嘉佑安科You观察--隐私合规月报(2025年3月刊)
发布时间:2025-04-03 14:07:03
在当今数字化时代,个人信息的保护已成为全社会关注的焦点。随着数据流量的不断增长和信息技术的飞速发展,个人隐私面临着前所未有的挑战。厦门嘉佑安科信息技术有限公司作为一家专注移动应用隐私合规检测、安全检测、安全加固业务的安全服务商,始终秉持社会责任与法律意识的企业,且深知个人隐私合规工作的重要性。
本期,我们全面梳理并分析2025年3月期间App隐私合规领域的新政策、新法规、新动态以及违规通报资讯信息,助力企业明确合规要求,掌握监管重点推动企业移动应用合规安全建设,同时为相关从业者提供有价值的参考和指导。
一、政策法规速递
《网络安全标准实践指南——个人信息保护合规审计 专业机构服务能力要求(征求意见稿)》
内容总结:主要围绕第三方专业机构开展个人信息保护合规审计的服务规范,明确其需具备的资质能力(如机构认证、人员专业背景)、标准化的审计流程与技术手段、独立性及保密管理要求,并规定审计报告的内容与整改跟踪机制,旨在统一服务标准、提升审计质量,助力企业合规落实《个人信息保护法》要求,强化数据处理活动的合法性和风险管控。
链接:关于对《网络安全标准实践指南——个人信息保护合规审计 专业机构服务能力要求(征求意见稿)》公开征求意见的通知
《人脸识别技术应用安全管理办法》
内容总结:该办法自 2025 年 6 月 1 日起施行,旨在规范人脸识别技术应用,保护个人信息安全。核心要求包括:人脸信息处理需遵循合法、必要、最小影响原则,显著告知用户并取得单独同意(未成年人需监护人授权);禁止互联网传输人脸信息,存储期限不得超过最短必要时间;公共场所安装需为公共安全必需,禁止在私密空间部署;处理超 10 万人脸信息需向省级网信部门备案,实施个人信息保护影响评估;不得强制人脸识别为唯一验证方式,技术系统需采取加密、审计等安全措施,违反将依法追责。
链接:人脸识别技术应用安全管理办法_中央网络安全和信息化委员会办公室
《人工智能生成合成内容标识办法》
内容总结:旨在规范人工智能生成或合成的内容标识,要求相关服务提供者对AI生成的文本、图像、音频、视频等信息进行清晰、易识别的标识,确保公众知情权,防止误导或虚假信息传播。其核心内容包括明确标识规范(如标注位置、技术手段)、要求生成者及平台落实主体责任、建立审核与追溯机制,并规定未按规定标识的法律责任,以维护网络内容的真实性与社会秩序,推动AI技术健康有序发展。
链接:关于印发《人工智能生成合成内容标识办法》的通知_中央网络安全和信息化委员会办公室
二、动态热点
公安机关依法严厉打击侵犯公民个人信息犯罪,10起典型案例公布
2024 年,全国公安机关开展 “净网” 行动,侦破 7000 余起侵犯公民个人信息案,抓获超万人,全链条打击窃取、倒卖等犯罪。专项行动揭露教培木马窃密、快递 “内鬼” 泄密等 10 类新犯罪手段,涉及 10 省市,最高涉案 300 余万元。公安机关摧毁非法交易平台,阻断黑灰产业链,推动企业完善安全机制,强化公众意识,有效遏制信息泄露风险 。
链接:公安机关依法严厉打击侵犯公民个人信息犯罪,10起典型案例公布
315晚会曝光获客软件窃取个人隐私,日处理数据量高达100亿条
央视 3・15 晚会曝光 “火眼云”“销氪” 等 B 端智能拓客平台,利用爬虫技术非法抓取公众号、短视频评论区用户信息,向医美、贷款等 C 端行业售卖手机号、户籍数据,单条企业家信息售价不足 2 分钱。它们借企业级 SaaS 服务伪装,靠 “企业信息包装” 规避监管。事发后,涉事企业下架外呼功能,微盟集团等启动自查 。
链接:315晚会曝光获客软件窃取个人隐私,日处理数据量高达100亿条_凤凰网
“人肉开盒”再调查:网络灰产隐秘升级,记者买到自己的秘密
百度副总裁谢广军女儿从海外平台非法获取并公开他人隐私,引发关注。南都记者调查发现,“社工库” 黑灰产业猖獗,300 元就能买到实时户籍数据,客服还称与公安系统合作。“开盒” 已形成产业链,孕妇、粉丝等群体受害,维权受追溯期限制。法律专家建议平台强化 AI 审核,推动立法细化入刑标准等。虽 2024 年公安机关侦破相关案件 7000 余起,但黑灰产借技术渗透社交平台,亟待构建多元治理体系。
链接:“人肉开盒”再调查:网络灰产隐秘升级,记者买到自己的秘密
韵达快递被立案调查,无底线泄露客户信息,幽灵件自动签收危害大
2025 年 3 月 19 日,国家邮政局通报韵达快递因部分加盟企业审核不严,致诈骗团伙借其渠道寄涉诈物品,使受害者损失数亿元。这暴露了韵达加盟模式长期监管漏洞。此外,韵达还被曝 “幽灵件” 自动签收、客户信息冒用等问题,客服敷衍回应。该事件重创其品牌,引发行业信任危机 。
链接:韵达快递被立案调查,无底线泄露客户信息,幽灵件自动签收危害大_事件_网友_诈骗
AI推销“语料”哪里来?20多万条个人信息沦为“刀俎上的鱼肉”
近日,杨浦区市场监管局查处上海代酷安商务咨询有限公司。该公司借 “斗星智能” 系统,非法收集超 20 万条消费者信息,未经同意用 AI 语音电话推销贷款,并冒充 “上海银行信贷中心” 虚假宣传。其行为违反相关法律,被责令停违法并罚款 30 万元。此为上海 “清链” 行动典型案例,凸显 AI 骚扰电话背后乱象 。
链接:AI推销“语料”哪里来?20多万条个人信息沦为“刀俎上的鱼肉”!_消费者_当事人_杨浦区
“隐私黑洞”再调查:寒冬中的企业服务数据商,越界伸手个人信息
央视 3・15 晚会曝光 “火眼云”“销氪” 等 B 端智能拓客平台,用爬虫技术非法抓取信息,向 C 端售卖手机号、户籍数据,单条企业家信息超低价。涉事软件借企业级 SaaS 伪装,靠 “企业信息包装” 躲监管。事发后涉事企业行动,从业者称传统模式难行,合规转型迫在眉睫。
链接:“隐私黑洞”再调查:寒冬中的企业服务数据商,越界伸手个人信息 - 21财经
小红书30天访问用户位置信息7万次,客服:不会泄露隐私
近期,多位用户发现小红书后台高频访问位置信息,有用户 3 天内被访问 1.7 万次,涵盖定位、照片、剪贴板等数据,凌晨未用软件时也有操作。小 V 近 30 天位置访问 7.1 万次,杏儿 3 月 25 日单天超 2000 次,还伴随设备、音视频文件等高频读取。2024 年 7 月就有 iOS 用户反映定位图标常亮。用户关闭权限后数据恢复正常,客服称因 “附近” 功能,可多数用户从未使用该功能。目前小红书未公开回应,仅让用户提交录屏等,引发公众对其数据采集及隐私保护的质疑 。
链接:小红书30天访问用户位置信息7万次,客服:不会泄露隐私_直击现场_澎湃新闻-The Paper
三、监管通报
通过研究监管通报,可以了解监管机构对App的关注重点和执法尺度,从而判断自己的App是否存在类似的问题,及时进行整改。
嘉佑安科监测到海南互联网信息办公室、国家计算机病毒应急处理中心、各地通信管理局等10家监管公开通报/下架/禁搜共计157款移动应用,详细数据见下表:
通报应用类型分布情况
根据2025年3月国家监管机构的最新通报数据,“实用工具类”以 57 款居首,数量远超其他,整体呈现实用工具类占比突出的分布特点。App通报应用类型Top10的分布概览图如下所示:
通报问题类型分布情况
根据2025年3月国家监管通报的数据,违规收集个人信息问题最多,APP强制、频繁、过度索取权限问题其次。App通报问题类型Top10的分布概览图如下所示:
上海市通信管理局关于下架15款侵害用户权益行为应用的通报
上海市通信管理局通报本次通报15款App因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题集中在:违规收集个人信息、未明示个人信息处理规则、超范围收集个人信息、自启动和关联自启动等4类问题,具体详情可查阅下方链接。
链接:上海市通信管理局关于下架15款侵害用户权益行为应用的通报
北京市通信管理局关于问题APP的通报(2025年第二期)
北京市通信管理局通报本次通报23款App/小程序因违法违规收集使用个人信息且未在规定时间内整改或整改不到位。通报问题集中在:未公开收集使用规则、欺骗误导用户下载APP、违规向他人提供个人信息、应用分发平台上的App信息明示不到位、强制用户使用定向推送功能、App频繁自启动和关联启动、违反必要原则收集个人信息、未明示收集使用个人信息的目的、方式和范围、未经用户同意收集使用个人信息等9类问题,具体详情可查阅下方链接。
链接:北京市通信管理局关于问题APP的通报(2025年第二期)
安徽省通信管理局关于下架1款侵害用户权益APP的通报
上海市通信管理局通报本次通报1款App因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题集中在:超范围收集个人信息这1类问题,具体详情可查阅下方链接。
国家计算机病毒应急处理中心监测发现15款违规移动应用
国家计算机病毒应急处理中心本次通报15款App因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题集中在:个人信息处理者在处理个人信息前,未以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名、联系方式、个人信息的保存期限等、隐私政策未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等、个人信息处理者向其他个人信息处理者提供其处理的个人信息的,未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意、未提供有效的更正、删除个人信息及注销用户账号功能;需人工处理的,未在承诺时限内完成核查和处理、未向用户提供撤回同意收集个人信息的途径、方式;基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者未提供便捷的撤回同意的方式、通过自动化决策方式向个人进行信息推送、商业营销,未同时提供不针对其个人特征的选项,或者未向个人提供便捷的拒绝方式、处理敏感个人信息未取得个人的单独同意等8类问题,具体详情可查阅下方链接。
海南省网信办关于对违法违规收集使用个人信息移动应用程序情况的通报
海南省互联网信息办公室本次通报16款App因违法违规收集使用个人信息且未在规定时间内整改或整改不到位。通报问题集中在:在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解、收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关、因用户不同意提供非必要个人信息或打开非必要权限,拒绝提供业务功能、要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用、实际收集的个人信息或打开的可收集个人信息权限超出了用户授权的范围、虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理、以默认选择同意隐私政策等非明示方式征求用户同意等6类问题,具体详情可查阅下方链接。
链接:关于对“同城寻欢”“小圈”“微伴”等16款移动应用程序违法违规收集使用个人信息情况的通报
河北省通信管理局关于APP侵害用户权益问题的通报(2025年第一批)
河北省通信管理局本次通报52款App因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题集中在:违规收集个人信息、超范围收集个人信息、APP频繁自启动和关联启动、欺骗误导强迫用户、强制用户使用定向推送功能等5类问题,具体详情可查阅下方链接。
链接:河北省通信管理局关于APP侵害用户权益问题的通报(2025年第一批)
广东省通信管理局公开通报8款未按要求完成整改APP/小程序
广东省通信管理局本次通报8款App/小程序因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题集中在:违规收集个人信息、超范围收集个人信息、欺骗误导用户下载APP、APP强制、频繁、过度索取权限、未公开收集使用规则等5类问题,具体详情可查阅下方链接。
链接:广东省通信管理局公开通报8款未按要求完成整改APP/小程序
广东省通信管理局关于下架/禁搜4款APP/小程序的通报
广东省通信管理局本次下架/禁搜4款App/小程序因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题集中在:违规收集个人信息、超范围收集个人信息、账号注销难、APP强制、频繁、过度索取权限等4类问题,具体详情可查阅下方链接。
链接:广东省通信管理局关于下架/禁搜4款APP/小程序的通报
浙江省通信管理局通报5款侵害用户权益行为的APP(2025年第2批)
浙江省通信管理局本次通报4款App因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题集中在:违规收集个人信息这1类问题,具体详情可查阅下方链接。
链接:浙江省通信管理局通报5款侵害用户权益行为的APP(2025年第2批)
江苏省通信管理局关于侵害用户权益行为APP的通报(2025年第2批)
浙江省通信管理局本次通报5款App因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题集中在:违规收集个人信息、违规使用个人信息、APP强制、频繁、过度索取权限、超范围收集个人信息这4类问题,具体详情可查阅下方链接。
链接:江苏省通信管理局关于侵害用户权益行为APP的通报(2025年第2批)
关于川渝两地侵害用户权益App名单的通报(2025年第三期)
四川省通信管理局与重庆市通信管理局本次通报13款App/小程序因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题集中在:违规收集个人信息、未明示个人信息处理规则、APP强制、频繁、过度索取权限、超范围收集个人信息这3类问题,具体详情可查阅下方链接。
