng)域，《個(gè)人信息保護(hù)法》適用于處理自然人個(gè)人信息的活動(dòng)，而“處理”則包括“收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)、刪除等”。《2019年公告》聚焦于“收集、使用”的場(chǎng)景，但《2025年公告》已經(jīng)擴(kuò)展到所有的場(chǎng)景。同時(shí)，《2019年公告》所適用的對(duì)象是App，但《2025年公告》進(jìn)一步覆蓋到小程序、SDK、公眾號(hào)和快應(yīng)用等。其中，SDK是本次專(zhuān)項(xiàng)行動(dòng)的重點(diǎn)內(nèi)容之一。通常，用戶對(duì)SDK的感知度較低，而實(shí)際上SDK作為第三方個(gè)人信息處理者，也能掌握大量個(gè)人信息，可能存在個(gè)人信息處理不規(guī)范不合法的情況。因此，對(duì)于SDK來(lái)說(shuō)，也應(yīng)當(dāng)提供個(gè)人信息收集使用規(guī)則，按照規(guī)則處理個(gè)人信息，堅(jiān)持最小必要原則處理個(gè)人信息，規(guī)范特殊場(chǎng)景下個(gè)人信息處理活動(dòng)（如提供個(gè)性化信息推送等功能時(shí)要向APP提供停止收集個(gè)人信息或關(guān)閉該功能的選項(xiàng)），此外還需要提供個(gè)人信息投訴渠道。

2. 智能終端作為載體成為重點(diǎn)監(jiān)管對(duì)象

智能終端是收集個(gè)人信息的主要渠道之一，其所能收集的個(gè)人信息數(shù)量大、類(lèi)型多，且涉及很多敏感個(gè)人信息，如智能穿戴產(chǎn)品能夠收集健康生理信息，智能家居產(chǎn)品能夠收集私密空間的信息。本次專(zhuān)項(xiàng)行動(dòng)明確將“智能手表、智能手環(huán)等穿戴產(chǎn)品，智能音箱、智能門(mén)鎖、智能攝像頭等家居產(chǎn)品，智能平板、智能學(xué)習(xí)機(jī)等學(xué)習(xí)終端”作為監(jiān)管對(duì)象，開(kāi)展相應(yīng)治理活動(dòng)。

3. 公共場(chǎng)所人臉識(shí)別信息保護(hù)

今年2月，國(guó)務(wù)院公布了《公共安全視頻圖像信息系統(tǒng)管理?xiàng)l例》，強(qiáng)化對(duì)公共安全視頻圖像信息系統(tǒng)的規(guī)范管理，維護(hù)公共安全，保護(hù)個(gè)人隱私和個(gè)人信息權(quán)益。隨后3月，國(guó)家網(wǎng)信辦、公安部發(fā)布了《人臉識(shí)別技術(shù)應(yīng)用安全管理辦法》，要求個(gè)人信息處理者在應(yīng)用人臉識(shí)別技術(shù)處理的人臉信息存儲(chǔ)數(shù)量達(dá)到10萬(wàn)人之日起30個(gè)工作日內(nèi)向所在地省級(jí)以上網(wǎng)信部門(mén)履行備案手續(xù)。5月30日，國(guó)家網(wǎng)信辦又發(fā)布了《關(guān)于開(kāi)展人臉識(shí)別技術(shù)應(yīng)用備案工作的公告》，明確了開(kāi)展人臉識(shí)別技術(shù)應(yīng)用備案工作的具體事項(xiàng)。《2025年公告》明確將聚焦交通運(yùn)輸、住宿旅游、教育培訓(xùn)、文化體育、物流商貿(mào)、休閑娛樂(lè)等公共場(chǎng)所使用人臉識(shí)別技術(shù)處理人臉信息，圍繞透明度、安全保障措施等兩個(gè)方面開(kāi)展治理。其中，需要提示的是，“未依法開(kāi)展個(gè)人信息保護(hù)影響評(píng)估”是重點(diǎn)治理問(wèn)題之一。根據(jù)《個(gè)人信息保護(hù)法》的規(guī)定，在高風(fēng)險(xiǎn)場(chǎng)景（包括處理敏感個(gè)人信息）處理個(gè)人信息之前，應(yīng)當(dāng)進(jìn)行個(gè)人信息保護(hù)影響評(píng)估，并保存?zhèn)€人信息保護(hù)影響評(píng)估報(bào)告和處理情況記錄至少三年。《人臉識(shí)別技術(shù)應(yīng)用安全管理辦法》中亦將個(gè)人信息保護(hù)影響評(píng)估報(bào)告列為申請(qǐng)備案的材料之一。

4. 線下消費(fèi)場(chǎng)景的個(gè)人信息保護(hù)

《2025年公告》明確將自動(dòng)售賣(mài)、掃碼點(diǎn)餐、出行乘車(chē)、入場(chǎng)停車(chē)、商超支付、掃碼充電、房租租賃等線下消費(fèi)場(chǎng)景。通常來(lái)說(shuō)，《個(gè)人信息保護(hù)法》并不應(yīng)覆蓋線下場(chǎng)景，但公告中所稱(chēng)的線下場(chǎng)景，實(shí)際上已經(jīng)延伸至線上，個(gè)人在線下消費(fèi)而其個(gè)人信息被電子化處理。北京互聯(lián)網(wǎng)法院于2024年公布過(guò)一起典型案例，被告通過(guò)線下主體收集個(gè)人信息向線上關(guān)聯(lián)主體共享而未取得用戶同意，被判敗訴。《2025年公告》中將“強(qiáng)制關(guān)注公眾號(hào)、強(qiáng)制注冊(cè)會(huì)員、強(qiáng)制收集非必要的手機(jī)號(hào)、生日、性別等信息，物業(yè)前臺(tái)收集個(gè)人信息用于用戶授權(quán)以外的目的，未經(jīng)同意向第三方提供用戶個(gè)人信息”等行為納入治理范圍。

5. 個(gè)人信息保護(hù)刑事責(zé)任

《2025年公告》再次強(qiáng)調(diào)了打擊個(gè)人信息保護(hù)犯罪活動(dòng)的要求，《2019年公告》中就明確了公安機(jī)關(guān)開(kāi)展打擊整治網(wǎng)絡(luò)侵犯公民個(gè)人信息違法犯罪專(zhuān)項(xiàng)工作，依法打擊針對(duì)和利用個(gè)人信息的違法犯罪活動(dòng)。整體來(lái)看，個(gè)人信息犯罪活動(dòng)仍處于頻發(fā)狀態(tài)，特別是保險(xiǎn)、金融、電信等行業(yè)，個(gè)人信息數(shù)量大、敏感程度高、處理活動(dòng)頻繁，容易發(fā)生個(gè)人信息保護(hù)違法行為，甚至是涉及刑事犯罪。目前，個(gè)人信息保護(hù)相關(guān)的刑事犯罪主要包括侵犯公民個(gè)人信息罪、幫助信息網(wǎng)絡(luò)犯罪活動(dòng)罪、非法侵入計(jì)算機(jī)信息系統(tǒng)罪等。需要注意的是，幫助信息網(wǎng)絡(luò)犯罪活動(dòng)即使不構(gòu)成刑事責(zé)任，也可能產(chǎn)生行政責(zé)任，《網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》中都明確了，明知他人從事危害網(wǎng)絡(luò)安全活動(dòng)的，不得為其提供互聯(lián)網(wǎng)接入、服務(wù)器托管、網(wǎng)絡(luò)存儲(chǔ)、通訊傳輸?shù)燃夹g(shù)支持，也不得提供廣告推廣、支付結(jié)算等幫助。

03

密集開(kāi)展執(zhí)法行動(dòng)

自《網(wǎng)絡(luò)安全法》出臺(tái)以來(lái)，工信部、公安部、網(wǎng)信辦等部門(mén)就開(kāi)展了個(gè)人信息保護(hù)監(jiān)管活動(dòng)。隨著《2019年公告》的發(fā)布，個(gè)人信息保護(hù)執(zhí)法活動(dòng)進(jìn)入了第一輪高潮，集中在個(gè)人信息處理規(guī)則（隱私政策）、個(gè)人信息權(quán)限調(diào)用等方面，持續(xù)提升個(gè)人信息處理活動(dòng)的透明度要求。《2025年公告》發(fā)布后，個(gè)人信息保護(hù)執(zhí)法活動(dòng)進(jìn)入了第二輪高潮，在透明度要求的基礎(chǔ)上，進(jìn)一步對(duì)特定場(chǎng)景、權(quán)利行使等方面加大了保護(hù)力度。

1. 工信部門(mén)

工信部早在2013年就出臺(tái)了《電信和互聯(lián)網(wǎng)領(lǐng)域個(gè)人信息保護(hù)規(guī)定》，這是嚴(yán)格意義上中國(guó)第一部關(guān)于個(gè)人信息保護(hù)的專(zhuān)門(mén)立法，重點(diǎn)保護(hù)電信和互聯(lián)網(wǎng)領(lǐng)域的用戶個(gè)人信息。自2019年發(fā)布337號(hào)文（詳見(jiàn)下表）以后，工信部開(kāi)啟了APP個(gè)人信息保護(hù)監(jiān)管行動(dòng)，通過(guò)檢測(cè)、通報(bào)、下架等，顯著加大對(duì)APP個(gè)人信息保護(hù)的監(jiān)管力度。隨后，工信部又陸續(xù)發(fā)布了164號(hào)文、292號(hào)文、26號(hào)文（詳見(jiàn)下表），將APP監(jiān)管活動(dòng)進(jìn)一步延展到SDK、小程序等載體，明確了“雙清單”等要求，細(xì)化《個(gè)人信息保護(hù)法》有關(guān)要求，重點(diǎn)就如何收集、使用個(gè)人信息作出了詳細(xì)的規(guī)定。截止2024年底，工信部共通報(bào)侵害用戶權(quán)益行為的APP（SDK）45批，每年通報(bào)約10批。

2025年第一季度，工信部組織開(kāi)展APP技術(shù)抽測(cè)35批次，責(zé)令整改910款，公開(kāi)通報(bào)77款，下架22款。2025年4月，工信部通報(bào)了2025年第1批侵害用戶權(quán)益行為的APP（SDK），涉及52款A(yù)PP及SDK。

來(lái)源：金杜網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)團(tuán)隊(duì)整理

具體監(jiān)管過(guò)程中，工信部組織第三方檢測(cè)機(jī)構(gòu)進(jìn)行技術(shù)檢測(cè)和檢查，發(fā)現(xiàn)違法處理個(gè)人信息的，將按照程序采取處置措施：（1）責(zé)令整改。對(duì)檢測(cè)發(fā)現(xiàn)問(wèn)題的相關(guān)主體提出整改要求，限于5個(gè)工作日內(nèi)進(jìn)行整改并及時(shí)消除隱患；（2）社會(huì)公告。對(duì)未完成整改的，向社會(huì)公告；（3）下架處置。對(duì)社會(huì)公告5個(gè)工作日后，仍拒絕整改或者整改后仍存在問(wèn)題的，要求移動(dòng)應(yīng)用程序分發(fā)平臺(tái)進(jìn)行下架處置（需要注意的是，對(duì)反復(fù)出現(xiàn)問(wèn)題、采取技術(shù)對(duì)抗等違規(guī)情節(jié)嚴(yán)重的主題，將對(duì)其進(jìn)行直接下架），下架后40個(gè)工作日內(nèi)不得通過(guò)任何渠道再次上架；（4）斷開(kāi)接入。下架后仍未按要求完成整改的，將采取斷開(kāi)接入等必要措施；（5）恢復(fù)上架。被斷開(kāi)網(wǎng)絡(luò)接入的主體完成整改，并完善技術(shù)和管理機(jī)制及作出自律承諾后，可向作出下架要求的監(jiān)督管理部門(mén)申請(qǐng)恢復(fù)上架；（6）恢復(fù)接入。被斷開(kāi)網(wǎng)絡(luò)接入的主體完成整改后，可向作出斷開(kāi)接入的監(jiān)督管理部門(mén)申請(qǐng)恢復(fù)接入。（7）信用管理。相應(yīng)違規(guī)主體可被納入信用管理，主管部門(mén)可以采取聯(lián)合懲戒。

2. 網(wǎng)信部門(mén)

2021年5月，國(guó)家網(wǎng)信辦曾經(jīng)連續(xù)通報(bào)了四批違法違規(guī)收集使用個(gè)人信息的APP，第一批通報(bào)了33款，涉及輸入法類(lèi)15款，地圖導(dǎo)航類(lèi)17款，即時(shí)通信類(lèi)1款；第二批通報(bào)了84款，涉及安全管理類(lèi)36款，網(wǎng)絡(luò)借貸類(lèi)48款；第三批通報(bào)了105款，涉及短視頻類(lèi)19款，瀏覽器類(lèi)34款，求職招聘類(lèi)51款，實(shí)用工具類(lèi)1款；第四批通報(bào)了129款，涉及運(yùn)動(dòng)健身類(lèi)34款，新聞資訊類(lèi)27款，網(wǎng)絡(luò)直播類(lèi)36款，應(yīng)用商店類(lèi)11款，女性健康類(lèi)18款，網(wǎng)上購(gòu)物類(lèi)1款，學(xué)習(xí)教育類(lèi)1款，婚戀相親類(lèi)1款。該輪四批通報(bào)共涉及17類(lèi)APP，均屬于《常見(jiàn)類(lèi)型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》所列出的39類(lèi)APP范圍之中，仍有22類(lèi)APP沒(méi)有被通報(bào)（或者在本輪中未檢測(cè)出相應(yīng)問(wèn)題）。

此后，國(guó)家網(wǎng)信辦于2022年11月集中查處一批侵犯?jìng)€(gè)人信息合法權(quán)益的違法違規(guī)APP，依法查處135款違法違規(guī)APP，全部予以下架處置。其中，55款A(yù)PP被直接下架，存在強(qiáng)制索要非必要權(quán)限、未經(jīng)單獨(dú)同意向第三方共享精確位置信息、無(wú)隱私政策、超范圍收集上傳通訊錄等問(wèn)題；80款A(yù)PP逾期未整改而被下架，主要存在頻繁索要非必要權(quán)限、首次啟動(dòng)未提示隱私政策、未告知相關(guān)個(gè)人信息處理規(guī)則、默認(rèn)勾選隱私政策、無(wú)法或難以注銷(xiāo)賬號(hào)等問(wèn)題。截止2025年3月，這是國(guó)家網(wǎng)信辦唯一一次針對(duì)APP的個(gè)人信息保護(hù)集中執(zhí)法行動(dòng)，直至今年4月，國(guó)家網(wǎng)信辦才又通報(bào)了15款A(yù)PP和16款SDK的違法違規(guī)情況，并且明確是依據(jù)《2025年公告》所開(kāi)展的執(zhí)法活動(dòng)。

2022年-2025年之間，國(guó)家網(wǎng)信辦并非中止了個(gè)人信息保護(hù)監(jiān)管活動(dòng)，而是對(duì)11類(lèi)APP個(gè)人信息收集情況進(jìn)行了測(cè)試，并相應(yīng)發(fā)布了詳細(xì)的測(cè)試報(bào)告。這些測(cè)試實(shí)際上達(dá)到了同行測(cè)評(píng)的效果，即對(duì)于一些個(gè)人信息處理活動(dòng)的邊界無(wú)法精確界定的情況，采取同行比較的方式框定合理的處理活動(dòng)。例如，在“網(wǎng)上購(gòu)物類(lèi)”測(cè)評(píng)中，某APP在后臺(tái)靜默場(chǎng)景中調(diào)用位置權(quán)限1199次，而其他9款A(yù)PP中，有4款未調(diào)用權(quán)限，有1款調(diào)用應(yīng)用列表權(quán)限1次，有4款A(yù)PP分別調(diào)用位置權(quán)限57次、45次、39次和14次。那么，有理由認(rèn)為調(diào)用位置權(quán)限1199次的處理活動(dòng)超出了必要范圍，涉嫌違法違規(guī)。通過(guò)系統(tǒng)部署和深入調(diào)研論證，國(guó)家網(wǎng)信辦基本確立了個(gè)人信息保護(hù)違法違規(guī)的執(zhí)法標(biāo)準(zhǔn)，并再次啟動(dòng)了集中查處活動(dòng)，充分表明個(gè)人信息保護(hù)執(zhí)法活動(dòng)將趨實(shí)趨緊。

同時(shí)，中國(guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)于5月28日發(fā)布了《關(guān)于發(fā)布完成個(gè)人信息收集使用優(yōu)化改進(jìn)APP清單的公告（2025年第1批）》。中國(guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)于2016年3月25日在北京成立，是由中央網(wǎng)信辦主管的全國(guó)性、行業(yè)性、非營(yíng)利性社會(huì)組織，由國(guó)內(nèi)從事網(wǎng)絡(luò)空間安全相關(guān)產(chǎn)業(yè)、教育、科研、應(yīng)用的機(jī)構(gòu)、企業(yè)及個(gè)人自愿結(jié)成。2024年10月，中國(guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)成立了個(gè)人信息保護(hù)專(zhuān)業(yè)委員會(huì)。從其公告內(nèi)容來(lái)看，其并未以《2025年公告》作為依據(jù)，主要以指導(dǎo)的方式，組織相關(guān)APP運(yùn)營(yíng)方對(duì)個(gè)人信息收集使用問(wèn)題進(jìn)行優(yōu)化改進(jìn)，重點(diǎn)針對(duì)超范圍收集個(gè)人信息、過(guò)度調(diào)用敏感權(quán)限、權(quán)限設(shè)置和賬號(hào)注銷(xiāo)不便等問(wèn)題。

3. 公安部門(mén)

自《網(wǎng)絡(luò)安全法》、刑法修正案（七）、刑法修正案（九）等實(shí)施以來(lái)，公安機(jī)關(guān)采取了一系列行動(dòng)，打擊個(gè)人信息違法犯罪活動(dòng)，不僅追究相關(guān)主體的刑事責(zé)任，也在APP監(jiān)管方面開(kāi)展了個(gè)人信息執(zhí)法監(jiān)管活動(dòng)。目前，涉及APP監(jiān)管的機(jī)構(gòu)主要包括兩個(gè)，國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心（CVERC）和公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心（以下簡(jiǎn)稱(chēng)“計(jì)算機(jī)檢驗(yàn)中心”）。

（1）

CVERC是經(jīng)公安部推薦，由原國(guó)信辦于2001年批復(fù)成立的，是我國(guó)唯一的負(fù)責(zé)計(jì)算機(jī)病毒應(yīng)急處理的專(zhuān)門(mén)機(jī)構(gòu)，主要職責(zé)是快速發(fā)現(xiàn)和處置計(jì)算機(jī)病毒疫情與網(wǎng)絡(luò)攻擊事件，保衛(wèi)我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)與重要信息系統(tǒng)的安全[1]。CVERC承擔(dān)了全國(guó)移動(dòng)APP安全檢測(cè)處置工作，建立了移動(dòng)互聯(lián)網(wǎng)應(yīng)用安全監(jiān)測(cè)處置中心和移動(dòng)APP安全監(jiān)測(cè)處置平臺(tái)，對(duì)全國(guó)移動(dòng)APP分發(fā)平臺(tái)開(kāi)展技術(shù)檢測(cè)。2018年3月，CVERC曾通報(bào)了6款違法APP，其中有1款A(yù)PP涉及隱私竊取問(wèn)題。2024年3月起，CVERC啟動(dòng)了系統(tǒng)的APP檢測(cè)活動(dòng)，并在2024年全年通報(bào)了7批違規(guī)移動(dòng)應(yīng)用。對(duì)于這些被通報(bào)的APP，CVERC并未采取進(jìn)一步的處置行動(dòng)，而僅“提醒廣大手機(jī)用戶首先謹(jǐn)慎下載使用以上違規(guī)移動(dòng)App，同時(shí)要注意認(rèn)真閱讀其用戶協(xié)議和隱私政策說(shuō)明，不隨意開(kāi)放和同意不必要的隱私權(quán)限，不隨意輸入個(gè)人隱私信息，定期維護(hù)和清理相關(guān)數(shù)據(jù)，避免個(gè)人隱私信息被泄露。”2025年起，CVERC基本以月為周期，每月下旬左右均會(huì)通報(bào)一批違規(guī)移動(dòng)應(yīng)用。其中，2025年4月20日，CVERC在4月17日剛通報(bào)一批違規(guī)移動(dòng)應(yīng)用的基礎(chǔ)上，增加了一次通報(bào)，并首次明確本次檢測(cè)活動(dòng)的依據(jù)之一是《2025年公告》。4月20日通報(bào)中，CVERC還第一次通報(bào)了APP違法向境外提供個(gè)人信息的情況，有1款A(yù)PP“向中華人民共和國(guó)境外提供個(gè)人信息的，未向個(gè)人告知境外接收方的名稱(chēng)或者姓名、聯(lián)系方式、處理目的、處理方式、個(gè)人信息的種類(lèi)以及個(gè)人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等事項(xiàng)，并取得個(gè)人的單獨(dú)同意。”同時(shí)，自下一次通報(bào)起（5月13日），CVERC則明確了處置措施，復(fù)測(cè)仍有問(wèn)題的移動(dòng)應(yīng)用予以下架。

（2）

計(jì)算機(jī)檢驗(yàn)中心是根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》要求，于1998年通過(guò)國(guó)家認(rèn)證的法定檢測(cè)機(jī)構(gòu)[2]。該中心于2025年5月20日首次通報(bào)了35款違法違規(guī)收集使用個(gè)人信息的移動(dòng)應(yīng)用。通報(bào)的依據(jù)之一也是《2025年公告》，并明確是由計(jì)算機(jī)檢驗(yàn)中心開(kāi)展的檢測(cè)活動(dòng)。從通報(bào)的平臺(tái)、形式、內(nèi)容等來(lái)看，其與CVERC的通報(bào)十分類(lèi)似，但計(jì)算機(jī)檢驗(yàn)中心與CVERC雖均隸屬于公安系統(tǒng)，但分別為兩家不同的單位。計(jì)算機(jī)檢驗(yàn)中心所通報(bào)的APP與CVERC也并不重合，因此可以認(rèn)為公安部門(mén)目前至少有兩家單位在同時(shí)開(kāi)展檢測(cè)活動(dòng)。

04

對(duì)企業(yè)的合規(guī)啟示

今年是《個(gè)人信息保護(hù)法》實(shí)施第四年，國(guó)家網(wǎng)信辦明確表示將“加大網(wǎng)絡(luò)安全、數(shù)據(jù)安全和個(gè)人信息保護(hù)等領(lǐng)域執(zhí)法力度，筑牢網(wǎng)絡(luò)空間安全屏障”。工信部亦表示將“加強(qiáng)細(xì)分行業(yè)領(lǐng)域數(shù)據(jù)安全管理，推動(dòng)網(wǎng)絡(luò)和數(shù)據(jù)安全產(chǎn)業(yè)創(chuàng)新發(fā)展”。2025年上半年，網(wǎng)信、工信、公安密集開(kāi)展了一系列的立法、執(zhí)法活動(dòng)，整體個(gè)人信息保護(hù)態(tài)勢(shì)趨緊，需要重點(diǎn)關(guān)注并有針對(duì)性地開(kāi)展相應(yīng)合規(guī)活動(dòng)，降低個(gè)人信息保護(hù)合規(guī)風(fēng)險(xiǎn)，全面提升個(gè)人信息保護(hù)水平。

1. 強(qiáng)化基礎(chǔ)合規(guī)以不變應(yīng)萬(wàn)變

從今年監(jiān)管趨勢(shì)來(lái)看，檢測(cè)機(jī)構(gòu)至少有4家以上，檢測(cè)活動(dòng)雖都聚焦于個(gè)人信息違法違規(guī)活動(dòng)，但檢測(cè)重點(diǎn)有所側(cè)重而存在差異。根據(jù)《2025年公告》，本次監(jiān)管行動(dòng)由四部委聯(lián)合推進(jìn)，而市場(chǎng)監(jiān)管總局尚未開(kāi)展具體的監(jiān)管活動(dòng)。通常來(lái)說(shuō)，市監(jiān)系統(tǒng)在個(gè)人信息保護(hù)方面主要依托于消費(fèi)者權(quán)益保護(hù)體系，用戶投訴可能成為市監(jiān)部門(mén)啟動(dòng)監(jiān)管的重點(diǎn)途徑。對(duì)于企業(yè)而言，投訴行為具有分散性、不確定性的特點(diǎn)，往往會(huì)形成較大的合規(guī)壓力。

總體而言，個(gè)人信息保護(hù)必須從事后應(yīng)對(duì)轉(zhuǎn)向事前合規(guī)。一旦進(jìn)入通報(bào)、整改流程，企業(yè)將陷入非常被動(dòng)的局面，可能不得不改變業(yè)務(wù)模式，也可能影響產(chǎn)品、功能等上線時(shí)間，而如果在整改過(guò)程中仍不能達(dá)到合規(guī)標(biāo)準(zhǔn)，則將面臨下架等更為嚴(yán)厲的處置措施。實(shí)際上，個(gè)人信息保護(hù)以《個(gè)人信息保護(hù)法》為主要依據(jù)，已經(jīng)形成了包括行政法規(guī)、部門(mén)規(guī)章、標(biāo)準(zhǔn)等在內(nèi)的系統(tǒng)合規(guī)體系。企業(yè)在個(gè)人信息保護(hù)合規(guī)中，宜從基礎(chǔ)層面建立或者完善行之有效的合規(guī)體系、流程、制度等因素，從而能夠真正提升個(gè)人信息保護(hù)水平，順利通過(guò)相關(guān)檢測(cè)活動(dòng)，保護(hù)個(gè)人信息合法權(quán)益。同時(shí)，個(gè)人信息保護(hù)合規(guī)也是數(shù)據(jù)入表、數(shù)據(jù)交易等活動(dòng)的必要前提，鞏固和提升個(gè)人信息保護(hù)合規(guī)能力，也有利于企業(yè)在數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展過(guò)程中充分挖掘和釋放數(shù)據(jù)價(jià)值。

2. 把握重點(diǎn)合規(guī)環(huán)節(jié)

縱觀國(guó)內(nèi)外，個(gè)人信息保護(hù)合規(guī)都涉及大量法律文件和標(biāo)準(zhǔn)規(guī)范，合規(guī)難度大要求高。個(gè)人信息保護(hù)要求全流程合規(guī)，通過(guò)隱私政策可以全面反映企業(yè)個(gè)人信息合規(guī)的現(xiàn)狀，因此隱私政策是本輪以及后續(xù)合規(guī)的重要載體和體現(xiàn)。但隱私政策只能達(dá)到形式合規(guī)的要求，從本輪監(jiān)管趨勢(shì)來(lái)看，企業(yè)還需要開(kāi)展更深層次的合規(guī)工作，歸納起來(lái)主要包括四個(gè)方面的重點(diǎn)內(nèi)容：（1）建章立制。建立企業(yè)內(nèi)部數(shù)據(jù)合規(guī)管理制度和操作流程，從而明確個(gè)人信息內(nèi)部處理的權(quán)限和責(zé)任，規(guī)范開(kāi)展個(gè)人信息處理活動(dòng)，有效應(yīng)對(duì)處理過(guò)程中可能產(chǎn)生的各種問(wèn)題。（2）培訓(xùn)考核。建議開(kāi)展企業(yè)內(nèi)部全員培訓(xùn)和關(guān)鍵崗位人員專(zhuān)題培訓(xùn)，確保管理層和一線員工都能掌握個(gè)人信息處理的合規(guī)要求，培養(yǎng)和鞏固相應(yīng)的合規(guī)意識(shí)。必要時(shí)，還可以通過(guò)考核的方式強(qiáng)化關(guān)鍵崗位員工的合規(guī)能力。（3）應(yīng)急演練。建議根據(jù)法律規(guī)定，建立企業(yè)數(shù)據(jù)安全事件應(yīng)急響應(yīng)制度，定期開(kāi)展演習(xí)演練，發(fā)現(xiàn)實(shí)際風(fēng)險(xiǎn)并采取相應(yīng)的防控措施。（4）技術(shù)保障。建議根據(jù)法規(guī)、標(biāo)準(zhǔn)等要求，采取合適的技術(shù)保障措施，保證個(gè)人信息處理安全可控。

3. 善用個(gè)人信息保護(hù)合規(guī)工具

積極運(yùn)用個(gè)人信息保護(hù)合規(guī)工具，既是落實(shí)法定要求，也能夠作為企業(yè)開(kāi)展合規(guī)工作的重要切入點(diǎn)，明確人臉信息保護(hù)的范圍和重點(diǎn)。通常而言，個(gè)人信息保護(hù)合規(guī)工具包括合規(guī)審計(jì)、保護(hù)認(rèn)證和影響評(píng)估三種。《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》已經(jīng)于5月1日起實(shí)施，合規(guī)審計(jì)工具是近期個(gè)人信息保護(hù)的重點(diǎn)，可以作為個(gè)人信息保護(hù)合規(guī)的首選工具之一。

自2019年前后，大多數(shù)企業(yè)已經(jīng)開(kāi)展了至少一次以上的個(gè)人信息合規(guī)工作。面對(duì)今年的監(jiān)管趨勢(shì)，部分企業(yè)可能覺(jué)得現(xiàn)有的合規(guī)水平已經(jīng)足夠了，因此不必再開(kāi)展新的合規(guī)工作；還有部分企業(yè)希望能夠?qū)?biāo)有關(guān)合規(guī)標(biāo)準(zhǔn)來(lái)測(cè)試自身是否滿足合規(guī)要求，但又不知如何切入合規(guī)工作。實(shí)際上，這些想法與個(gè)人信息保護(hù)監(jiān)管趨勢(shì)并不契合，相關(guān)企業(yè)需要調(diào)整合規(guī)意識(shí)，及時(shí)補(bǔ)齊合規(guī)短板。總體而言，本輪合規(guī)對(duì)于大多數(shù)企業(yè)來(lái)說(shuō)都不是從0到1的合規(guī)過(guò)程，而是在具備一定合規(guī)基礎(chǔ)之上，回應(yīng)監(jiān)管新要求。對(duì)此，個(gè)人信息保護(hù)合規(guī)審計(jì)將可以作為一項(xiàng)非常好用的工具。《個(gè)人信息保護(hù)法》明確規(guī)定了合規(guī)審計(jì)的要求，既是企業(yè)的合規(guī)義務(wù)，也是企業(yè)判斷自身合規(guī)水平的有效手段。開(kāi)展個(gè)人信息合規(guī)審計(jì)，取得個(gè)人信息合規(guī)審計(jì)報(bào)告，能夠幫助企業(yè)全面審視合規(guī)風(fēng)險(xiǎn)點(diǎn)，采取相應(yīng)的應(yīng)對(duì)措施，同時(shí)也是證明個(gè)人信息保護(hù)合規(guī)的重要內(nèi)容。

4. 持續(xù)關(guān)注監(jiān)管動(dòng)態(tài)

綜合各方面信息來(lái)看，個(gè)人信息保護(hù)監(jiān)管將向常態(tài)化、精細(xì)化方面發(fā)展。《中國(guó)網(wǎng)絡(luò)法治發(fā)展報(bào)告（2024年）》中明確，2025年將“推進(jìn)跨領(lǐng)域跨部門(mén)聯(lián)合執(zhí)法，嚴(yán)厲打擊網(wǎng)絡(luò)違法違規(guī)行為”。個(gè)人信息保護(hù)執(zhí)法行動(dòng)雖然會(huì)在短期內(nèi)提升企業(yè)合規(guī)壓力和成本，但從長(zhǎng)遠(yuǎn)來(lái)說(shuō)將明確個(gè)人信息保護(hù)和利用的邊界，通過(guò)執(zhí)法監(jiān)督確立更為清晰的標(biāo)準(zhǔn)，幫助企業(yè)厘清違法紅線，從而可以真正實(shí)現(xiàn)保護(hù)個(gè)人信息的同時(shí)釋放個(gè)人信息價(jià)值。可以說(shuō)，個(gè)人信息保護(hù)合規(guī)已然成為數(shù)字經(jīng)濟(jì)企業(yè)的必修課，需要認(rèn)真學(xué)習(xí)和終身學(xué)習(xí)。

在此過(guò)程中，企業(yè)一方面需要對(duì)現(xiàn)有的監(jiān)管要求十分熟悉，特別是監(jiān)管部門(mén)所使用的一些國(guó)家標(biāo)準(zhǔn)、團(tuán)體標(biāo)準(zhǔn)等，準(zhǔn)確把握個(gè)人信息合規(guī)要求和具體實(shí)踐，避免對(duì)法律法規(guī)的錯(cuò)誤理解而導(dǎo)致的合規(guī)問(wèn)題；另一方面，還需要持續(xù)跟蹤立法、執(zhí)法動(dòng)態(tài)，確保合規(guī)實(shí)踐符合最新法規(guī)要求。例如，積極與監(jiān)管部門(mén)、檢測(cè)機(jī)構(gòu)等保持溝通聯(lián)系，主動(dòng)參與行業(yè)研討會(huì)、論壇等活動(dòng)，交流合規(guī)經(jīng)驗(yàn)，重點(diǎn)關(guān)注本領(lǐng)域標(biāo)準(zhǔn)、指南制定工作，準(zhǔn)確理解合規(guī)要求，同時(shí)也能反饋企業(yè)的合理訴求。

腳注：

[1] 參見(jiàn)：CVERC-國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心-機(jī)構(gòu)介紹

[2] 參見(jiàn)：公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心_機(jī)構(gòu)介紹_公安部第三研究所檢測(cè)中心 – Powered by GSCMS

聲明：本文來(lái)自金杜研究院，稿件和圖片版權(quán)均歸原作者所有。所涉觀點(diǎn)不代表東方安全立場(chǎng)，轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán)，請(qǐng)聯(lián)系rhliu@skdlabs.com，我們將及時(shí)按原作者或權(quán)利人的意愿予以更正。