在國家四部門聯(lián)合開展個人信息保護(hù)系列專項(xiàng)行動的政策背景下，2025年，全國和地方監(jiān)管部門及相關(guān)機(jī)構(gòu)通報的侵害用戶權(quán)益APP數(shù)量出現(xiàn)大幅上升，同比增加約152%。

南都記者近日結(jié)合專業(yè)機(jī)構(gòu)提供的數(shù)據(jù)梳理發(fā)現(xiàn)，2025年共有3852款A(yù)PP在監(jiān)管通報中“榜上有名”，2024年則有1529款A(yù)PP被通報。

這項(xiàng)專項(xiàng)行動始于2025年3月底，由中央網(wǎng)信辦、工信部、公安部、市場監(jiān)管總局共同發(fā)起。

行動實(shí)施后，“力度確實(shí)比之前加深了?！北本┖铺欤ㄉ虾＃┞蓭熓聞?wù)所合伙人宋海新從事數(shù)據(jù)合規(guī)業(yè)務(wù)，他察覺到的一個直觀變化是：在上海，很多外資、國資的APP都被通報了。其中部分APP還因?yàn)橥▓蠛笪窗匆笸瓿烧谋幌录芰?，這在往年較為少見。

監(jiān)管通報暴露出企業(yè)保護(hù)用戶個人信息權(quán)益存在的短板。但另一方面，有被通報的APP運(yùn)營方人士反饋說，部分監(jiān)管部門及相關(guān)機(jī)構(gòu)的通報方式有待改進(jìn)，比如未提前和企業(yè)溝通便對外通報，或?qū)ι婕斑`規(guī)的問題缺乏詳細(xì)告知，不必要地增加了企業(yè)的合規(guī)負(fù)擔(dān)。

誰最“賣力”？誰頻“上榜”？

違規(guī)APP通報類似于一種公開警告，這一監(jiān)管舉措至少可追溯至2019年。

時年1月，同樣是中央網(wǎng)信辦、工信部、公安部和市場監(jiān)管總局四部門聯(lián)合發(fā)文，在全國范圍開展為期一年的APP違法違規(guī)收集使用個人信息專項(xiàng)治理。其中，公安部、工信部還在2019年11月各自發(fā)起整治APP侵犯用戶權(quán)益的行動，并于大概1個月后相繼通報了一批侵害用戶個人信息權(quán)益行為的APP名單。

上述四部門從2025年3月底開始，又一次聯(lián)合開展個人信息保護(hù)專項(xiàng)行動，重點(diǎn)整治APP（含小程序、公眾號、快應(yīng)用）和SDK（軟件開發(fā)工具包）違法違規(guī)收集使用個人信息等問題。

當(dāng)前，常態(tài)化對外通報APP個人信息保護(hù)違規(guī)的機(jī)構(gòu)分為中央和地方兩個層面：中央層面涉及四家政府部門與相關(guān)機(jī)構(gòu)，包括工信部、中央網(wǎng)信辦、國家計(jì)算機(jī)病毒應(yīng)急處理中心、公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心；而在地方層面，承擔(dān)APP通報職責(zé)的主要是各省市通信管理局和網(wǎng)信辦。

南都記者以梆梆安全、棱眼安全等專業(yè)機(jī)構(gòu)提供的數(shù)據(jù)為基礎(chǔ)，梳理了近三年監(jiān)管通報的APP走勢情況。需要說明的是，這些數(shù)據(jù)經(jīng)過了力所能及的核驗(yàn)，但可能仍無法確保統(tǒng)計(jì)結(jié)果的完整性。此外，同一款A(yù)PP可能被多次點(diǎn)名，在統(tǒng)計(jì)時，每次點(diǎn)名均單獨(dú)計(jì)為一條APP通報記錄。

統(tǒng)計(jì)顯示，2023年至2025年，被監(jiān)管部門通報的APP（含SDK）數(shù)量分別為2129款、1529款和3852款。2025年的通報總數(shù)相比過去兩年增幅明顯。

根據(jù)公開記錄，這一年，公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心首次加入對外通報APP的行列；國家計(jì)算機(jī)病毒應(yīng)急處理中心則是第二年開展APP通報，其2025年通報的APP數(shù)量比2024年激增約621%。合計(jì)來看，這兩家機(jī)構(gòu)在2025年共通報了888款A(yù)PP，占總通報APP數(shù)量的近1/4。

從數(shù)量上看，通報APP最多的監(jiān)管機(jī)構(gòu)當(dāng)屬上海市通信管理局。2025年，共有819款A(yù)PP被上海市通信管理局通報，遠(yuǎn)遠(yuǎn)高于在地方機(jī)構(gòu)層面緊隨其后的北京市通信管理局——后者在2025年共通報了230款A(yù)PP。

在上海市通信管理局的嚴(yán)格監(jiān)管下，被通報次數(shù)前十位的APP運(yùn)營公司，有八家出自上海市通信管理局的通報名單。其中不乏外資企業(yè)身份，如知名廚衛(wèi)品牌科勒（中國）投資有限公司（下稱“科勒”）、飛利浦（中國）投資有限公司、化工企業(yè)巴斯夫（中國）有限公司。例如，在2025年8月的一次通報中，科勒旗下12款應(yīng)用因違規(guī)被點(diǎn)名。

據(jù)宋海新觀察，以前被通報的APP運(yùn)營方，相當(dāng)一部分都不為公眾熟知。但近兩年有越來越多大型企業(yè)卷入其中，外資和國資企業(yè)亦不例外。

通報中，APP被頻繁點(diǎn)名的問題集中于：違規(guī)收集個人信息，未明示個人信息處理規(guī)則，強(qiáng)制、頻繁、過度索取權(quán)限，未經(jīng)用戶同意收集使用個人信息等。

一位不愿具名的數(shù)據(jù)合規(guī)律師告訴記者，APP肯定是某個方面的問題被“實(shí)錘”才會遭通報，監(jiān)管部門一般不會就尚有爭議的事項(xiàng)進(jìn)行通報，比如收集和處理個人信息是否符合最小必要原則——這帶有一定程度的主觀性。

監(jiān)管通報方式不一

是否將檢測出的APP問題提前告知企業(yè)，不同監(jiān)管機(jī)構(gòu)的做法存在差異。

記者梳理發(fā)現(xiàn)，廣東、浙江、河北、廣西等地的通信管理局采取“三步走”的通報路徑：首先，對檢測出存在違法違規(guī)問題的APP，向相關(guān)APP運(yùn)營方一對一發(fā)送整改通知書，要求其限期整改；緊接著，對期限內(nèi)未完成整改的APP進(jìn)行公開通報，繼續(xù)給予一定的整改期限，相當(dāng)于給企業(yè)第二次整改機(jī)會；最后，對逾期未整改的APP予以下架處理。

然而，也有部分機(jī)構(gòu)采取檢測后直接對外通報的做法。據(jù)記者多方了解，國家計(jì)算機(jī)病毒應(yīng)急處理中心并不會在公開通報前事先告知APP運(yùn)營方。上海市通信管理局的做法則較為反復(fù)：接到企業(yè)意見反饋后，曾調(diào)整為提前告知企業(yè)；但有上海的企業(yè)方人士稱，在11月被通報時，他們又未接到事前告知。

一位從事數(shù)據(jù)合規(guī)的企業(yè)法務(wù)認(rèn)為，若缺乏事前溝通徑直通報，對企業(yè)影響顯著。相關(guān)APP可能僅因微小違規(guī)被通報，若在限期內(nèi)完成整改，仍可正常上架運(yùn)營。但一旦被公開通報，部分媒體二次傳播內(nèi)容時，會在標(biāo)題中使用“趕緊卸載”“謹(jǐn)慎下載”等字眼，這不僅導(dǎo)致涉事企業(yè)聲譽(yù)受損，還可能直接影響APP的用戶數(shù)。

某網(wǎng)站在二次傳播APP通報內(nèi)容時，在標(biāo)題中呼吁“趕快卸載”。

事先告知的做法有規(guī)可循。工信部2020年下發(fā)的《關(guān)于開展縱深推進(jìn)APP侵害用戶權(quán)益專項(xiàng)整治行動的通知》提到，對第一次檢查發(fā)現(xiàn)存在問題的企業(yè)，將責(zé)令5個工作日內(nèi)完成整改，對整改不徹底仍然存在問題的，將采取向社會公告、組織下架等措施。

據(jù)宋海新觀察，這些年以來，大部分監(jiān)管機(jī)構(gòu)還是堅(jiān)持著先給APP運(yùn)營方一次內(nèi)部通報整改的機(jī)會。

不同監(jiān)管機(jī)構(gòu)之間，在是否告知APP問題詳情上也有所不同。

南都記者看到的一份廣東省通信管理局發(fā)給企業(yè)的整改通知書顯示，監(jiān)管機(jī)構(gòu)會將APP違規(guī)問題類型梗概、具體問題描述、檢測截圖、整改要求等內(nèi)容悉數(shù)告知。

“對外通報可以籠統(tǒng)，但是給企業(yè)要說清楚?！鼻笆霾痪呙髽I(yè)法務(wù)表示，“違規(guī)收集個人信息”作為一項(xiàng)問題大類，經(jīng)常見諸通報，但企業(yè)實(shí)際上難以準(zhǔn)確定位問題所在。一旦監(jiān)管機(jī)構(gòu)沒有將違規(guī)問題詳情一對一告知APP運(yùn)營方，企業(yè)只能私下和相關(guān)機(jī)構(gòu)取得聯(lián)系，以獲取APP被檢測出的具體問題，“（顯得）非常不正式”。

記者還梳理發(fā)現(xiàn)，不同監(jiān)管機(jī)構(gòu)給APP運(yùn)營方的整改期限同樣長短不一：時間長則如國家網(wǎng)信辦在2025年2月通報82款違法違規(guī)APP時，責(zé)令運(yùn)營方限期1個月完成整改；短則如上海市通信管理局在11月通報第十批侵害用戶權(quán)益行為的APP名單時，要求運(yùn)營方自通報之日起5個工作日內(nèi)，將書面整改報告和自查評估報告報送監(jiān)管部門。

APP整改自評估報告的“聲明頁”模板，要求勾選是企業(yè)獨(dú)立完成，抑或委托第三方機(jī)構(gòu)完成。

宋海新說，自查評估報告內(nèi)容較多，寫起來比較耗時耗力，寫到100多頁也是常見的情況。一旦期限緊張，企業(yè)整改和撰寫評估報告可能得加班加點(diǎn)?！叭绻皇歉母碾[私政策，相對還快一些。就怕要系統(tǒng)開發(fā)新功能，這個比較麻煩?！?/p>

即使完成整改，企業(yè)還有可能在上傳自查評估報告時“踩坑”。有的整改報告，監(jiān)管部門要求通過系統(tǒng)上傳，有的則讓發(fā)郵件遞交。記者了解到，實(shí)踐中有企業(yè)由于未在指定渠道上傳整改報告，導(dǎo)致整改結(jié)果無效，相關(guān)APP最終遭下架處理。前述不具名數(shù)據(jù)合規(guī)律師認(rèn)為，這一情形也與企業(yè)的應(yīng)對經(jīng)驗(yàn)不足有關(guān)。

APP整改背后的生意

APP通報背后，有一群叫做“支撐單位”的主體扮演特殊角色：它們既是檢測APP違規(guī)問題的直接參與方，同時又作為企業(yè)整改過程中的幕后助手。

除了少數(shù)具備技術(shù)檢測能力的機(jī)構(gòu)，無論是全國層面的部委，還是地方通信管理局，往往會定期遴選網(wǎng)絡(luò)和數(shù)據(jù)安全支撐單位。對外通報中，監(jiān)管部門也常常提到是“組織第三方檢測機(jī)構(gòu)”對APP進(jìn)行的檢查。

前述企業(yè)法務(wù)表示，監(jiān)管部門自身的技術(shù)檢測能力有限，通常聘請外部第三方機(jī)構(gòu)來承擔(dān)具體的工作。每次集中檢測前，監(jiān)管部門從支撐單位庫中挑選若干機(jī)構(gòu)來負(fù)責(zé)該批次APP的檢測任務(wù)。收到企業(yè)整改報告后的復(fù)測，也由支撐單位執(zhí)行。

即使被通報，APP運(yùn)營方也并未被強(qiáng)制要求選擇外部支撐單位來完成整改。前述不具名數(shù)據(jù)合規(guī)律師說，企業(yè)在決定是否引入外部支撐單位時，一般會評估內(nèi)部是否有專業(yè)人手和足夠的預(yù)算。

受訪的企業(yè)法務(wù)透露，一份整改評估報告的費(fèi)用大概在一萬多元至幾十萬元不等。

費(fèi)用只是一項(xiàng)考慮因素，這位企業(yè)法務(wù)更擔(dān)心的是，APP運(yùn)營方若獨(dú)立整改，可能對問題細(xì)節(jié)和監(jiān)管尺度把握不準(zhǔn)，導(dǎo)致無法通過復(fù)測。其所在公司就有自行整改但仍被“上榜”通報的遭遇?！跋敕€(wěn)妥一點(diǎn)的話，這個錢肯定是不會省的?！?/p>

宋海新同樣認(rèn)為，作為長期協(xié)助監(jiān)管機(jī)構(gòu)開展相關(guān)工作的專業(yè)機(jī)構(gòu)，支撐單位一般比較了解檢測過程中的關(guān)注點(diǎn)，也更清楚如何針對性地進(jìn)行改進(jìn)。因此，如果企業(yè)具備相應(yīng)的預(yù)算，與這樣的機(jī)構(gòu)合作是比較理想的選擇。

當(dāng)挑選支撐單位時，前述不具名數(shù)據(jù)合規(guī)律師建議，企業(yè)要考慮該機(jī)構(gòu)的檢測范圍，是否能覆蓋從中央到地方監(jiān)管部門關(guān)注的檢測事項(xiàng)，而不能只為了應(yīng)付眼前某地監(jiān)管部門的通報?！邦^痛醫(yī)頭、腳痛醫(yī)腳是不合適的。”他說，否則，這次整改過關(guān)，后續(xù)仍可能遭其他監(jiān)管部門通報。

據(jù)記者了解，實(shí)踐中，一些企業(yè)會選擇某家檢測機(jī)構(gòu)作為長期合作方。這些作為支撐單位的檢測機(jī)構(gòu)，不僅接受公司委托協(xié)助整改APP的問題，當(dāng)企業(yè)方不清楚具體違規(guī)事項(xiàng)時，檢測機(jī)構(gòu)還幫忙找人打聽。

有業(yè)內(nèi)人士反映，每當(dāng)出現(xiàn)通報，時常有支撐單位主動聯(lián)系A(chǔ)PP運(yùn)營方，詢問是否采購檢測服務(wù)。但前述不具名數(shù)據(jù)合規(guī)律師表示，現(xiàn)在對這種做法查得很嚴(yán)，支撐單位有可能因此被投訴。

支撐單位如何為APP挑毛??？據(jù)宋海新介紹，最終形成的檢測報告，通常將APP的風(fēng)險劃分為高、中、低三個等級。對于風(fēng)險較高的問題，企業(yè)一般需要按照整改建議完成整改；如果問題的風(fēng)險較低，則具有一定的靈活處理空間。企業(yè)可以基于內(nèi)外部數(shù)據(jù)合規(guī)人士的判斷，兼顧業(yè)務(wù)運(yùn)營的需求，來決定是否予以調(diào)整。這是因?yàn)?，一些支撐單位對法律法?guī)和檢測標(biāo)準(zhǔn)的理解存在偏差或較為機(jī)械化，導(dǎo)致其檢測出來的某些問題，實(shí)際上不構(gòu)成違規(guī)。

宋海新在實(shí)務(wù)中還發(fā)現(xiàn)，不同的測評機(jī)構(gòu)對同一問題的理解也可能出現(xiàn)差異，這常常讓企業(yè)感到困惑。一些規(guī)模較大的企業(yè)為了確保整改結(jié)果穩(wěn)妥，索性同時聘請兩家甚至更多支撐單位，相當(dāng)于進(jìn)行交叉驗(yàn)證。

（感謝梆梆安全、棱眼安全等提供的數(shù)據(jù)支持）

采寫/制圖：南都N視頻記者 楊柳