来自中国网信网的消息成,根据中央网信办、工业和信息化部、公安部、市场监管总局联合发布的《关于开展2025年个人信息保护系列专项行动的公告》,依据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》《App违法违规收集使用个人信息行为认定方法》等法律法规和有关规定,中央网信办组织对App、SDK收集使用个人信息行为进行检测,现对有关问题予以通报:
一、墨迹天气tv版、医家等15款App存在未逐一列出收集使用个人信息的SDK,未准确列出SDK收集使用个人信息的目的、方式、范围等问题(详见下表)。
二、CTP穿透采集、金仕达穿透采集等16款SDK收集使用个人信息,存在未提供个人信息收集使用规则,未说明自行或协助App响应用户个人信息权利请求的措施,未及时响应用户个人信息投诉举报等权利请求等问题(详见下表)。
三、相关App和SDK运营者应当于本通报发布之日起的15个工作日内完成整改,并将整改情况报我办。我办将会同有关部门进行核查,并结合整改情况依法依规开展处置处罚。
联系电话:010-55635865,邮箱:Appzhili@cac.gov.cn
数治网编后小记:
我们在《合规路漫漫:外卖破千万自营却盗用信息在阿里战投平台注册?》提到,上门服务涉及客户的姓名、手机号和地址,对于任一平台或App在个人信息处理时,凡是涉及到使用个人信息的首要一条是“告知-同意”。
而《网络安全法》、《个人信息保护法》同时确立了“最小必要”原则,早在2021年5月出台的《APP收集使用个人信息最小必要评估规范》(TTAF 077系列),将法律原则转化为可落地的技术标准,覆盖从位置信息到交易记录等17类高频收集场景。
TTAF 077系列按数据类型分为17项子规范,以下选取关键类别分析其管理逻辑。
1. 位置信息(TTAF 077.2)
- 允许场景:外卖APP需获取实时位置以派送订单。
- 禁止行为:后台持续追踪用户行程,或向第三方出售位置数据。
- 技术限制:建议采用“模糊定位”(如城市级精度)替代精确坐标。
2. 人脸与生物信息(TTAF 077.7)
- 高风险管控:人脸信息需单独弹窗告知用途,禁止默认勾选同意。
- 存储要求:原始数据应在本地设备处理,不得上传至服务器。
3. 通讯录与社交关系(TTAF 077.4、077.12)
- 功能关联性:即时通讯APP可读取好友列表以建立连接,但需提供“跳过”选项。
- 数据脱敏:收集的号码应加密处理,禁止明文存储。
4. 设备与日志信息(TTAF 077.5、077.14)
- 必要性区分:设备型号可用于适配界面,但序列号等唯一标识符需用户授权。
- 日志范围:仅记录应用崩溃信息,而非用户操作轨迹。
5. 财产类信息(TTAF 077.15、077.16)
- 严格授权:房产、交易记录等需二次确认,且不得用于个性化广告推荐。
《高达100亿条日处理量:“3·15”晚会曝光的“数据黑手”你真刑!》看着让人触目惊心,要破解这一难题,必须从强化技术防护、落实企业责任、提升个人意识和加强监管多维度协同发力,构建全方位、多层次的个人信息保护体系,才能既治标又治本。
头部企业如支付宝、微信已调整数据策略,证明合规与商业效益可兼顾。2022年数据显示,合规APP的用户留存率提升20%。因此,我们认为,最小必要原则并非限制创新,而是推动技术向更负责任的方向发展。
只有当用户不再因隐私顾虑而卸载应用,当开发者通过透明设计赢得信任,移动互联网才能真正实现可持续增长。
来源:中国网信网,图片:1981 Digital,Unsplash
