7月11日，依据《网络安全法》《个人信息保护法》等法律法规，按照《中央网信办工业和信息化部公安部市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求，经国家计算机病毒应急处理中心检测，68款移动应用存在违法违规收集使用个人信息情况。

一、68款移动应用存在违法违规收集使用个人信息被通报

通报如下：

1、在APP首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则；以默认选择同意隐私政策等非明示方式征求用户同意；隐私政策难以访问；个人信息处理者在处理个人信息前，未以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名、联系方式、个人信息的保存期限等。涉及14款移动应用如下：

《1点点 alittleTea+》（版本1，微信小程序）、《北京蝴蝶泉宾馆》（版本3.163.3，微信小程序）、《斗鱼》（版本1.1.3，广汽AION Y应用商店）、《虎丫炒鸡官方》（版本5.88.05，微信小程序）、《吉祥馄饨 Wonton》（版本2.0.0，微信小程序）、《明宇酒店》（版本1，微信小程序）、《轻住酒店预订》（版本3.2.17，微信小程序）、《甜啦啦》（版本2025627，微信小程序）、《微商录屏大师》（版本5.0.4，搜狗下载）、《五谷渔粉点餐》（版本5.80.05，微信小程序）、《杨国福》（版本1.0.48，微信小程序）、《银泰掌易宝》（版本5.1.0，华为应用市场（鸿蒙））、《众汇酒店管理》（版本J3.11.102，微信小程序）、《在线助教学生》（版本2.0.7，小米应用商店）

2、隐私政策未逐一列出APP（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围等。涉及30款移动应用如下：

《1点点 alittleTea+》（版本1，微信小程序）、《51ETC管理》（版本2.9.0，vivo应用商店）、《Guard Android SDK》（版本1.5.8，官网）、《Mobit Android SDK》（版本2.14.1，官网）、《Now 冥想》（版本4.9.8，历趣市场）、《WeMeeting》（版本2.7.4，荣耀商城）、《丁香园》（版本10.6.0，历趣市场）、《斗鱼》（版本1.1.3，广汽AION Y应用商店）、《红娘》（版本4.0.2，360手机助手）、《红松》（版本5.6.20，应用宝）、《华为好望》（版本3.5.10，华为应用市场）、《冀供惠》（版本1.1.0，华为应用市场）、《老乡鸡》（版本1.2.334，微信小程序）、《美篇》（版本11.0.6，华为应用市场）、《谜圈》（版本3.8.0，当下软件园）、《三联中读》（版本10.7.0，应用宝）、《盛名时刻表》（版本1.0.9，vivo应用商店）、《石家庄日报》（版本1.2.6，oppo软件商店）、《时光序》（版本4.18.2，vivo应用商店）、《识货》（版本8.34.0，豌豆荚）、《苏e行》（版本4.2.0，vivo应用商店）、《甜啦啦》（版本2025627，微信小程序）、《听戏》（版本4.5.6，百度手机助手）、《小伴龙动画屋》（版本4.0.0，PP助手）、《小灯塔》（版本3.26.0，应用宝）、《小鹿中医》（版本3.10.12，豌豆荚）、《小小桌宠》（版本1.7.0，百度手机助手）、《迅雷游戏SDK》（版本1.8.0.0，官网）、《易行车服》（版本2.2.8，华为应用市场）、《中青旅遨游旅行》（版本6.1.21，360手机助手）

3、个人信息处理者向其他个人信息处理者提供其处理的个人信息的，未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意；APP客户端向第三方提供个人信息，包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息，未经过用户同意，未做匿名化处理。涉及12款移动应用如下：

《VV》（版本8.68.1.7，百度手机助手）、《北京蝴蝶泉宾馆》（版本3.163.3，微信小程序）、《财达财日昇》（版本3.65，当快软件园）、《石家庄日报》（版本1.2.6，oppo软件商店）、《识货》（版本8.34.0，豌豆荚）、《水印王》（版本6.1.2，华为应用市场）、《微商录屏大师》（版本5.0.4，搜狗下载）、《小伴龙动画屋》（版本4.0.0，PP助手）、《小鹿中医》（版本3.10.12，豌豆荚）、《医院挂号网》（版本2.4.4，历趣市场）、《移动端应用订阅SDK》（版本1.1.0，官网）、《银泰掌易宝》（版本5.1.0，华为应用市场（鸿蒙））

4、未在征得用户同意后才开始收集个人信息或打开可收集个人信息的权限。涉及1款移动应用如下：

《老乡鸡》（版本1.2.334，微信小程序）

5、未提供有效的更正、删除个人信息及注销用户账号功能；虽提供了更正、删除个人信息及注销用户账号功能，但未及时响应用户相应操作，需人工处理的，未在承诺时限内完成核查和处理。涉及5款移动应用如下：

《聚典数据开放平台SDK》（版本3.0.4，官网）、《热力引擎 Android SDK》（版本1.2.7.5，官网）、《用户运营SDK》（版本1.1.0，官网）、《中信书院》（版本9.4.1，华为应用市场）、《众汇酒店管理》（版本J3.11.102，微信小程序）

6、投诉、举报未在承诺时限内受理并处理；个人信息处理者未建立便捷的个人行使权利的申请受理和处理机制。涉及3款移动应用如下：

《轻住酒店预订》（版本3.2.17，微信小程序）、《苏e行》（版本4.2.0，vivo应用商店）、《众汇酒店管理》（版本J3.11.102，微信小程序）

7、未向用户提供撤回同意收集个人信息的途径、方式；个人信息处理者未提供便捷的撤回同意的方式。涉及35款移动应用如下：

《51ETC管理》（版本2.9.0，vivo应用商店）、《Now 冥想》（版本4.9.8，历趣市场）、《WeMeeting》（版本2.7.4，荣耀商城）、《薄荷健康》（版本14.0.5，豌豆荚）、《财达财日昇》（版本3.65，当快软件园）、《电销神器》（版本6.8.6，vivo应用商店）、《红松》（版本5.6.20，应用宝）、《华为好望》（版本3.5.10，华为应用市场）、《冀供惠》（版本1.1.0，华为应用市场）、《聚典数据开放平台SDK》（版本3.0.4，官网）、《马蜂窝》（版本4.6.19，微信小程序）、《谜圈》（版本3.8.0，当下软件园）、《明宇酒店》（版本1，微信小程序）、《轻住酒店预订》（版本3.2.17，微信小程序）、《三联中读》（版本10.7.0，应用宝）、《扫描宝》（版本2.72，搜狗下载）、《盛名时刻表》（版本1.0.9，vivo应用商店）、《石家庄日报》（版本1.2.6，oppo软件商店）、《时光序》（版本4.18.2，vivo应用商店）、《水獭掌柜》（版本4.7.7-retail-china，小米应用商店）、《水印王》（版本6.1.2，华为应用市场）、《听戏》（版本4.5.6，百度手机助手）、《微商录屏大师》（版本5.0.4，搜狗下载）、《小伴龙动画屋》（版本4.0.0，PP助手）、《小鹿中医》（版本3.10.12，豌豆荚）、《小小桌宠》（版本1.7.0，百度手机助手）、《小猪民宿》（版本6.56.00，360手机助手）、《迅雷游戏SDK》（版本1.8.0.0，官网）、《杨国福》（版本1.0.48，微信小程序）、《医院挂号网》（版本2.4.4，历趣市场）、《易行车服》（版本2.2.8，华为应用市场）、《用户运营SDK》（版本1.1.0，官网）、《智惠行》（版本2.6.1，vivo应用商店）、《中青旅遨游旅行》（版本6.1.21，360手机助手）、《众汇酒店管理》（版本J3.11.102，微信小程序）

8、通过自动化决策方式向个人进行信息推送、商业营销，未同时提供不针对其个人特征的选项，或者未向个人提供便捷的拒绝方式。涉及3款移动应用如下：

《马蜂窝》（版本4.6.19，微信小程序）、《轻住酒店预订》（版本3.2.17，微信小程序）、《杨国福》（版本1.0.48，微信小程序）

9、处理敏感个人信息未取得个人的单独同意。涉及1款移动应用如下：

《易行车服》（版本2.2.8，华为应用市场）

10、个人信息处理者处理不满十四周岁未成年人个人信息的，未制定专门的个人信息处理规则；收集未成年人信息未取得监护人单独同意。涉及13款移动应用如下：

《VV》（版本8.68.1.7，百度手机助手）、《虎丫炒鸡官方》（版本5.88.05，微信小程序）、《吉祥馄饨 Wonton》（版本2.0.0，微信小程序）、《聚典数据开放平台SDK》（版本3.0.4，官网）、《老乡鸡》（版本1.2.334，微信小程序）、《美篇》（版本11.0.6，华为应用市场）、《谜圈》（版本3.8.0，当下软件园）、《三联中读》（版本10.7.0，应用宝）、《塔斯汀+》（版本3.25.2，微信小程序）、《甜啦啦》（版本2025627，微信小程序）、《五谷渔粉点餐》（版本5.80.05，微信小程序）、《移动端应用订阅SDK》（版本1.1.0，官网）、《众汇酒店管理》（版本J3.11.102，微信小程序）

11、APP非服务所必需或无合理应用场景，超范围频繁自启动或关联启动第三方APP。涉及1款移动应用如下：

《红松》（版本5.6.20，应用宝）

12、未采取相应的加密、去标识化等安全技术措施。涉及31款移动应用如下：

《1点点 alittleTea+》（版本1，微信小程序）、《Guard Android SDK》（版本1.5.8，官网）、《VV》（版本8.68.1.7，百度手机助手）、《薄荷健康》（版本14.0.5，豌豆荚）、《北京蝴蝶泉宾馆》（版本3.163.3，微信小程序）、《电销神器》（版本6.8.6，vivo应用商店）、《丁香园》（版本10.6.0，历趣市场）、《红娘》（版本4.0.2，360手机助手）、《虎丫炒鸡官方》（版本5.88.05，微信小程序）、《吉祥馄饨 Wonton》（版本2.0.0，微信小程序）、《锦江荟》（版本1.9.2，微信小程序）、《老乡鸡》（版本1.2.334，微信小程序）、《马蜂窝》（版本4.6.19，微信小程序）、《明宇酒店》（版本1，微信小程序）、《轻住酒店预订》（版本3.2.17，微信小程序）、《热力引擎 Android SDK》（版本1.2.7.5，官网）、《扫描宝》（版本2.72，搜狗下载）、《时光序》（版本4.18.2，vivo应用商店）、《水獭掌柜》（版本4.7.7-retail-china，小米应用商店）、《塔斯汀+》（版本3.25.2，微信小程序）、《甜啦啦》（版本2025627，微信小程序）、《微商录屏大师》（版本5.0.4，搜狗下载）、《五谷渔粉点餐》（版本5.80.05，微信小程序）、《亚朵ATOUR》（版本3.39.1，微信小程序）、《杨国福》（版本1.0.48，微信小程序）、《医院挂号网》（版本2.4.4，历趣市场）、《有谱么》（版本3.45a，搜狗下载）、《云上冀医》（版本4.2.3，华为应用市场）、《在线助教学生》（版本2.0.7，小米应用商店）、《智惠行》（版本2.6.1，vivo应用商店）、《众汇酒店管理》（版本J3.11.102，微信小程序）

13、无隐私政策。涉及6款移动应用如下：

《21财经》（版本1.0.0，广汽AION Y应用商店）、《Andorid一键登陆SDK》（版本1.0.1，官网）、《埃安悦听》（版本1.0.8303.231204.151120.rev_20230825_3c6ea06e6.gac_a18va21a29v_6125.release，广汽AION Y预装APP）、《广汽魔方》（版本2.0.789.231204.152223.1aa24be3.release，广汽AION Y预装APP）、《应用商店》（版本1.9.7，广汽AION Y预装APP）、《桌面地图》（版本1.0.1352.231204.152034.81520207.gac_a21_6125.release，广汽AION Y预装APP）

上期通报的国家计算机病毒应急处理中心检测发现的64款违法违规移动应用，经复测仍有22款存在问题，相关移动应用分发平台已予以下架。

（注：文中所列移动应用检测时间为2025年6月11日至2025年7月1日）

二、违规行为类型与深层原因分析

此次通报的13类违规行为可归纳为三大核心问题：用户知情权缺失、数据处理规范不足和安全防护措施薄弱，这些问题在不同行业和应用类型中表现各异。

用户知情权缺失是最普遍的违规类型，涉及49款应用。主要表现为三类违规行为：一是未在APP首次运行时通过弹窗等明显方式提示用户阅读隐私政策，或以默认选择同意隐私政策等非明示方式征求用户同意，剥夺用户的选择权。例如《1点点 alittleTea+》《北京蝴蝶泉宾馆》等14款微信小程序首次运行时直接默认用户同意，未提供阅读隐私政策的机会。二是隐私政策难以访问，部分应用将隐私政策嵌入冗长的协议中，或隐藏在"设置"菜单下，用户难以快速获取关键信息。三是未提供撤回同意收集个人信息的途径或方式，35款应用未建立便捷的撤回同意机制，用户一旦授权便无法随时更改权限。例如《WeMeeting》《Now 冥想》等应用虽在隐私政策中提到用户可撤回同意，但未提供明显的操作入口，导致用户实际难以行使这一权利。

数据处理规范不足主要表现在三个方面：一是隐私政策未逐一列出APP收集使用个人信息的目的、方式、范围等，涉及30款应用，包括《51ETC管理》《WeMeeting》等。二是向其他个人信息处理者提供个人信息时未告知接收方信息并取得单独同意，涉及12款应用，如《VV》《财达财日昇》等，这些应用在向第三方共享用户数据时未明确披露接收方名称、联系方式、处理目的等关键信息。三是处理未成年人个人信息未制定专门规则或取得监护人同意，涉及13款应用，如《虎丫炒鸡官方》《甜啦啦》等，这些应用在收集未成年人信息时未设置专门的授权流程，直接默认监护人同意，违反《个人信息保护法》第31条的规定。此外，还有三款应用（《马蜂窝》《轻住酒店预订》《杨国福》）通过自动化决策方式推送信息或商业营销，但未提供不针对个人特征的选项或便捷的拒绝方式，违反了《个人信息保护法》第24条和GDPR第22条的规定。

安全防护措施薄弱主要体现为两类违规行为：一是未采取相应的加密、去标识化等安全技术措施，涉及31款应用，包括《薄荷健康》《丁香园》等，这些应用在传输或存储用户敏感信息时未使用TLS/SSL等加密协议，存在数据泄露风险。二是无隐私政策，涉及6款广汽AION Y预装应用（如《埃安悦听》《桌面地图》等），这些应用未提供任何隐私政策，用户完全处于信息真空状态，无法了解自身数据被如何收集和使用。特别值得注意的是，《红松》应用因超范围频繁自启动或关联启动第三方APP而违规，这种行为可能引发资源滥用或恶意行为，影响用户设备性能和安全

移动应用违规收集个人信息问题的根源是多方面的，涉及技术、管理和监管三个层面的系统性缺陷。

技术层面，开发流程中的隐私设计缺失是首要原因。首先，隐私设计优先级不足，多数开发者将功能开发置于首位，隐私保护常被视为"附加项"。例如，《微商录屏大师》未在权限请求前展示隐私政策，反映出开发流程中缺乏隐私影响评估（PIA）。其次，SDK集成失控，第三方SDK的滥用导致数据泄露链条延长。以《WeMeeting》为例，其集成的SDK可能未经用户同意即上传通话记录，而开发者对此缺乏监控。第三，自动化工具依赖，部分企业使用代码生成工具快速开发应用，但工具内置的隐私条款模板不符合法规要求，导致合规性漏洞。例如，《1点点 alittleTea+》等应用使用的默认模板未包含必要告知内容，直接导致违规。

微信小程序开发框架存在明显的隐私设计缺陷。根据研究，微信平台仅在代码提审时核对隐私政策与接口调用的一致性，但未强制要求隐私政策的易读性和用户知情权的保障。微信小程序的权限机制仅覆盖34.4%的隐私API，大量敏感权限（如获取网络信息、设备标识符等）未被纳入监管范围。同时，微信平台未提供足够的隐私保护开发工具和指导，导致开发者难以实现合规要求。

管理层面，企业合规意识薄弱是关键问题。首先，成本与收益失衡，中小型企业为降低开发成本，倾向于采用"默认同意"策略，而非投入资源设计合规流程。例如，《北京蝴蝶泉宾馆》小程序未明确告知用户数据保存期限，直接省略了合规成本。其次，内部治理机制缺位，缺乏专职隐私保护负责人或独立审计部门，导致违规行为长期存在。如《中信书院》未提供有效注销功能，反映出对用户权利响应的漠视。第三，外包环节监管漏洞，企业将数据处理外包给第三方时，未签订隐私保护协议。

监管层面，执法力度与技术手段不足是主要障碍。首先，动态监测能力有限，监管部门依赖静态检测报告，难以实时追踪APP更新后的合规性变化。例如，《斗鱼》在广汽AION Y应用商店违规后，未及时修复。其次，处罚威慑力不足，尽管《个人信息保护法》规定最高可处5000万元罚款，但实际案例中处罚金额与违规收益不成比例，导致企业违法成本偏低。例如，工信部2025年6月通报的57款违规应用中，多数处罚金额远低于5000万元上限。最后，跨平台协作困难，不同应用商店（如微信小程序、华为应用市场）的监管标准不一，导致违规应用在多个平台"打游击"。

三、构建隐私保护生态的路径探索

针对移动应用违规收集个人信息问题，需要从技术、政策和社会共治三个维度构建系统性解决方案，形成多方协同的隐私保护生态。

技术赋能是构建隐私保护生态的基础。首先，隐私设计即服务（Privacy by Design as a Service, PaaS）可帮助开发者实现合规。通过云端隐私设计工具包，自动生成符合法规的隐私政策、权限提示界面及数据加密方案。例如，谷歌的Privacy Sandbox技术已实现广告追踪的匿名化处理，减少对用户个人特征的依赖。其次，SDK透明化管理平台可强制要求开发者披露数据收集范围与处理方式。华为与信通院共建的"全国SDK管理服务平台HarmonyOS专区"已实现SDK备案、风险预警和认证标记功能，为开发者提供合规SDK选择。最后，自动化合规审计工具可利用AI模型扫描APP代码，识别未加密数据传输、过度权限请求等问题。如IBM的OpenPages平台已实现合规风险实时预警，提高检测效率和准确性。

微信小程序生态需要加强技术层面的隐私保护。微信平台应优化隐私接口和开发工具链，提供更清晰的合规指引和示例代码。同时，应强制要求小程序提供易读、易访问的隐私政策，并在首次运行时以弹窗方式明确提示用户阅读。此外，微信应加强对第三方SDK的审核和管理，建立SDK安全白名单制度，确保接入的SDK符合隐私保护要求。上海市《网络点餐服务消费者个人信息保护合规指引》要求餐饮小程序不得强制关注公众号或收集无关信息，这种技术规范值得推广。

政策优化是推动隐私保护的重要保障。首先，动态分级监管机制可根据行业风险等级（如金融、医疗）实施差异化监管。例如，对高风险领域的《医院挂号网》实施"双随机一公开"检查，提高监管针对性和有效性。其次，引入惩罚性赔偿制度可对故意违规企业施加高额罚款，并允许用户集体诉讼。《个人信息保护法》第66条规定，情节严重的可处违法所得十倍以上一百倍以下罚款，最高可达五千万元。这种高额罚款对违规企业形成有效震慑，但需加强执行力度。最后，合规认证与激励计划可推出"隐私友好型APP"认证标志，通过税收减免或流量扶持鼓励企业主动合规。例如，美国加州的CCPA认证体系已初具成效，认证企业可获得市场认可和政策支持。

社会共治是实现隐私保护长期有效的关键。首先，用户教育与反馈渠道可通过"隐私健康报告"等可视化工具，帮助用户理解自身数据被收集的范围。如苹果的"隐私标签"功能已提升用户透明度感知，用户可直观了解应用收集的数据类型和使用方式。其次，行业协会的自律规范可推动餐饮、出行等行业制定《隐私保护自律公约》，要求会员企业定期提交合规报告。例如，宁波市餐饮行业协会通过《预制菜行业自律公约》推动行业规范化发展，类似模式可扩展至隐私保护领域。最后，跨平台数据共享协议可在微信、支付宝等超级App间建立数据共享"沙盒"，通过区块链技术实现用户授权的可追溯性。欧盟的ePrivacy Regulation草案正探索此类模式，要求数据共享必须基于用户明确同意，且可随时撤回。

此外，隐私增强技术（PETs）的普及将在金融、医疗领域加速落地。差分隐私、联邦学习等技术可实现数据"可用不可见"，既保护隐私又支持数据分析。例如，摩根大通已采用联邦学习处理客户数据，用于信用评分和风险预测，同时确保原始数据不被泄露。合规即服务（CaaS）模式兴起将使云服务商提供一站式合规解决方案，涵盖隐私政策生成、数据加密、用户授权管理等功能。微软Azure的Compliance Manager工具已覆盖GDPR、CCPA等全球法规，为企业提供合规指导和自动化工具。全球隐私治理框架趋同将随着《联合国数字隐私宪章》等国际协定的推进，各国隐私立法将逐步统一，减少企业跨国合规成本。例如，苹果、Meta等跨国企业正推动"隐私一致性认证"体系，确保其全球产品符合不同地区的隐私保护要求。

移动应用违规收集个人信息问题的解决需要技术、政策和社会共治的多管齐下，形成合力。唯有将隐私保护融入产品设计基因，才能实现数字经济与用户权益的共生共赢。未来，随着隐私保护意识的提高和技术的创新，移动应用隐私保护将迎来更加规范和透明的新时代。