62款App个人信息收集使用均合规

62款主流App的隐私政策描述清晰明了，明确列出了各项功能收集的必要个人信息类型；为用户提供了便利的行权途径和方式；各项功能遵循最小必要原则调用敏感权限；尽管各家做法存在差异，但都向用户提供了注销功能和个性化广告推荐关闭选项。

这是南都数字经济治理研究中心近期的一项App测评发现。

去年9月，中国网络空间协会发布消息称，国内62款App完成个人信息收集使用合规整改优化，包括淘宝、京东、百度、腾讯新闻、今日头条、爱奇艺、高德地图等十类App运营方已在应用商店上架合规版本，并承诺持续保持合规水平。

时隔半年，这些App个人信息合规优化情况如何?近日，南都联合技术团队对62款App进行多维度实测。结果显示，被测App履行其持续保持合规水平的承诺，均实现了合规要求。

　　62款App履行合规承诺 持续保持合规水平

数字时代，手机已成为人们不可或缺的一部分，在提供便捷服务的同时，手机里的App收集了大量个人隐私数据。App能否持续保持安全合规水平，自然成为关切重点。

为规范App收集使用个人信息行为，去年中国网络空间安全协会组织指导App运营方，对照《网络安全法》《个人信息保护法》等法律法规，进行合规整改优化。

2024年9月，在国家网络安全宣传周个人信息保护分论坛上，中国网络空间安全协会公布了完成合规整改的62款App清单，它们主要覆盖网上购物、地图导航、浏览器、新闻资讯、在线影音、在线图书、云盘、视频、演出票务等十大类，基本都是细分赛道的头部应用。

此次合规整改优化，重点针对超范围收集个人信息、过度调用敏感权限、权限设置和账号注销不便等问题。62款App运营方表示，已在应用商店上架合规版本，并承诺升级版本持续保持合规水平。

这些App能否说到做到?近日，南都数字经济治理研究中心联合北京汉华飞天信安科技有限公司，对上述清单中的62款App进行了实测。此次测评主要从五大主要维度着手，包括隐私政策清晰友好度、常见功能个人信息收集规范、敏感权限调用、个性化广告推荐设置方式、用户行使个人信息权益体验。

测评结果显示，62款App都履行了合规承诺，未出现违法违规收集使用个人信息问题。

为提升隐私政策可读性，确保个人信息收集使用规则清晰明了，很多App做出了优化调整。比如提供隐私政策摘要、专门个人信息收集清单，以告知App收集个人信息目的、范围、方式和种类，有的App还通过图文、表格、视频等方式，以方便用户清晰了解个人信息收集规则。

在权限管理方面，此次测评的62款App杜绝了用户反映强烈的App强制授权、频繁和过度索权的问题。具体到敏感权限管理，62款App也未出现过度或超范围调用的情况。

在个性化推荐方面，62款App都提供了相应的设置功能，用户可以一键开启或关闭个性化推荐服务。一些平台还向用户提供标签管理和用户特征管理选项，并设置了是否基于搜索行为、收藏行为、好友关系、跨平台推荐的开关按钮，同时声明——如果用户关闭个性化广告，收到的广告数量不会减少，但广告内容与用户的兴趣相关度将会降低。

聚焦用户行权问题，本次测评重点查看App注销功能，授权撤回方式，投诉举报响应，个人信息查询、复制、导出功能。从结果来看，各家的做法在操作路径、功能设计和用户体验上存在差异，但均为用户提供了有效路径。

以个人信息下载为例，通常在App的个人资料或账户管理界面，或点击我的-设置-隐私管理功能，即可找到“个人信息下载”的功能选项。

测评发现，用户可以获取的内容一般包括账号信息、昵称、注册手册、设备信息等，不同App实际下载内容的颗粒度不一。此外，各家承诺处理反馈的时间也不尽相同，有的是5个工作日，有的则是3天，还有的1天能响应。

　　App治理趋势:整体向好，尾部App仍存在问题

自2019年以来，国家网信办、工信部等履行个人信息保护职责的部门依法处置了一大批违法违规、侵害用户权益的App，不断规范App市场秩序。随着个人信息保护法等法律法规的落地，App合规与治理也有了更清晰的指引。

此前，在南都数字经济治理研究中心举办的一场个保法主题论坛上，有头部互联网的数据及隐私负责人表示，自2021年个人信息保护法实施以来，实务界对于合规的认知和路径也有相应转变。一个表现是，以前很多企业被动地按照规则清单查漏补缺，如今则会主动合规，以构建用户信任机制为核心，在法规要求之上延伸做出一些主动合规的举动，兼顾不同用户的隐私预期。不仅如此，各大互联网公司也会基于自动化检测工具，对App的日常合规情况进行自查并整改，同时更加注重以技术促合规，以提升合规的成效。

可以看到，在监管部门、App运营者、应用商店、终端厂商等多方参与下，这些年App治理呈现向好态势。头部App个人信息保护水平不断提升，但需要注意的是，部分中尾部App仍存在违法违规问题。

近期，国家网信办公布了82款违法违规App(含小程序)清单。其中有4款App因未公开收集使用规则而被下架处置，78款App因未提供删除或更正个人信息功能问题，被要求限期一个月整改。

北京汉华飞天信安科技有限公司董事长彭根告诉南都记者，现在头部App运营方普遍建立专项合规部门，通过“内部合规审查+第三方专业检测”双轨机制确保合规质量。相比之下，中尾部App由于资源有限、合规意识薄弱，通常仅满足应用商店上架的检测要求，这就可能出现合规缺口——尤其在“违规收集个人信息”和“强制、频繁、过度索取权限”方面存在问题。

一位资深安全专家也向南都记者表示，虽然头部违法违规问题较少，但尾部App仍然存在问题，而且部分App收集个人信息行为隐蔽性强、时间周期长，需要持续开展合规监管。

比如，由于代码不完善、合规监管不严等原因，有些App会在后台运行期间收集用户安装应用列表、在用户不知情时收集位置信息等。再比如，“有App嵌入有第三方的SDK，嵌入的部分SDK可能存在超范围收集个人信息的问题——这也是下一步相关部门治理工作的重难点。”上述安全专家说。

为提升App个保合规能力，彭根建议从源头开始，将App的研发测试环节嵌入个人信息合规体系。南都记者注意到，个保合规审计已有章可循。

2月14日，国家网信办公布《个人信息保护合规审计管理办法》，将于今年5月1日起施行。《办法》规定了开展个人信息保护合规审计的要求，并以附件形式给出了27项重点审查事项。基于此，企业可定期开展个保合规审计，发现问题及时整改，以提高个人信息保护能力水平。

南都调研 总第608期

采写:南都记者 李玲

制图:杨存海(元宝AI)