近日,40款移动应用违法违规收集使用个人信息被通报,暴露了相关企业存在权限配置不合规、用户权益保障机制缺失、信息收集使用环节违规等问题。究其根源,多因合规意识薄弱、管理流程缺陷,导致“合法、正当、必要和诚信原则”未落实。
合规不仅是法律义务,更是企业生存的底线。2025年1月1日正式施行的《网络数据安全管理条例》,也重点细化了《中华人民共和国个人信息保护法》关于告知、同意、个人行使权利等方面的规定。
一是明确通过制定个人信息处理规则履行告知义务的内容、形式等要求。二是明确基于个人同意处理个人信息应当遵守的基本要求。三是明确行使个人信息查阅、复制、更正、补充、删除等权利的要求,细化个人信息转移的具体条件。四是明确按照《中华人民共和国个人信息保护法》第五十三条规定在境内设立专门机构或者指定代表的要求。五是明确网络数据处理者处理1000万人以上个人信息还应当履行的义务。
事件聚焦:40款APP主要违规类型
本次通报中的问题,可大概归为4类:
1.个人信息收集与告知义务
-
未逐一列出收集、使用个人信息的目的、方式、范围
-
在申请打开可收集个人信息的权限时,未同步告知用户其目的
-
征得用户同意前就开始收集个人信息
-
实际收集的个人信息超出用户授权范围
-
个人信息保护政策中描述需要收集的个人信息超出相关功能的必要范围
-
配置文件中声明的可收集个人信息的权限超出相关功能的必要范围
-
实际收集的个人信息超出相关功能的必要范围
2.用户控制与选择权
- 未提供退出或关闭个性化展示模式的选项
3.用户权利保障
-
未向用户提供个人信息相关投诉渠道或功能
-
未向用户提供更正或补充其个人信息的具体途径
-
未向用户提供删除其个人信息的具体途径
-
未向用户提供注销账户的途径和方式
-
注销账户的流程中设置不合理的条件或提出额外要求
4.广告行为规范
- 广告存在误导、欺骗用户行为
完整通报内容可查看→国家网络与信息安全信息通报中心通报40款违法违规收集使用个人信息的移动应用
“自查”清单:26项个人信息保护合规审计指引
随着个人信息收集与使用的日益广泛,为保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,企业需建立将个人信息保护合规审计作为常态化机制。
根据2025年2月出台的《个人信息保护合规审计管理办法》的个人信息保护合规审计指引,企业可以从个人信息处理活动的合法性基础、个人信息处理规则进行合规审计、个人信息处理者履行告知个人信息处理规则义务、对个人信息处理者与其他个人信息处理者共同处理个人信息、对个人信息处理者委托处理个人信息、对个人信息处理者向其他个人信息处理者提供其处理的个人信息、对个人信息处理者利用自动化决策处理个人信息等二十六项审查事项展开自我审查。
更多详细内容可参考往期分享→(5月1日施行!个人信息保护合规审计:从要求到实践的深度剖析-)
除了企业自主开展合规审计,政策上也明确了企业可以按照履行个人信息保护职责的部门要求,委托专业机构开展合规审计。
延伸思考:从“被动合规”到“主动治理”
自查不是终点,而是数据安全治理的开始。个人信息保护是数据安全的重要组成部分,政策通过规范数据处理行为保障整体数据安全。对企业而言,要平衡数据使用价值和个人信息保护,既考验企业在加密、脱敏等技术的硬实力,也检验其在完善数据安全治理体系、人员合规意识等管理方面的软实力。
在国家顶层法规指引下,企业需要围绕数据全生命周期**,构建涵盖管理策略与防护技术的安全服务体系。
推荐阅读
某时尚消费品牌因数据泄露被行政处罚!数据安全能力如何从“应急”变“常态”?
更多关于数据安全、个人信息保护、合规审查、风险评估等知识,请持续关注我们!
