图：有道精品课APP6.8.2版本因未准确列出SDK收集使用个人信息的目的、方式、范围被点名。 资料图片
■本报记者 王小月
　　“和朋友讨论要买某件商品，不久手机上就收到相关推送”“不小心误点了APP内的广告，很快就接到推销电话”……大数据时代，精准推送与隐私泄露的边界愈发模糊，这种“读心术”般的用户体验背后，是APP和SDK对个人数据的无节制攫取。
　　面对愈演愈烈的隐私焦虑，5月6日，中央网信办发布通报称，根据中央网信办、工业和信息化部、公安部、市场监管总局联合发布的《关于开展2025年个人信息保护系列专项行动的公告》（以下简称《公告》），依据《网络安全法》《个人信息保护法》《网络数据安全管理条例》《APP违法违规收集使用个人信息行为认定方法》等法律法规和有关规定，中央网信办组织了对APP、SDK收集使用个人信息行为进行检测，其中途虎养车、有道精品课、墨迹天气TV版等APP被点名。
多领域APP侵犯用户隐私
　　记者注意到，5月6日通报的15款APP和16款SDK中，不乏多款知名APP及运营商，如网易有道信息技术（北京）有限公司运营的有道精品课APP6.8.2版本被通报，上海阑途信息技术有限公司运营的途虎养车APP7.10.5版本被通报。这两个APP存在的主要问题是未准确列出SDK收集使用个人信息的目的、方式、范围。
　　5月13日，记者在华为应用商店看到，途虎养车已经将APP版本更新至7.21.1版本，该版本的隐私政策已经列明软件收集、使用信息的目的、方式、范围和使用规则；但有道精品课APP仍是被点名的6.8.2版本。
　　记者留意到，被通报的15款APP涵盖食、住、行、教育、医疗等多个生活领域，如墨迹天气TV版、企鹅天气预报属天气类软件，天津公交、烟台出行关联人们出行，21cake涉及食品购买，医家与医疗健康相关，亲邻开门涉及居住社区，学霸在线、有道精品课涉及教育。由此不难看出这些APP在人们日常生活中应用的广泛性。
　　有业内人士对《中国消费者报》记者表示，有的企业为追求商业利益，将个人信息视为“免费矿藏”，利用技术优势模糊授权边界。而SDK作为“隐形数据管道”，因嵌套在多个APP中，往往成为监管盲区。
　　网经社电子商务研究中心数字生活分析师陈礼腾对记者表示，此次通报中有不少知名APP及运营商。这反映出部分头部企业存在合规意识与能力不匹配的情况，虽有技术资源，但因业务扩张或管理疏漏，忽略了合规细节。在监管日益严格的大背景下，典型示范作用显著，中央网信办选择通报知名企业，打破了公众“大企业更安全”的固有认知，促使行业形成“合规即竞争力”的共识。“SDK提供商的违规行为也暴露出APP运营者对第三方组件审查不力的问题，未来应强化责任共担机制，比如要求SDK通过安全认证后再接入。”陈礼腾说。
产品开发应优先考虑隐私保护
　　5月12日，国家网络与信息安全信息通报中心通报，依据《公告》要求，经国家计算机病毒应急处理中心检测，65款移动应用存在违法违规收集使用个人信息情况，其中包括Faceu激萌、T3出行、爱奇艺等多个知名APP。
　　中国信息协会常务理事、国研新经济研究院创始院长朱克力对《中国消费者报》记者表示，四部门联合发布《公告》，直接传递了监管层对数据治理动真格的信号。过去几年，数字经济高速发展，但数据滥用、隐私泄露等问题频发，市场存在明显负外部性，如企业过度收集信息可能降低用户信任，进而抑制消费意愿，导致劣币驱逐良币。多部门协同出手，本质上是通过提高违法违规成本倒逼企业将隐私保护纳入核心经营逻辑。
　　朱克力认为，个人信息是数字经济的“原油”，专项行动常态化，实际上是在为数据要素流通扫清障碍，只有用户对隐私安全有稳定预期才可能更主动参与数据共享，企业也才能更合规地挖掘数据价值，最终推动数据从风险源向生产力转化。对互联网行业而言，短期阵痛难免，但长期看，合规能力将成为企业的核心竞争力之一。那些依赖灰色数据盈利的商业模式会加速出局，而真正深耕技术、优化服务的企业将获得更健康的生存土壤。
　　根据相关法律法规，APP开发者此后应如何避免侵犯用户隐私及过度收集用户信息？
　　陈礼腾认为，数据收集透明度缺失是核心漏洞之一，部分APP未逐一列出嵌入的SDK，也未明确说明收集个人信息的目的、方式和范围，这直接违反了《个人信息保护法》中的“告知—同意”原则。用户无法知晓数据流向，为SDK暗中采集设备指纹、位置等敏感信息提供了可乘之机，甚至可能引发非法数据共享或滥用。此外，SDK集成风险不容忽视，第三方SDK可能成为攻击入口，若未通过安全审计，可能存在恶意代码或漏洞（如未加密传输），导致用户数据在传输或存储过程中被窃取。“权利响应机制缺位使得用户无法有效行使删除权、更正权等个人信息权利，一旦发生数据泄露，用户难以及时止损，企业也面临合规处罚风险。”他说。
　　朱克力认为，对APP开发者而言，避免侵权的关键在于建立隐私保护优先的产品思维。法律规定的最小必要原则不是束缚，而是商业理性的体现。他举例说，一个天气软件如果索要通讯录权限，本质上是需求与功能错配，这种设计不仅增加了法律风险，还会降低用户留存率。企业需重新梳理数据链条，从收集、存储到使用的每个环节都应有明确合规边界。技术上可通过动态权限申请、数据脱敏处理降低风险，管理上需设立内部合规官角色，定期进行数据审计，而非将隐私条款当作应付监管的免责声明。
个人是信息保护的最小单位
　　采访中，消费者刘先生告诉记者，他曾在小程序上浏览过装修的相关内容，此后收到多个装修公司的电话，一年后还不时有人打电话问他是否需要购房或装修。“部分小程序或APP过度收集用户隐私，让人防不胜防。有时看到手机助手提醒是营销电话，只能选择拒绝或者拉黑，但也不能解决根本问题，他们不少使用的是虚拟号码。”刘先生说。
　　北京市民张女士向记者抱怨：“安装APP时，不同意隐私政策就无法使用。但即使勾选了‘同意’，也不知道哪些信息会被拿走。手机里的麦克风、相册权限常年开着，总感觉被人盯着。”
　　记者了解到，他们的经历并非个例，实际上不少网友都有类似的苦恼，但碍于信息不对称，即使有怀疑对象，也无法证明相关应用过度收集用户信息。
　　朱克力提醒消费者在下载APP时，要跳出点击同意的惯性思维。重点查看权限申请是否与功能直接相关，例如导航软件需要位置信息合理，但若同时要求读取短信，则要警惕。建议优先选择提供权限最小化选项的应用，比如允许用户手动关闭非必要数据追踪。
　　“此外还要警惕一次性索取所有权限的霸王条款，这类应用往往对用户缺乏基本的尊重。普通用户可借助手机系统的隐私保护功能，如iOS的应用隐私报告，定期审查应用行为。遇到过度索权的情况，可通过平台投诉或司法渠道维权，用市场选择的力量推动行业净化。”朱克力说。