核心观点 - 国家网络安全通报中心检测发现64款移动应用存在违法违规收集使用个人信息的情况，涉及13项违规行为 [1][3][4] - 被通报的应用中包括7家金融机构（4家券商和3家银行）以及多家知名茶饮品牌 [2][9] - 违规行为主要集中在隐私政策不透明、未提供撤回同意途径、未采取安全技术措施等方面 [5][6][7] - 部分应用存在多项违规行为，且金融机构违规问题较为突出 [9][10] 违规行为分析 - **隐私政策不透明**：25款应用未明确列出收集个人信息的目的、方式和范围，涉及龙江银行、申港证券等 [5] - **未提供撤回同意途径**：30款应用未提供便捷的撤回同意方式，涉及兴业证券、海南航空等 [6] - **安全技术措施缺失**：29款应用未采取加密、去标识化等措施，涉及诚通证券、智联招聘等 [7] - **其他违规情形**：包括未告知个人信息接收方、未取得单独同意处理敏感信息等，涉及多家金融机构 [8][9] 涉及行业及公司 - **金融机构**： - 券商：诚通证券、兴业证券、申港证券、五矿证券 [2][9] - 银行：龙江银行、乌海银行、海峡银行 [2][9] - **茶饮品牌**：星巴克、古茗、霸王茶姬、库迪咖啡、太平洋咖啡、奈雪的茶、茶颜悦色、茶百道、喜茶等 [9] - **其他行业**：餐饮、游戏、招聘、交友、生活服务等 [9] 监管动态 - 2025年以来，国家网络安全通报中心已发布6期违法违规移动应用名单，此前通报过山西证券、厦门银行、兰州银行等金融机构 [10] - 中央网信办等部门将持续调整重点治理问题，确保专项行动取得实效 [10]

个人信息泄露现状 - 电商平台虽采用隐私面单、虚拟号码等方式加密个人信息，但存在大量"解密"中介提供订单解密服务，每条公民信息仅售2元 [1] - 个人信息泄露频发，背后存在使用电话号码等进行营销的巨大产业利益链条，海外地下市场交易活跃 [2] - 网购涉及多个个人信息处理环节，监管薄弱，部分信息在平台加密前已泄露 [2] 泄露原因分析 - 立法不完备，互联网平台实名制认证存在管理漏洞 [2] - 运营商及软件平台收集用户身份信息、手机号、网络行为特征，部分企业保护不足甚至以此牟利 [2] - 个人信息保护法对侵犯公民信息的行政责任和民事责任规定存在缺失 [2] 治理建议 - 需排查泄露渠道，技术破解需加强技术监管，行业"内鬼"泄密需强化企业内部合规管理 [3] - 快递及物流公司无必要保留大量用户信息，建议监管部门加强其个人信息使用合规性监管 [3] - 应增加侵犯公民个人信息的行政处罚（警告、拘留、罚款），明确违法人需承担民事责任，如按500元/条进行惩罚性赔偿以提升违法成本 [3]

个人信息保护违规行为通报 - 64款移动应用存在违法违规收集使用个人信息情况，涉及未显著提示隐私政策、未明确告知个人信息处理者信息、未逐一列出收集目的方式范围等问题[1] 违规行为分类 隐私政策告知问题 - 10款应用在首次运行时未通过弹窗等明显方式提示用户阅读隐私政策，包括《云听》《厦心健康管理中心》《厦心医院》等[1] - 25款应用隐私政策未逐一列出收集使用个人信息的目的、方式、范围等，包括《黑岩阅读》《乐教乐学》《拓词》等[2] - 6款应用无隐私政策，包括《SpeechSDK》《PI ads SDK》《电台》等[10] 个人信息共享问题 - 14款应用在向其他个人信息处理者提供个人信息时未告知接收方信息并取得单独同意，包括《诚通证券》《海峡银行》《兴业证券优理宝》等[3] 用户同意机制问题 - 2款应用未征得用户同意就开始收集个人信息或打开相关权限，包括《微博SDK》《太平洋咖啡会员》[4] - 30款应用未提供便捷的撤回同意收集个人信息的途径方式，包括《黑岩阅读》《Deep人工智能AI》《乐教乐学》等[5] - 3款应用处理敏感个人信息未取得单独同意或未告知必要性影响，包括《厦心健康管理中心》《找朋友》《本地陌交友》[6] - 7款应用处理未成年人信息未制定专门规则或未取得监护人同意，包括《黑岩阅读》《拓词》《厦心健康管理中心》等[6] 功能响应问题 - 8款应用未提供有效更正删除个人信息及注销账号功能或未及时响应用户操作，包括《手机游戏联运SDK》《OnewaySdk-Android》《云飞扬SDK》等[4][5] - 5款应用未在承诺时限内受理处理投诉举报，包括《手机游戏联运SDK》《云飞扬SDK》《声音转换 Android SDK》等[5] 自动化决策问题 - 4款应用通过自动化决策进行信息推送商业营销时未提供不针对个人特征的选项或便捷拒绝方式，包括《云听》《厦心医院》《畅达金城》等[6] 安全技术措施问题 - 29款应用未采取相应加密去标识化等安全技术措施，包括《手机游戏联运SDK》《微博SDK》《Deep人工智能AI》等[7][8] 广告关闭问题 - 2款应用没有关闭标志或计时结束才能关闭广告，包括《戏曲多多》《OnewaySdk-Android》[9] 历史问题处理 - 上期通报的63款违规应用中仍有28款存在问题已被应用分发平台下架[10]

案件概述 - 某公司在厂区公告栏张贴包含员工郑某姓名、身份证号码、户籍、住址、手机号码等个人信息的聘雇合同到期终止通知书 [1] - 郑某认为公司无权公布其个人信息并要求撤回 公司在张贴两三天后撤回 [1] - 郑某以公司侵害其隐私权为由提起诉讼 要求公开赔礼道歉、消除影响并赔偿精神损害抚慰金1000元 [1] 法院判决依据 - 《中华人民共和国民法典》规定自然人享有隐私权 任何组织或个人不得以公开等方式侵害他人隐私权 [2] - 个人信息包括姓名、身份证号码、住址、电话号码等 私密信息适用隐私权规定 [2] - 法院认定公司公布郑某身份证号码、户籍、家庭地址等私密信息超过必要限度 构成侵权 [2] 判决结果 - 法院判决公司在厂区公告栏张贴向郑某赔礼道歉的声明以消除影响 [3] - 因公司已撤回通知书且侵权行为持续时间短、影响小 法院不支持郑某精神损害抚慰金赔偿请求 [3] 法官提示 - 个人信息使用应遵循合法、正当、必要原则 采取对个人权益影响最小的方式 [4] - 处理员工个人信息应征得同意并采取技术措施保护私密信息 [4] - 公司内部公开函件需对员工身份证号码、家庭地址等私密信息进行遮蔽处理 [4] - 对员工离职原因描述应客观属实 避免影响员工后续就业 [4]

个人信息安全与隐私保护无小事。因此，欲破此局，需从企业责任、监管框架到用户赋权三端共同发 力，构建刚柔并济的治理体系。 首先，APP运营者必须抛弃"能收则收"的原始冲动，将个人信息保护由合规负担转化为核心责任。企业 应主动关注监管动态，摸清行业合规边界，尤其处理大量或敏感信息时，技术防护（如加密存储、内外 网隔离）应成标配而非点缀。须知，用户信任乃数字时代最珍贵的信任货币，若隐私协议沦为"阅读理 解题"，技术防护形同虚设，那么用户每一次被迫勾选，都在无声侵蚀企业赖以生存的根基。 其次，监管之手需更精细有力。可借鉴《自然人网店管理规范》中"分类施策"的智慧，对APP进行分级 分类管理：为不同业务场景及体量的应用量身定制规则，避免"一刀切"窒息创新。同时强化"负面清 单"思维，严打默认勾选、捆绑同意等"擦边球"行为，压实平台主体责任，让违规者付出代价。柔性监 管亦不可缺——如设立整改缓冲期，以差异化激励替代单纯处罚，在规范与活力间寻得平衡。 近日，国家网络与信息安全信息通报中心通报了65款存在违法违规收集使用个人信息情况的移动应用 （APP），涉及未显著告知隐私政策、未经用户同意向第三方共享数据、未提供有效注销功 ...

新京报讯（记者行海洋）6月16日，最高人民法院发布网络消费民事典型案例。马某与某公司个人信息 保护纠纷案明确，网络服务提供者过度收集消费者个人信息，应承担侵权责任。 案情显示，某公司系某词典App的开发者和运营者。马某下载后使用该App时，系统提示用户需阅读隐 私政策。隐私政策中载明需要收集电话号码等个人信息。若用户在未实际阅读的情况下点击手机屏幕其 他位置，该提示内容即消失并自动勾选"已阅读并同意隐私政策"选项，且勾选后没有撤回同意的途径。 若用户点击拒绝，则该App自动退出，不向用户提供任何服务。 审理法院认为，网络服务提供者应基于个人同意处理个人信息，其预先拟定的有关个人信息收集和使用 的协议应使个人充分知情，并自愿、明确作出同意。该App的基本功能为词汇查询，用户的手机号码并 非使用词汇查询功能所必需的信息，故某公司存在过度收集用户信息的行为。 该App自动为用户勾选同意隐私政策，未依法保障用户在充分知情的情况下自主作出同意；其在用户拒 绝同意隐私政策的情况下直接退出，不提供查词服务，属于拒绝提供基本服务；其未向用户提供便捷的 撤回同意的方式。某公司的上述行为违反个人信息保护法第十五条、第十六条规定， ...

数据安全与个人信息保护专项整治 - 北京市互联网信息办公室近期开展数据安全和个人信息保护专项整治 发现未经用户同意收集个人信息是突出问题 典型违规行为包括后台收集安卓ID 应用列表 外部存储文件等 [1] - 专项整治聚焦11个民生消费领域应用程序 包含智慧停车 线上点餐 运动健身 酒店住宿 线上诊疗等 覆盖北京市各类经营主体5万余家 [3] - 检测人员随机抽取197款应用程序进行远程技术检测 发现并督导整改问题388个 其中未公开收集使用规则 未征得用户同意收集个人信息等问题较为集中 [3] 应用程序个人信息收集规范 - 应用程序应遵循"最小必要原则" 在实现特定目的所需的最小范围内收集 使用和存储个人信息 如快递外卖可收集地址电话 到店点餐则不能收集此类信息 [2] - 开发者或运营者如需收集额外信息用于广告营销 算法推荐等 应在隐私协议中明确提出并征得用户同意 且不能因用户不同意而拒绝提供业务功能 [2] - 规范的应用程序应明确告知用户收集哪些信息及用途 并提供有效的更正 删除个人信息及注销账号功能 [2] 传输通道安全漏洞案例 - 某知名茶饮品牌点餐小程序因传输通道认证授权机制不完善 导致全国1800家门店店长的手机号 姓名 邮箱等个人信息可被黑客攻击获取 [4] - 这些泄露信息可能被用于商业推广或诈骗 如不法分子以品牌总部培训名义实施诈骗 成功率将大幅提升 [4] 整改与常态化治理措施 - 专项整治发现的问题已通过各行业主管部门督促整改 北京市互联网信息办公室将开展常态化治理 定期对民生消费领域应用程序进行远程抽查检测 [4] - 经营主体可与行业协会或主管部门联系 对照自查清单开展自查自纠 用户可通过12345市民服务热线反馈相关线索 [5]

违规APP现状 - 国家网络与信息安全信息通报中心通报65款存在违法违规收集使用个人信息的移动应用，涉及未显著告知隐私政策、未经用户同意向第三方共享数据、未提供有效注销功能等问题 [1] - 2024年4月国家计算机病毒应急处理中心已通报13款违规应用，覆盖外卖、金融、社交等多个领域 [1] - 2024年工信部通报的50款侵害用户权益APP中，27款存在强制、频繁、过度索取权限问题 [2] - 2023年通报的9批APP中，强制、频繁、过度索取权限情况出现143次，占比49.5% [2] 用户行为数据 - 武汉大学调研显示77.8%用户"很少或从未"阅读隐私协议，69.69%会忽略隐私协议更新提示 [3] - 主流APP隐私政策全文8000-20000字，完整阅读需耗时30分钟以上 [3] - 北京市互联网法院明确禁止以拒绝服务为由强迫用户提供个人信息 [2] 行业合规挑战 - 当前已形成网络安全法、数据安全法和个人信息保护法构成的顶层法律框架 [4] - 法律规范与监管存在滞后性，难以匹配个人信息处理数量及情形的快速增长 [4] - 隐私合规成本高昂，包括数据安全措施调整、第三方检测、法律顾问等多项开支 [5][6] - "知情-同意"原则面临适用困境，APP技术性强且信息收集具有隐匿性 [4] 解决方案建议 - 建议针对不同业务场景及体量的移动应用制定差异化规则标准 [7] - 企业需持续关注监管披露，明确行业合规标准，特别是处理大量敏感信息的主体 [7] - 技术层面采取数据加密、隔离存储、操作限制等措施保护用户隐私 [7] - 用户可通过识别隐私政策弹窗异常（默认勾选、字号干扰等）规避风险 [8]

输入一段你想要的问题，生成式人工智能就可以根据你的需求从海量的数据中检索分析生成你想要的文字、图像甚至视频，在方便快捷的同时，其潜在的个 人信息泄露风险也引发担忧。 如何在生成式人工智能时代筑牢个人信息安全防线？在这两天举行的2025年中国网络文明大会各分论坛上，与会嘉宾围绕这一焦点议题展开深入探讨。 中国科学技术大学网络空间安全学院执行院长 俞能海：生成式人工智能技术，说到底它是基于数据的。现在的问题是我们的数据本身，现在各种大模型它 都是要有数据、语料进来，这些语料从个人信息保护角度，哪些语料给、哪些语料不给，源头数据怎么管控，尤其在个人信息保护中间起的作用非常大。 与此同时，基于强大的数据搜集和逻辑能力，人工智能可以综合公开数据、个人数据，结合行为分析挖掘出更深层的数据。 中国科学技术大学网络空间安全学院执行院长 俞能海：信息化给我们带来非常好的一面，但确确实实也给我们留下了新的问题。你只要用了系统，一定会 留痕，自己很多的信息，可能是敏感信息，你自己认为已经把它去掉了，但是通过整合、信息关联，可能在输出的点，它会就被泄露出来。 针对深度伪造技术 发展主动防御技术 如何在保护数据安全和推动人工智能发展中 ...

金融领域数据合规现状 - 金融行业作为数据密集型行业，数据合规责任持续压实，《个人信息保护法》实施进入第四年[1] - 国家计算机病毒应急处理中心检测到63款移动应用存在违法违规收集使用个人信息情况，包括金融类APP[1] - 央行分支机构公布对一家消费金融公司和小额贷款公司的行政处罚，违规原因涉及违反信用信息采集、提供、查询管理规定[1] 金融机构违规案例 - 央行湖北省分行对湖北消费金融公司行政处罚，因其违反信用信息采集、提供、查询管理规定[2] - 央行重庆市分行对重庆海尔小贷公司数字科技部大数据总监张某行政处罚，违法行为类型相同[2] - 湖北消金表示已完成整改，处罚涉及历史阶段性事项不影响现有业务[2] - 海尔小贷表示已成立专项小组完成整改并通过合规验收[2] - 2025年以来涉及银行、消费金融机构及助贷平台的违规移动应用超过20家[2] 个人信息保护问题 - 金融机构存在超范围收集、隐私政策不透明、告知不清晰、使用范围不明确、过度授权等问题[3] - 管理不当会增加个人信息泄露和违规使用风险，典型案例显示用户因随意点击"同意"导致信用报告出现未经授权查询记录[3] - 消费金融行业规模扩大背景下，对新市民、年轻客群的信息授权风险认知和保护措施不足[3] 法律风险与业务挑战 - 非法获取、出售或提供征信信息50条以上即构成犯罪[5] - 金融机构掌握的个人信用信息能反映财产状况、担保能力、消费习惯，泄露可能影响名誉、财产及人身安全[5] - 用户更关注资金安全、借贷便利和利息，对数据安全重视不足[5] - 机构从资金安全和市场竞争角度希望获取额外非必要信息，与法律法规要求冲突[5] 合规改进方向 - 建议在法律允许范围内完善授权覆盖面、加固授权链条，业务侧需创新以减少对额外公民信息的依赖[6] - 金融机构应严格遵循《个人信息保护法》，避免过度采集数据，优化授权流程保障消费者知情权和选择权[6] - 当前难点包括业务侧对更多信息的需求与法规冲突，以及能力侧实现全面合规的困难[6] 行业协同建议 - 监管部门需细化跨领域、跨场景法规执行细则，建立培训机制和合规交流平台帮助中小机构提升能力[7] - 金融机构应加快业务创新，探索低信息依赖风控模式，优化授权流程技术手段[7]