在國家四部門聯(lián)合開展個(gè)人信息保護(hù)系列專項(xiàng)行動(dòng)的政策背景下，2025年，全國和地方監(jiān)管部門及相關(guān)機(jī)構(gòu)通報(bào)的侵害用戶權(quán)益App數(shù)量出現(xiàn)大幅上升，同比增加約152%。南都記者近日結(jié)合專業(yè)機(jī)構(gòu)提供的數(shù)據(jù)梳理發(fā)現(xiàn)，截至2025年12月28日，共有3852款A(yù)pp在監(jiān)管通報(bào)中“榜上有名”，2024年則有1529款A(yù)pp被通報(bào)。行動(dòng)實(shí)施后，“力度確實(shí)比之前加深了?！北本┖铺欤ㄉ虾＃┞蓭熓聞?wù)所合伙人宋海新從事數(shù)據(jù)合規(guī)業(yè)務(wù)，他察覺到的一個(gè)直觀變化是：在上海，很多外資、國資的App都被通報(bào)了。其中部分App還因?yàn)橥▓?bào)后未按要求完成整改被下架了，這在往年較為少見。

類似于一種公開警告　　

違規(guī)App通報(bào)類似于一種公開警告，這一監(jiān)管舉措至少可追溯至2019年。

時(shí)年1月，同樣是中央網(wǎng)信辦、工信部、公安部和市場(chǎng)監(jiān)管總局四部門聯(lián)合發(fā)文，在全國范圍開展為期一年的App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理。其中，公安部、工信部還在2019年11月各自發(fā)起整治App侵犯用戶權(quán)益的行動(dòng)，并于大概1個(gè)月后相繼通報(bào)了一批侵害用戶個(gè)人信息權(quán)益行為的App名單。

上述四部門從2025年3月底開始，又一次聯(lián)合開展個(gè)人信息保護(hù)專項(xiàng)行動(dòng)，重點(diǎn)整治App（含小程序、公眾號(hào)、快應(yīng)用）和SDK（軟件開發(fā)工具包）違法違規(guī)收集使用個(gè)人信息等問題。

當(dāng)前，常態(tài)化對(duì)外通報(bào)App個(gè)人信息保護(hù)違規(guī)的機(jī)構(gòu)分為中央和地方兩個(gè)層面：中央層面涉及四家政府部門與相關(guān)機(jī)構(gòu)，包括工信部、中央網(wǎng)信辦、國家計(jì)算機(jī)病毒應(yīng)急處理中心、公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心；而在地方層面，承擔(dān)App通報(bào)職責(zé)的主要是各省市通信管理局和網(wǎng)信辦。

　誰最“賣力”？　　

南都記者以梆梆安全、棱眼安全等專業(yè)機(jī)構(gòu)提供的數(shù)據(jù)為基礎(chǔ)，梳理了近三年監(jiān)管通報(bào)的App走勢(shì)情況。需要說明的是，這些數(shù)據(jù)經(jīng)過了力所能及的核驗(yàn)，但可能仍無法確保統(tǒng)計(jì)結(jié)果的完整性。此外，同一款A(yù)pp可能被多次點(diǎn)名，在統(tǒng)計(jì)時(shí)，每次點(diǎn)名均單獨(dú)計(jì)為一條App通報(bào)記錄。

統(tǒng)計(jì)顯示，2023年至2025年，被監(jiān)管部門通報(bào)的App（含SDK）數(shù)量分別為2129款、1529款和3852款。2025年的通報(bào)總數(shù)相比過去兩年增幅明顯。

根據(jù)公開記錄，在2025年，公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心首次加入對(duì)外通報(bào)App的行列；國家計(jì)算機(jī)病毒應(yīng)急處理中心則是第二年開展App通報(bào)，其2025年通報(bào)的App數(shù)量比2024年激增約621%。合計(jì)來看，這兩家機(jī)構(gòu)在2025年共通報(bào)了888款A(yù)pp，占總通報(bào)App數(shù)量的近1/4。

從數(shù)量上看，通報(bào)App最多的監(jiān)管機(jī)構(gòu)當(dāng)屬上海市通信管理局。2025年，共有819款A(yù)pp被上海市通信管理局通報(bào)，遠(yuǎn)遠(yuǎn)高于在地方機(jī)構(gòu)層面緊隨其后的北京市通信管理局——后者在2025年共通報(bào)了230款A(yù)pp。

在上海市通信管理局的嚴(yán)格監(jiān)管下，被通報(bào)次數(shù)前十位的App運(yùn)營公司，有八家出自上海市通信管理局的通報(bào)名單。其中不乏外資企業(yè)身份，如知名廚衛(wèi)品牌科勒（中國）投資有限公司（下稱“科勒”）、飛利浦（中國）投資有限公司、化工企業(yè)巴斯夫（中國）有限公司。例如，在2025年8月的一次通報(bào)中，科勒旗下12款應(yīng)用因違規(guī)被點(diǎn)名。

　誰頻“上榜”？　　

據(jù)宋海新觀察，以前被通報(bào)的App運(yùn)營方，相當(dāng)一部分都不為公眾熟知。但近兩年有越來越多大型企業(yè)卷入其中，外資和國資企業(yè)亦不例外。

通報(bào)中，App被頻繁點(diǎn)名的問題集中于：違規(guī)收集個(gè)人信息，未明示個(gè)人信息處理規(guī)則，強(qiáng)制、頻繁、過度索取權(quán)限，未經(jīng)用戶同意收集使用個(gè)人信息等。

一位不愿具名的數(shù)據(jù)合規(guī)律師告訴記者，App肯定是某個(gè)方面的問題被“實(shí)錘”才會(huì)遭通報(bào)，監(jiān)管部門一般不會(huì)就尚有爭議的事項(xiàng)進(jìn)行通報(bào)，比如收集和處理個(gè)人信息是否符合最小必要原則——這帶有一定程度的主觀性。

　焦點(diǎn)

　　監(jiān)管通報(bào)方式不一 有的采取“三步走”的通報(bào)路徑，有的檢測(cè)后直接對(duì)外通報(bào)

是否將檢測(cè)出的App問題提前告知企業(yè)，不同監(jiān)管機(jī)構(gòu)的做法存在差異。

記者梳理發(fā)現(xiàn)，廣東、浙江、河北、廣西等地的通信管理局采取“三步走”的通報(bào)路徑：首先，對(duì)檢測(cè)出存在違法違規(guī)問題的App，向相關(guān)App運(yùn)營方一對(duì)一發(fā)送整改通知書，要求其限期整改；緊接著，對(duì)期限內(nèi)未完成整改的App進(jìn)行公開通報(bào)，繼續(xù)給予一定的整改期限，相當(dāng)于給企業(yè)第二次整改機(jī)會(huì)；最后，對(duì)逾期未整改的App予以下架處理。

然而，也有部分機(jī)構(gòu)采取檢測(cè)后直接對(duì)外通報(bào)的做法。據(jù)記者多方了解，國家計(jì)算機(jī)病毒應(yīng)急處理中心并不會(huì)在公開通報(bào)前事先告知App運(yùn)營方。上海市通信管理局的做法則較為反復(fù)：接到企業(yè)意見反饋后，曾調(diào)整為提前告知企業(yè)；但有上海的企業(yè)方人士稱，在2025年11月被通報(bào)時(shí)，他們又未接到事前告知。

一位從事數(shù)據(jù)合規(guī)的企業(yè)法務(wù)認(rèn)為，若缺乏事前溝通徑直通報(bào)，對(duì)企業(yè)影響顯著。相關(guān)App可能僅因微小違規(guī)被通報(bào)，若在限期內(nèi)完成整改，仍可正常上架運(yùn)營。但一旦被公開通報(bào)，部分媒體二次傳播內(nèi)容時(shí)，會(huì)在標(biāo)題中使用“趕緊卸載”“謹(jǐn)慎下載”等字眼，這不僅導(dǎo)致涉事企業(yè)聲譽(yù)受損，還可能直接影響App的用戶數(shù)。

事先告知的做法有規(guī)可循。工信部2020年下發(fā)的《關(guān)于開展縱深推進(jìn)App侵害用戶權(quán)益專項(xiàng)整治行動(dòng)的通知》提到，對(duì)第一次檢查發(fā)現(xiàn)存在問題的企業(yè)，將責(zé)令5個(gè)工作日內(nèi)完成整改，對(duì)整改不徹底仍然存在問題的，將采取向社會(huì)公告、組織下架等措施。

據(jù)宋海新觀察，這些年以來，大部分監(jiān)管機(jī)構(gòu)還是堅(jiān)持著先給App運(yùn)營方一次內(nèi)部通報(bào)整改的機(jī)會(huì)。

　告知詳情有所不同 有的將違規(guī)具體問題描述、整改要求等內(nèi)容悉數(shù)告知

不同監(jiān)管機(jī)構(gòu)之間，在是否告知App問題詳情上也有所不同。

南都記者看到的一份廣東省通信管理局發(fā)給企業(yè)的整改通知書顯示，監(jiān)管機(jī)構(gòu)會(huì)將App違規(guī)問題類型梗概、具體問題描述、檢測(cè)截圖、整改要求等內(nèi)容悉數(shù)告知。

“對(duì)外通報(bào)可以籠統(tǒng)，但是給企業(yè)要說清楚?！鼻笆霾痪呙髽I(yè)法務(wù)表示，“違規(guī)收集個(gè)人信息”作為一項(xiàng)問題大類，經(jīng)常見諸通報(bào)，但企業(yè)實(shí)際上難以準(zhǔn)確定位問題所在。一旦監(jiān)管機(jī)構(gòu)沒有將違規(guī)問題詳情一對(duì)一告知App運(yùn)營方，企業(yè)只能私下和相關(guān)機(jī)構(gòu)取得聯(lián)系，以獲取App被檢測(cè)出的具體問題，“（顯得）非常不正式”。

　整改期限長短不一 長則限期1個(gè)月完成整改，短則要求5個(gè)工作日內(nèi)報(bào)送整改報(bào)告

記者還梳理發(fā)現(xiàn)，不同監(jiān)管機(jī)構(gòu)給App運(yùn)營方的整改期限同樣長短不一：時(shí)間長則如國家網(wǎng)信辦在2025年2月通報(bào)82款違法違規(guī)App時(shí)，責(zé)令運(yùn)營方限期1個(gè)月完成整改；短則如上海市通信管理局在2025年11月通報(bào)第十批侵害用戶權(quán)益行為的App名單時(shí)，要求運(yùn)營方自通報(bào)之日起5個(gè)工作日內(nèi)，將書面整改報(bào)告和自查評(píng)估報(bào)告報(bào)送監(jiān)管部門。

宋海新說，自查評(píng)估報(bào)告內(nèi)容較多，寫起來比較耗時(shí)耗力，寫到100多頁也是常見的情況。一旦期限緊張，企業(yè)整改和撰寫評(píng)估報(bào)告可能得加班加點(diǎn)?！叭绻皇歉母碾[私政策，相對(duì)還快一些。就怕要系統(tǒng)開發(fā)新功能，這個(gè)比較麻煩?！?/p>

即使完成整改，企業(yè)還有可能在上傳自查評(píng)估報(bào)告時(shí)“踩坑”。有的整改報(bào)告，監(jiān)管部門要求通過系統(tǒng)上傳，有的則讓發(fā)郵件遞交。記者了解到，實(shí)踐中有企業(yè)由于未在指定渠道上傳整改報(bào)告，導(dǎo)致整改結(jié)果無效，相關(guān)App最終遭下架處理。前述不具名數(shù)據(jù)合規(guī)律師認(rèn)為，這一情形也與企業(yè)的應(yīng)對(duì)經(jīng)驗(yàn)不足有關(guān)。

　觀察

　　App違規(guī)問題整改背后的生意

App通報(bào)背后，有一群叫做“支撐單位”的主體扮演特殊角色：它們既是檢測(cè)App違規(guī)問題的直接參與方，同時(shí)又作為企業(yè)整改過程中的幕后助手。

除了少數(shù)具備技術(shù)檢測(cè)能力的機(jī)構(gòu)，無論是全國層面的部委，還是地方通信管理局，往往會(huì)定期遴選網(wǎng)絡(luò)和數(shù)據(jù)安全支撐單位。對(duì)外通報(bào)中，監(jiān)管部門也常常提到是“組織第三方檢測(cè)機(jī)構(gòu)”對(duì)App進(jìn)行的檢查。

前述企業(yè)法務(wù)表示，監(jiān)管部門自身的技術(shù)檢測(cè)能力有限，通常聘請(qǐng)外部第三方機(jī)構(gòu)來承擔(dān)具體的工作。每次集中檢測(cè)前，監(jiān)管部門從支撐單位庫中挑選若干機(jī)構(gòu)來負(fù)責(zé)該批次App的檢測(cè)任務(wù)。收到企業(yè)整改報(bào)告后的復(fù)測(cè)，也由支撐單位執(zhí)行。

即使被通報(bào)，App運(yùn)營方也并未被強(qiáng)制要求選擇外部支撐單位來完成整改。前述不具名數(shù)據(jù)合規(guī)律師說，企業(yè)在決定是否引入外部支撐單位時(shí)，一般會(huì)評(píng)估內(nèi)部是否有專業(yè)人手和足夠的預(yù)算。

受訪的企業(yè)法務(wù)透露，一份整改評(píng)估報(bào)告的費(fèi)用大概在一萬多元至幾十萬元不等。

費(fèi)用只是一項(xiàng)考慮因素，這位企業(yè)法務(wù)更擔(dān)心的是，App運(yùn)營方若獨(dú)立整改，可能對(duì)問題細(xì)節(jié)和監(jiān)管尺度把握不準(zhǔn)，導(dǎo)致無法通過復(fù)測(cè)。其所在公司就有自行整改但仍被“上榜”通報(bào)的遭遇。“想穩(wěn)妥一點(diǎn)的話，這個(gè)錢肯定是不會(huì)省的?！?/p>

宋海新同樣認(rèn)為，作為長期協(xié)助監(jiān)管機(jī)構(gòu)開展相關(guān)工作的專業(yè)機(jī)構(gòu)，支撐單位一般比較了解檢測(cè)過程中的關(guān)注點(diǎn)，也更清楚如何針對(duì)性地進(jìn)行改進(jìn)。因此，如果企業(yè)具備相應(yīng)的預(yù)算，與這樣的機(jī)構(gòu)合作是比較理想的選擇。

當(dāng)挑選支撐單位時(shí)，前述不具名數(shù)據(jù)合規(guī)律師建議，企業(yè)要考慮該機(jī)構(gòu)的檢測(cè)范圍，是否能覆蓋從中央到地方監(jiān)管部門關(guān)注的檢測(cè)事項(xiàng)，而不能只為了應(yīng)付眼前某地監(jiān)管部門的通報(bào)?！邦^痛醫(yī)頭、腳痛醫(yī)腳是不合適的?！彼f，否則，這次整改過關(guān)，后續(xù)仍可能遭其他監(jiān)管部門通報(bào)。

據(jù)記者了解，實(shí)踐中，一些企業(yè)會(huì)選擇某家檢測(cè)機(jī)構(gòu)作為長期合作方。這些作為支撐單位的檢測(cè)機(jī)構(gòu)，不僅接受公司委托協(xié)助整改App的問題，當(dāng)企業(yè)方不清楚具體違規(guī)事項(xiàng)時(shí)，檢測(cè)機(jī)構(gòu)還幫忙找人打聽。

有業(yè)內(nèi)人士反映，每當(dāng)出現(xiàn)通報(bào)，時(shí)常有支撐單位主動(dòng)聯(lián)系A(chǔ)pp運(yùn)營方，詢問是否采購檢測(cè)服務(wù)。但前述不具名數(shù)據(jù)合規(guī)律師表示，現(xiàn)在對(duì)這種做法查得很嚴(yán)，支撐單位有可能因此被投訴。

支撐單位如何為App挑毛??？據(jù)宋海新介紹，最終形成的檢測(cè)報(bào)告，通常將App的風(fēng)險(xiǎn)劃分為高、中、低三個(gè)等級(jí)。對(duì)于風(fēng)險(xiǎn)較高的問題，企業(yè)一般需要按照整改建議完成整改；如果問題的風(fēng)險(xiǎn)較低，則具有一定的靈活處理空間。企業(yè)可以基于內(nèi)外部數(shù)據(jù)合規(guī)人士的判斷，兼顧業(yè)務(wù)運(yùn)營的需求，來決定是否予以調(diào)整。這是因?yàn)椋恍┲螁挝粚?duì)法律法規(guī)和檢測(cè)標(biāo)準(zhǔn)的理解存在偏差或較為機(jī)械化，導(dǎo)致其檢測(cè)出來的某些問題，實(shí)際上不構(gòu)成違規(guī)。

宋海新在實(shí)務(wù)中還發(fā)現(xiàn)，不同的測(cè)評(píng)機(jī)構(gòu)對(duì)同一問題的理解也可能出現(xiàn)差異，這常常讓企業(yè)感到困惑。一些規(guī)模較大的企業(yè)為了確保整改結(jié)果穩(wěn)妥，索性同時(shí)聘請(qǐng)兩家甚至更多支撐單位，相當(dāng)于進(jìn)行交叉驗(yàn)證。

（感謝梆梆安全、棱眼安全等提供的數(shù)據(jù)支持）

采寫/制圖：南都記者 楊柳

數(shù)據(jù)來源：梆梆安全、棱眼安全、記者梳理