合规红线：40款APP违法违规收集使用个人信息，企业合规“自查”26项要收藏！

发布时间：2025-11-20

近日，40款移动应用违法违规收集使用个人信息被通报，暴露了相关企业存在权限配置不合规、用户权益保障机制缺失、信息收集使用环节违规等问题。究其根源，多因合规意识薄弱、管理流程缺陷，导致“合法、正当、必要和诚信原则”未落实。

合规不仅是法律义务，更是企业生存的底线。2025年1月1日正式施行的《网络数据安全管理条例》，也重点细化了《中华人民共和国个人信息保护法》关于告知、同意、个人行使权利等方面的规定.

一是明确通过制定个人信息处理规则履行告知义务的内容、形式等要求。二是明确基于个人同意处理个人信息应当遵守的基本要求。三是明确行使个人信息查阅、复制、更正、补充、删除等权利的要求，细化个人信息转移的具体条件。四是明确按照《中华人民共和国个人信息保护法》第五十三条规定在境内设立专门机构或者指定代表的要求。五是明确网络数据处理者处理1000万人以上个人信息还应当履行的义务。https://www.gov.cn/zhengce/202409/content_6977835.htm

事件聚焦：
40款APP主要违规类型

本次通报中的问题，可大概归为4类：

1.个人信息收集与告知义务

未逐一列出收集、使用个人信息的目的、方式、范围

在申请打开可收集个人信息的权限时，未同步告知用户其目的

征得用户同意前就开始收集个人信息

实际收集的个人信息超出用户授权范围

个人信息保护政策中描述需要收集的个人信息超出相关功能的必要范围

配置文件中声明的可收集个人信息的权限超出相关功能的必要范围

实际收集的个人信息超出相关功能的必要范围

2.用户控制与选择权

未提供退出或关闭个性化展示模式的选项

3.用户权利保障

未向用户提供个人信息相关投诉渠道或功能

未向用户提供更正或补充其个人信息的具体途径

未向用户提供删除其个人信息的具体途径

未向用户提供注销账户的途径和方式

注销账户的流程中设置不合理的条件或提出额外要求

4.广告行为规范

广告存在误导、欺骗用户行为

完整通报内容可查看→国家网络与信息安全信息通报中心通报40款违法违规收集使用个人信息的移动应用

“自查”清单：
26项个人信息保护合规审计指引

随着个人信息收集与使用的日益广泛，为保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用，企业需建立将个人信息保护合规审计作为常态化机制。

根据2025年2月出台的《个人信息保护合规审计管理办法》的个人信息保护合规审计指引，企业可以从个人信息处理活动的合法性基础、个人信息处理规则进行合规审计、个人信息处理者履行告知个人信息处理规则义务、对个人信息处理者与其他个人信息处理者共同处理个人信息、对个人信息处理者委托处理个人信息、对个人信息处理者向其他个人信息处理者提供其处理的个人信息、对个人信息处理者利用自动化决策处理个人信息等二十六项审查事项展开自我审查。

更多详细内容可参考往期分享→5月1日施行！个人信息保护合规审计：从要求到实践的深度剖析

除了企业自主开展合规审计，政策上也明确了企业可以按照履行个人信息保护职责的部门要求，委托专业机构开展合规审计。

延伸思考：
从“被动合规”到“主动治理”

自查不是终点，而是数据安全治理的开始。个人信息保护是数据安全的重要组成部分，政策通过规范数据处理行为保障整体数据安全。对企业而言，要平衡数据使用价值和个人信息保护，既考验企业在加密、脱敏等技术的硬实力，也检验其在完善数据安全治理体系、人员合规意识等管理方面的软实力。

在国家顶层法规指引下，企业需要围绕数据全生命周期，构建涵盖管理策略与防护技术的安全服务体系。

作为国投智能股份网络空间安全板块的牵头单位，安胜的数据安全解决方案从监管者和使用者的角度出发，提供全方位的数据安全咨询、数据安全建设、数据安全运营为一体的数据安全服务解决方案。

安胜提供包括数据分类分级（“数网”数据资产梳理与数据库扫描系统）、数据加密与脱敏（“数盾”数据库加密系统，“数芯”数据动态/静态脱敏系统）、数据访问审计与监控（“数审”数据库审计系统）、数据库防火墙与安全管控（“数御”数据库防火墙系统、“数坝”终端数据泄漏防护系统）、威胁检测与应急响应等相关产品及服务，为企业搭建强大的数据安全体系，有效防范安全威胁和泄露风险。

同时，安胜积极推动智能化、流程化、行业化的数据安全场景落地，提供涵盖数据安全顶层规划、分类分级、风险评估、跨境评估等20多项的安全服务能力，保障全链路全场景的数据安全。

1.数据分类分级服务
安胜的数据安全分类分级服务，面向组织数据和个人信息，对数据资产进行发现与梳理。从业务角度出发，对企业数据进行分类分级标识并形成数据分类分级目录，最后对数据目录进行审核、上报备案，并且动态更新管理。

服务流程是基于国标GB/T 43697-2024《数据安全技术数据分类分级规则》的分类分级实施步骤。

2.数据安全风险评估服务

安胜的数据安全风险自评估服务，依据国家、行业数据安全风险评估要求，结合企业数据安全现状，围绕数据和数据处理活动，聚焦可能影响数据安全风险，评估数据安全全生命周期的各项指标，对评估的问题进行分析，提出数据安全管理和技术防护措施建议。

分享文章

上一篇：内部文件泄露？！追踪溯源精准定位，文件也有“唯一ID”

下一篇：驻点人员偷查数据、泄露信息，终端防护如何对异常访问“锁死+溯源”？