大型网络平台认定标准 - 注册用户需达到5000万以上或月活跃用户达到1000万以上 [1][6] - 需提供重要网络服务或经营范围涵盖多个类型业务 [1][7] - 掌握处理的数据一旦泄露、篡改、损毁将对国家安全、经济运行、国计民生等产生重要影响 [1][7] 个人信息处理基本原则 - 个人信息处理活动需遵循合法、正当、必要和诚信原则 [1][4] - 需严格保护敏感个人信息和未成年人个人信息 [1][4] - 对所处理的个人信息安全承担主体责任并承担社会责任 [1][4] 个人信息保护负责人要求 - 负责人需由公司管理层成员担任且具备中华人民共和国国籍 [2][5] - 负责人需无境外永久居留权或长期居留许可 [2][5] - 负责人需具备个人信息保护专业知识且从事相关工作5年以上 [2][5] 数据存储与出境规定 - 在境内运营中收集和产生的个人信息需存储在境内 [2][9] - 确需向境外提供个人信息需符合国家数据出境安全管理规定 [2][9] - 存储个人信息的数据中心需设立在境内且主要负责人需为中国国籍并无境外居留权 [10][12] 个人信息保护机构职责 - 需明确个人信息保护工作机构并制定内部管理制度和操作规程 [6] - 需组织开展个人信息安全风险监测、风险评估和合规审计等活动 [6] - 每年需编制发布公司个人信息保护社会责任报告 [6] 个人信息权利保障 - 需为个人行使查阅、复制、更正、删除等权利提供便捷方法和途径 [14] - 个人请求转移个人信息时需在30个工作日内通过通用格式进行转移 [14] - 因操作复杂等原因可再延长30个工作日处理转移请求 [14][15] 合规审计与风险处置 - 需自行或委托第三方专业机构开展个人信息保护合规审计和风险评估 [16] - 若发生导致100万人以上个人信息或10万人以上敏感个人信息泄露的安全事件需委托第三方审计 [16] - 发现公司无能力保障个人信息安全时主管部门可要求将数据存储在符合规定的第三方数据中心 [17] 监管与法律责任 - 网信部门、公安机关发现公司未履行保护责任时将依法追究责任 [2][18] - 收到个人信息保护投诉、举报的部门需在15个工作日内依法处理 [18] - 构成犯罪的将依法追究刑事责任 [2][18]

政策导向与治理框架升级 - “十五五”规划建议明确提出加大预防和打击电信网络诈骗力度并深化网络空间安全综合治理[1] - 治理体系不断升级模式从事后打击向事前预防延伸覆盖范围从单一环节扩展到全链条[7] - 在加强个人信息保护与深化网络空间安全综合治理的双重支撑下未来反诈工作将更加精准立体和高效[7] “十四五”期间打击治理成效 - 全国公安机关共破获电信网络诈骗案件173.9万起为人民群众挽回大量损失[1] - 通过中缅警务执法合作累计抓获5.7万余名中国籍涉诈犯罪嫌疑人缅北果敢“四大家族”犯罪集团遭毁灭性打击[1] - 部署开展“断流”“拔钉”“斩链”等专项行动并持续强化通信领域监管[1] 当前犯罪形势与挑战 - 境外电信网络诈骗犯罪形势依然严峻复杂由于境内持续严厉打击大批诈骗分子向境外转移[2] - 缅甸妙瓦底“亚太新城”赌诈犯罪集团主犯佘智江于11月12日被成功从泰国引渡回国[2][4] - 佘智江的成功引渡体现了公安机关依法严厉打击犯罪维护人民群众合法权益的坚定决心[5] 国际合作与未来展望 - 中国与柬埔寨、老挝、缅甸、泰国、越南召开联合打击电信网络诈骗犯罪部级会议并取得一系列共识[5][6][7] - 中国政府积极与多国开展执法合作形成了良好机制对赌诈犯罪集团形成有力震慑[7] - 中国警方将全面深化与各国执法安全合作坚决打击网赌电诈等跨国犯罪共同防范安全风险[7]

检测概况 - 公安部计算机信息系统安全产品质量监督检验中心检测发现40款移动应用存在违法违规收集使用个人信息情况 [1] - 检测依据为《网络安全法》《个人信息保护法》等法律法规及2025年个人信息保护系列专项行动要求 [1] - 检测时间为2025年9月28日至2025年10月16日 [14] - 上期通报的34款应用中，经复测仍有9款存在问题，已被应用分发平台下架 [13] 违规行为分类总结 - **未明示信息收集目的范围**：涉及16款应用，包括《壹达外卖》、《眼护士》、《医护到家》等 [1] - **未同步告知权限目的**：涉及1款应用《掌上药店》 [2] - **未经同意收集信息**：涉及2款应用《返利淘联盟》、《e看牙》 [3] - **超授权范围收集信息**：涉及16款应用，包括《壹达外卖》、《眼护士》、《医护到家》、《Party Play》等 [4] - **政策描述超出必要范围**：涉及1款应用《药安食美》 [5] - **配置文件声明权限超出必要范围**：涉及2款应用《手机血压血糖管理》、《手机测血压血糖》 [6] - **实际收集信息超出必要范围**：涉及10款应用，包括《熊猫霸王餐》、《AQ》、《小镇外卖》等 [7] - **未提供投诉渠道**：涉及5款应用，包括《赏帮赚》、《护士通》、《掌上药店》等 [8] - **未提供信息更正途径**：涉及3款应用《金牌护士》、《血压血糖仪》、《熊猫药药》 [8] - **未提供信息删除途径**：涉及3款应用《金牌护士》、《血压血糖仪》、《熊猫药药》 [9] - **未提供注销账户途径**：涉及1款应用《游戏接单》 [10] - **注销设置不合理条件**：涉及1款应用《护士通》 [11] - **未提供关闭个性化展示选项**：涉及1款应用《Party Play》 [12] - **广告存在误导欺骗行为**：涉及2款应用《血压血糖免费测》、《赚赚》 [13] 涉及行业分布 - **医疗健康类应用**：违规应用数量较多，包括《眼护士》、《医护到家》、《护士之约》、《体检宝》、《药安食美》、《e看牙》等，涉及用户敏感健康信息 [1][4][5][8] - **生活服务与外卖类**：包括《壹达外卖》、《小镇外卖》、《熊猫霸王餐》等 [1][4][7] - **出行与交通类**：包括《快滴顺风车》、《优e司机极速版》等 [1][4] - **电商与返利类**：包括《淘粉吧》、《高佣联盟》、《返利淘联盟》、《果冻宝盒》等，数量较多 [1][3][4][7] - **工具与娱乐类**：包括《云到》、《妙看极速版》、《Party Play》等 [1][4][12]

工信部通报智能终端违规事件 - 工信部通报20款存在侵害用户权益的智能终端产品，涉及智能音箱、智能门锁、学习终端等品类 [1] - 监管范围从应用程序扩展到整个智能终端产品，显示监管趋严 [1] - 通报凸显出在智能终端发展中加强个人信息保护、构建安全防线的必要性 [1] 违规行为的具体表现 - 违规行为包括强制索权、超范围收集信息、私自共享个人信息 [3] - 20款产品暴露出的共性问题包括：未提供个人信息处理规则，超范围收集非必要个人信息，违规传输个人信息至云端 [3] - 用户投诉案例包括智能音箱将用户对话内容用于定向广告推送，智能电视过度收集观看习惯并偷偷录音，智能门锁将人脸信息上传云端带来安全隐患 [3] - 问题根源在于个人信息处理未遵循“合法、正当、必要和诚信”原则 [3] 智能终端安全风险升级 - 在大模型、智能体技术加持下，智能音箱、摄像头等智能化水平提升，其隐藏的安全风险更复杂 [4] - 随着国家实施"人工智能+"行动，发展人工智能手机、电脑、智能穿戴等新一代智能终端，筑牢安全底座尤为重要 [4] - 政务、通信等领域智能终端已具备关键基础设施属性，安全属性上升至国家安全战略高度 [4] 现有治理框架与监管行动 - 在法律层面，已有人信息保护法、网络安全法确立基本规则，要求处理信息需有明确目的并取得同意 [6] - 部门规章如《电信和互联网用户个人信息保护规定》提供了细化依据 [6] - 监管层面已形成常态化机制，如2025年专项行动将APP、SDK、智能终端违规收集信息列为治理重点 [6] - 工信部定期发布侵害用户权益行为通报是法律法规的具体执行 [6] 违规行为屡禁不止的根源 - 技术投入与安全意识不平衡，部分厂商“重功能、轻安全”，未在产品设计阶段嵌入隐私保护 [7] - 商业收益与用户权益不平衡，“数据变现”的利润驱动导致过度采集信息用于精准广告等灰色模式 [7] - 法规要求与执行落实不平衡，在创新活跃的智能硬件领域，规定有效落地与穿透式监管存在困难 [7] - 根本原因在于个别厂商“利益优先”思维凌驾于用户权益保护之上 [7] 提升安全与隐私保护的路径 - 对企业而言，需将“隐私设计”理念融入研发全流程，建立数据分类分级、权限管控与加密传输机制 [8] - 技术层面可采用边缘计算技术，在设备端处理数据以提升安全性，避免个人数据无条件汇聚云端 [8][8] - 监管层面建议抬高市场准入门槛，强制隐私设计纳入产品立项，对关键供应链环节实施安全审计 [9] - 用户应定期更新系统、拒绝非必要权限申请、使用复杂密码及双因素认证、从官方商店下载软件 [9] - 需强化技术刚性约束，完善协同治理体系，引导行业自律，多方合力保障安全 [9]

行业监管动态 - 工信部近期通报20款存在侵害用户权益问题的智能终端产品，涉及智能音箱、智能门锁、学习终端等品类 [2] - 监管范围从以往主要针对应用程序违规，扩展到针对整个智能终端产品开展专项处置 [2] - 2025年的专项行动公告明确将APP、SDK、智能终端及线下消费场景中的违规收集使用个人信息问题列为治理重点 [8] 主要违规行为 - 违规行为典型表现为强制索权、超范围收集信息、私自共享个人信息 [5] - 20款被通报产品的共性问题集中在三方面：未提供个人信息处理规则，超范围收集非必要个人信息，违规传输个人信息至云端 [5] - 具体案例包括智能音箱将用户对话内容用于定向广告推送，智能电视过度收集观看习惯、上网记录甚至偷偷录音，智能门锁将人脸信息上传云端处理验证 [5] 安全问题根源 - 技术投入与安全意识不平衡，部分厂商在产品开发中重功能、轻安全，设计阶段未嵌入隐私保护理念 [8] - 商业收益与用户权益不平衡，数据变现成为利润驱动，导致过度采集用户信息用于精准广告和用户画像 [8] - 法规要求与执行落实不平衡，在创新活跃的智能硬件领域，部分规定在具体场景中的有效落地与穿透式监管存在困难 [8] - 根本原因在于个别厂商利益优先的思维凌驾于用户权益保护之上 [9] 安全风险升级 - 在大模型、智能体技术加持下，智能音箱、摄像头等智能化水平提升，因其深度融入生活，隐藏的安全风险更复杂 [6] - 政务、通信等领域的智能终端已具备关键基础设施属性，其安全属性上升至国家安全战略高度 [6] 治理与解决方案 - 法律层面已形成以个人信息保护法、网络安全法为核心的基本规则，要求处理个人信息需具有明确合理目的并取得个人同意 [8] - 对企业而言，需将隐私设计理念融入研发全流程，建立数据分类分级、权限管控与加密传输机制 [12] - 技术层面可采用边缘计算技术，在设备端处理数据，避免个人数据无条件汇聚至云端，提升安全性 [13] - 监管层面建议在准入端抬高智能终端产品市场准入门槛，研发端强制要求隐私设计纳入立项环节，供应链端对关键环节实施安全审计 [13] - 用户应定期更新终端系统和APP，拒绝非必要权限申请，使用复杂密码+双因素认证，并从官方应用商店下载软件 [14]

事件概述 - 储户周先生在山东东营某银行取现4万元时，被柜员要求报备资金用途并追问具体细节，银行还调取其过去整月流水，询问特定转账交易[2][3] - 该事件引发公众对银行查询客户流水是否侵犯个人隐私权的热议[2] 法律合规分析 - 多位律师指出，银行账户流水信息属于《个人信息安全规范》中定义的“个人敏感信息”，一旦泄露或滥用可能危害人身财产安全[3] - 律师认为，若账户无其他异常，仅取款4万元很难构成法定的“可疑交易”，银行查询过去整月流水涉嫌过度收集信息，违反《个人信息保护法》的“必要性原则”[3][4] - 银行员工未经授权擅自调取客户账户流水或以个人判断越权操作，涉嫌侵犯客户隐私权和个人信息权益，银行及相关责任人需承担民事或监管责任[4] 银行信息查询的合法边界 - 法律意见指出，银行查询个人账户流水信息必须基于合法、正当、必要的原则，通常在三种情况下可查询：经账户持有人本人同意或授权、履行法定职责或法定义务、银行内部风险管理和审计需要（通常不涉及查看具体交易对手信息）[5] - 即便在上述情形下查询，银行也应秉持查询、调用范围与手段符合“最小、必要”的个人信息处理原则[5] - 公民在银行非法查询、调取其账户流水信息时，可向银行上级机构或监管机构投诉举报，或向法院提起个人信息保护纠纷诉讼，若造成损失可追究相关责任人刑事责任[5]

违规事件与用户投诉 - 唱吧因“违规收集个人信息”被工信部点名，此次抽检的应用来源于小鹏车载应用商店，涉及版本为2.0.9.34.9 [1][2] - 唱吧的《隐私政策》涵盖面部特征、指纹、银行账号、消费流水等敏感信息，并获取麦克风、通讯录等权限，与第三方共享用户个人信息 [3] - 截至2025年11月14日，黑猫投诉平台上关于唱吧的累计投诉量达629条，主要涉及乱扣费、拒绝退款、体验差、霸王条款等问题 [6][10] - 有用户投诉在手机未安装软件且苹果ID未绑定的情况下被莫名扣取168元年费，以及车机端会员无法使用且客服拒绝退费等问题 [10] 公司发展历程与竞争格局 - 唱吧于2012年5月31日上线，首日注册用户突破10万，一周注册用户突破100万，次年10月注册用户破亿，月活跃用户超3000万 [13][14] - 2014年腾讯推出全民K歌，凭借QQ音乐正版曲库和QQ、微信社交链对唱吧形成阻击，2016年全民K歌成功超越唱吧 [16][17] - 到2019年，全民K歌月活位列第一，唱吧月活不到前者的1/4，版权获取艰难是导致其落后的关键因素之一 [18] - 公司过去十余年获得9轮融资，2016年接受中金公司上市辅导时估值一度冲上6.73亿美元，但此后上市计划一再推迟 [22][25] 业务转型尝试与挑战 - 2014年唱吧转向线下，投资麦颂KTV，目标五年内开2000家店，但截至2024年5月全国门店数量仅900余家，完成度不足一半 [20] - 2015年尝试推出手游《炮炮兵团》未成功，同年推出的麦克风硬件成为亮点但难以支撑整体业务 [22] - 2020年公司宣布品牌升级，推出“0门槛分1个亿”音乐创作者分成计划，但推出后三个月内下载量环比增幅未达预期 [22] - 2023年唱吧欲重点发力音视频互动技术打造沉浸式K歌体验，但两年后转型成效不明显，应用商店评分仅为3.9分 [27] 行业趋势与数据安全 - 在线K歌市场随技术发展呈现新可能性，智能硬件、车载娱乐、元宇宙等新场景为音乐社交应用提供新发展空间 [27] - 车载环境下的数据收集涉及用户位置、行车轨迹、车内对话等更敏感信息，使数据违规行为的后果更为严重 [2][5] - 2015-2018年国内音乐社交领域投融资较为活跃，之后快速回落，2024年已鲜有融资消息传出，资本更倾向于早期项目 [26]

事件概述 - 一名客户在银行取现4万元时被柜员盘问资金用途并查询其过往账户流水 该事件引发公众对银行查询行为是否侵犯个人隐私的关注 [1] - 多位律师指出 银行查询客户整月流水信息的行为涉嫌违反《个人信息保护法》的"必要性原则" [1][2] 法律定性分析 - 银行账户流水信息被《个人信息安全规范》明确归类为个人敏感信息 属于金融账户信息类别 [2] - 银行员工未经授权擅自调取客户账户流水 涉嫌侵犯客户隐私权和个人信息权益 银行及相关责任人需承担相应民事或监管责任 [2] - 若客户账户无其他异常 仅取款4万元很难构成法定的"可疑交易" 银行查询过去整月流水的行为涉嫌过度收集个人信息 [2] 银行合规操作边界 - 银行查询个人账户流水信息必须基于合法、正当、必要的原则 [4] - 银行在三种情况下可查询个人账户流水信息：经账户持有人本人同意或授权 履行法定职责或法定义务 银行内部风险管理和审计需要 [4] - 即便在上述情形下查询 也应遵循"最小、必要"的个人信息处理原则 查询调用范围与手段需符合规定 [4]

监管通报事件 - 工业和信息化部通报2025年第7批共39款APP及SDK存在侵害用户权益行为 [1] - 通报要求相关APP及SDK进行整改 否则将依法处置 [1] 涉事公司及产品问题 - 北京掌趣科技股份有限公司掌趣网游SDK存在违规收集个人信息、超范围收集个人信息、强制频繁过度索取权限、SDK信息公示不到位四项问题 [1][2] - 中手游网络科技有限公司CMGE Android SDK存在超范围收集个人信息问题 [1][2] - 天津英雄互娱网络科技有限公司HeroU SDK存在超范围收集个人信息和SDK信息公示不到位两项问题 [1][3] 涉事公司基本信息 - 北京掌趣科技股份有限公司成立于2004年 注册资本270761.1003万人民币 实缴资本246769.4848万人民币 [3] - 深圳市中手游网络科技有限公司成立于2015年 注册资本1000万人民币 实缴资本1000万人民币 [3] - 天津英雄互娱网络科技有限公司成立于2015年 注册资本11100万人民币 [4]

执法检查背景与结果 - 海南网信、市场监管、旅游文化部门联合对省内运动健身消费领域个人信息保护情况开展现场执法检查，并邀请省人大代表、政协委员参与 [1] - 执法检查组针对海口某大型连锁健身机构小程序前期存在的未公开收集规则、未经同意收集信息、违反必要原则收集无关信息等问题进行现场复核，确认整改合格 [1] - 执法检查组发现该机构内部个人信息保护规章制度不够健全，工作人员培训教育不够完善，要求其在30天内整改完毕并提交报告 [1] 公司情况与回应 - 该健身机构在海南省内有10家门店，注册会员超过5万人 [1] - 公司负责人表示将承担用户个人信息保护主体责任，在前期整改基础上进一步建立健全规章制度并加强员工培训，为行业做好表率 [1] 行业监管方向 - 网信部门将依照法律法规履行统筹协调作用，会同行业监管主管部门加强监管执法，为海南自由贸易港网络和数据安全打下基础 [2]