應用程序收集個人信息的治理工作正持續推進中�。
5月6日��,中央網信辦對15款App和16款SDK(軟件開發工具包����,一般都是一些軟件工程師為特定的軟件包、軟件框架、硬件平臺、操作系統等建立應用軟件時的開發工具的集合)個人信息收集使用問題進行通報,其中,墨跡天氣TV版�����、醫家����、企鵝天氣等15款App存在未逐一列出收集使用個人信息的SDK��,未準確列出SDK收集使用個人信息的目的��、方式���、范圍等問題。另外還有CTP穿透采集�、金仕達穿透采集����、傳漾廣告、西瓜影音等16款SDK收集使用個人信息���,存在未提供個人信息收集使用規則,未說明自行或協助App響應用戶個人信息權利請求的措施,未及時響應用戶個人信息投訴舉報這些權利請求的問題。
中國信息協會信息安全專業委員會數據鑒證工作部主任毛立明對《中國經營報》記者表示����,15款App與16款SDK存在個人信息處理透明度不足與SDK治理失效及投訴服務處理響應不及時等問題����,反映出多重安全漏洞與風險�����。App未列明SDK清單�����、說明收集目的范圍���,致使用戶知情權受損�����,如SDK可能收集無關信息����、通過技術手段竊取數據,形成隱蔽數據流����,增加用戶被攻擊風險���,違反個人信息保護法�����,還可能成為黑灰產素材。SDK未提供收集規則��、未響應用戶權利請求�����,加劇數據濫用和合規風險,如敏感信息滯留��、數據用途不明��、跨境傳輸至不受監管服務器等。部分SDK通過漏洞提權獲取高敏感權限擴大攻擊面���,碎片化數據聚合可能突破匿名化保護�,威脅用戶隱私安全�����。這些均違反相關法律法規,使用戶容易受精準詐騙等侵害��。
記者還留意到��,此次通報的不乏多款知名App及運營商�����,如墨跡天氣TV版����、有道精品課����、途虎養車等�,其運營者分別是北京墨跡風云科技股份有限公司�、網易有道信息技術(北京)有限公司、上海闌途信息技術有限公司等�����。
多款知名產品上榜
記者留意到��,此次通報的15款App涵蓋食、住、行���、教育�、醫療等多個生活領域,都與人們的日常生活息息相關,如墨跡天氣TV版�、企鵝天氣預報屬天氣類軟件�����,天津公交、煙臺出行關聯人們出行�����,21cake涉及食品購買���,醫家與醫療健康相關����,親鄰開門涉及居住社區,學霸在線�、有道精品課涉及教育���,反映出這些App在人們日常生活中應用的廣泛性。其中�����,多款軟件還是知名App及運營商���。
所有SDK均涉及用戶個人信息采集���,而從16款被點名的SDK來看,則涵蓋了金融交易�、廣告追蹤、音視頻通信等高敏感場景�,包括金融(如CTP穿透采集、金仕達穿透采集)�����、廣告(傳漾廣告)����、數據分析(LinkedME、Mercury)、視頻(西瓜影音)��、物聯網(機智云)���、信息聚合(聚合渠道)、通訊(聲網��、U8�、融云IM/Rtc)���、直播(CC視頻云直播)����、數字營銷(數美)、認證(楓嵐互聯�����、免密認證)等領域。
其中����,北京墨跡風云科技股份有限公司運營的墨跡天氣TV版1.3.8版本被通報,該App存在的主要問題是����,未逐一列出收集使用個人信息的SDK�����。公開資料顯示,墨跡天氣是一款國民級天氣服務應用,在全球擁有7億用戶����。
不過�����,墨跡天氣合規中心人員在接受記者采訪時強調�����,7億用戶指的是手機版(移動版)的用戶量,手機版和TV版是兩個獨立App��,TV版不是公司主營的產品����。
對于為何相較于手機版,TV版會出現未逐一列出收集使用個人信息的SDK相關問題情況的質疑��,上述墨跡天氣合規中心人員對記者解釋���,可能涉及技術問題�,但公司會按照網信辦要求進行整改。
此外,網易有道信息技術(北京)有限公司運營的有道精品課6.8.2版本被通報�����,上海闌途信息技術有限公司運營的途虎養車7.10.5版本也被通報。前者有道精品課App是網易有道旗下初高中在線學習平臺,網易有道作為知名的互聯網企業,旗下該App在教育領域也具有較高的知名度�����。途虎養車是國內領先的汽車養護品牌����,黃渤是其品牌代言人��。這兩個App存在的主要問題是�����,未準確列出SDK收集使用個人信息的目的��、方式�、范圍���。
普通用戶對數美不熟悉,但數美屬于技術細分賽道的知名服務商����,數美SDK主要應用于智能業務風控和內容安全等領域,其利用人工智能、大數據和全棧式風控模型,為金融���、互聯網��、營銷等行業提供反欺詐��、內容審核及用戶隱私保護等服務��。
北京微方程科技有限公司運營的LinkedME在數據分析和營銷領域也有一定的知名度����。
網經社電子商務研究中心數字生活分析師陳禮騰對記者表示�,此次通報的產品中有不少知名App及運營商����。其一,這反映出部分頭部企業存在合規意識與能力不匹配的情況����,雖有技術資源��,但因業務擴張或管理疏漏,忽略了合規細節��。其二�,在監管日益嚴格的大背景下,典型示范作用顯著�,網信辦選擇通報知名企業��,打破了公眾“大企業更安全”的固有認知,促使行業形成“合規即競爭力”的共識�。此外�����,SDK提供商的違規行為也暴露出App運營者對第三方組件審查不力的問題,未來應強化“責任共擔”機制�����,比如要求SDK通過安全認證后再接入�。
陳禮騰對記者分析,數據收集透明度缺失是核心漏洞之一�,部分App未逐一列出嵌入的SDK��,也未明確說明收集個人信息的目的、方式和范圍�,這直接違反了個人信息保護法中的“告知—同意”原則����。用戶無法知曉數據流向�����,為SDK暗中采集設備指紋����、位置等敏感信息提供了可乘之機���,甚至可能引發非法數據共享或濫用��。同時����,最小必要原則的失效進一步加劇了風險�,例如天氣類App索取通訊錄權限等超范圍收集行為,可能通過SDK過度索權擴大數據采集范圍��,增加用戶隱私暴露面���。此外��,SDK集成風險不容忽視�����,第三方SDK可能成為攻擊入口,若未通過安全審計,可能存在惡意代碼或漏洞(如未加密傳輸)����,導致用戶數據在傳輸或存儲過程中被竊取��。最后,權利響應機制缺位使得用戶無法有效行使刪除權、更正權等個人信息權利�,一旦發生數據泄露,用戶難以及時止損����,企業也面臨合規處罰風險��。
部分App已整改、部分App尚未更新
對于15款App和16款SDK存在的個人信息收集使用問題,中央網信辦秘書局明確要求相關App和SDK運營者應當于5月6日通報發布之日起的15個工作日內完成整改��。
記者在墨跡天氣官方網站上看到��,目前該應用TV版本可支持下載版本還為TV 1.1.1版本�����,發布日期為2017年1月6日。
上述墨跡天氣合規中心人員對記者表示,目前公司還沒有聯系到網信辦����,尚未了解要如何整改��,但會嚴格按照網信辦的要求和標準進行整改,最終整改方案將會給到網信辦�,網信辦通過之后�����,公司會對App進行整改。
截至5月7日下午��,記者在OPPO�、vivo、小米�����、華為手機應用商店上看到��,途虎養車已經將App版本更新至了7.21.1版本�����,更新時間為2025年5月7日���,該版本的隱私政策已經列明軟件收集����、使用信息的目的、方式�、范圍和使用規則�。
然而��,有道精品課App在各大手機應用商店的軟件版本仍停留在6.8.2版本�,21cake App仍停留在3.6.2版本。OPPO手機應用商店中���,醫家App在兩個月前應用更新至5.6.0版本,在vivo應用商店中����,醫家App還在5.5.43版本���,更新時間是2024年9月19日��。
對于本次通報中涉及的App個人信息收集使用問題及具體整改進度和后續在信息保護方面的合規規劃,記者向途虎養車����、有道精品課等相關公司進行了郵件采訪�����,截至發稿未獲得回復。
毛立明認為,部分行業企業或因對法律法規理解與實操經驗不足,需強化學習整改����,或在合規成本與數據利用收益間存在投機心理。實際上�,個人信息數據合規意義重大����,它既關系到用戶權益保障與風險防范���,也關乎企業本身�����,包括法律責任風險���、監管處罰成本導致的運營損失以及用戶�、合作伙伴信譽受損等方面的風險與成本����,企業不應舍本逐末、因小失大�����。
陳禮騰建議�,企業應在App和SDK開發階段貫徹隱私設計原則,將數據最小化、加密存儲等要求融入架構設計,建立SDK安全評估體系,采用權限動態管理機制,按需申請權限�����。運營階段需部署監控系統實時監測異常數據訪問行為��,定期開展合規審計�,建立用戶權利響應系統���,自動化處理刪除�����、更正等請求,以確保用戶權利得到充分保障。
還未登錄
