本報(bào)記者 陳佳嵐 廣州報(bào)道

應(yīng)用程序收集個(gè)人信息的治理工作正持續(xù)推進(jìn)中。

5月6日，中央網(wǎng)信辦對(duì)15款A(yù)pp和16款SDK（軟件開發(fā)工具包，一般都是一些軟件工程師為特定的軟件包、軟件框架、硬件平臺(tái)、操作系統(tǒng)等建立應(yīng)用軟件時(shí)的開發(fā)工具的集合）個(gè)人信息收集使用問題進(jìn)行通報(bào)，其中，墨跡天氣TV版、醫(yī)家、企鵝天氣、途虎養(yǎng)車等15款A(yù)pp存在未逐一列出收集使用個(gè)人信息的SDK，未準(zhǔn)確列出SDK收集使用個(gè)人信息的目的、方式、范圍等問題。另外還有CTP穿透采集、金仕達(dá)穿透采集、傳漾廣告、西瓜影音等16款SDK收集使用個(gè)人信息，存在未提供個(gè)人信息收集使用規(guī)則，未說明自行或協(xié)助App響應(yīng)用戶個(gè)人信息權(quán)利請(qǐng)求的措施，未及時(shí)響應(yīng)用戶個(gè)人信息投訴舉報(bào)這些權(quán)利請(qǐng)求的問題。

中國信息協(xié)會(huì)信息安全專業(yè)委員會(huì)數(shù)據(jù)鑒證工作部主任毛立明對(duì)《中國經(jīng)營報(bào)》記者表示，15款A(yù)pp與16款SDK存在個(gè)人信息處理透明度不足與SDK治理失效及投訴服務(wù)處理響應(yīng)不及時(shí)等多重問題，反映出多重安全漏洞與風(fēng)險(xiǎn)。App未列明SDK清單、說明收集目的范圍，致使用戶知情權(quán)受損，如SDK可能收集無關(guān)信息、通過技術(shù)手段竊取數(shù)據(jù)，形成隱蔽數(shù)據(jù)流，增加用戶被攻擊風(fēng)險(xiǎn)，違反《個(gè)人信息保護(hù)法》，還可能成為黑灰產(chǎn)素材。SDK未提供收集規(guī)則、未響應(yīng)用戶權(quán)利請(qǐng)求，加劇數(shù)據(jù)濫用和合規(guī)風(fēng)險(xiǎn)，如敏感信息滯留、數(shù)據(jù)用途不明、跨境傳輸至不受監(jiān)管服務(wù)器等。部分SDK通過漏洞提權(quán)獲取高敏感權(quán)限擴(kuò)大攻擊面，碎片化數(shù)據(jù)聚合可能突破匿名化保護(hù)，威脅用戶隱私安全。這些均違反相關(guān)法律法規(guī)，使用戶容易受精準(zhǔn)詐騙等侵害。

本報(bào)記者還留意到，此次通報(bào)的15款A(yù)pp和16款SDK中。不乏多款知名App及運(yùn)營商，如墨跡天氣TV版、有道精品課、途虎養(yǎng)車等，其運(yùn)營者分別是北京墨跡風(fēng)云科技股份有限公司、網(wǎng)易有道信息技術(shù)（北京）有限公司、上海闌途信息技術(shù)有限公司等。

多款知名產(chǎn)品上榜

記者留意到，此次通報(bào)的15款A(yù)pp涵蓋食、住、行、教育、醫(yī)療等多個(gè)生活領(lǐng)域，都與人們的日常生活息息相關(guān)，如墨跡天氣TV版、企鵝天氣預(yù)報(bào)屬天氣類軟件，天津公交、煙臺(tái)出行關(guān)聯(lián)人們出行，21cake涉及食品購買，醫(yī)家與醫(yī)療健康相關(guān)，親鄰開門涉及居住社區(qū)，學(xué)霸在線、有道精品課涉及教育等，反映了這些App在人們?nèi)粘Ｉ钪袘?yīng)用的廣泛性。其中，多款軟件還是知名App及運(yùn)營商。

所有SDK均涉及用戶個(gè)人信息采集，而從16款被點(diǎn)名的SDK來看，則涵蓋了金融交易、廣告追蹤、音視頻通信等高敏感場(chǎng)景。包括金融（如CTP穿透采集、金仕達(dá)穿透采集）、廣告（傳漾廣告）、數(shù)據(jù)分析（LinkedME、Mercury）、視頻（西瓜影音）、物聯(lián)網(wǎng)（機(jī)智云）、信息聚合（聚合渠道）、通訊（聲網(wǎng)、U8、融云IM/Rtc）、直播（CC視頻云直播）、數(shù)字營銷（數(shù)美）、認(rèn)證（楓嵐互聯(lián)、免密認(rèn)證）等領(lǐng)域。

其中，北京墨跡風(fēng)云科技股份有限公司運(yùn)營的墨跡天氣TV版1.3.8版本被通報(bào)，該App存在的主要問題是，未逐一列出收集使用個(gè)人信息的SDK。公開資料顯示，墨跡天氣是一款國民級(jí)天氣服務(wù)應(yīng)用，在全球擁有7億級(jí)用戶。

不過，墨跡天氣合規(guī)中心人員在接受記者采訪時(shí)強(qiáng)調(diào)，7億用戶指的是手機(jī)版（移動(dòng)版）的用戶量，手機(jī)版和TV版是兩個(gè)獨(dú)立App，TV版不是公司主營的產(chǎn)品。

對(duì)于為何相較于手機(jī)版，TV版會(huì)出現(xiàn)未逐一列出收集使用個(gè)人信息的SDK相關(guān)問題情況的問題，上述墨跡天氣合規(guī)中心人員對(duì)記者解釋，可能涉及到技術(shù)問題，但公司會(huì)按照網(wǎng)信辦要求進(jìn)行整改。

此外，網(wǎng)易有道信息技術(shù)（北京）有限公司運(yùn)營的有道精品課6.8.2版本被通報(bào)，上海闌途信息技術(shù)有限公司運(yùn)營的途虎養(yǎng)車7.10.5版本也被通報(bào)。前者有道精品課App是網(wǎng)易有道旗下初高中在線學(xué)習(xí)平臺(tái)，網(wǎng)易有道作為知名的互聯(lián)網(wǎng)企業(yè)，旗下該App在教育領(lǐng)域也具有較高的知名度。途虎養(yǎng)車是國內(nèi)領(lǐng)先的汽車養(yǎng)護(hù)品牌，黃渤是其品牌代言人。這兩個(gè)App存在的主要問題是，未準(zhǔn)確列出SDK收集使用個(gè)人信息的目的、方式、范圍。

普通用戶對(duì)數(shù)美不熟悉，但數(shù)美屬于技術(shù)細(xì)分賽道的知名服務(wù)商，數(shù)美SDK主要應(yīng)用于智能業(yè)務(wù)風(fēng)控和內(nèi)容安全等領(lǐng)域，其利用人工智能、大數(shù)據(jù)和全棧式風(fēng)控模型，為金融、互聯(lián)網(wǎng)、營銷等行業(yè)提供反欺詐、內(nèi)容審核及用戶隱私保護(hù)等服務(wù)。

北京微方程科技有限公司運(yùn)營的LinkedME在數(shù)據(jù)分析和營銷領(lǐng)域也有一定的知名度。

網(wǎng)經(jīng)社電子商務(wù)研究中心數(shù)字生活分析師陳禮騰對(duì)記者表示，此次通報(bào)的產(chǎn)品中有不少知名App及運(yùn)營商。其一，這反映出部分頭部企業(yè)存在合規(guī)意識(shí)與能力不匹配的情況，雖有技術(shù)資源，但因業(yè)務(wù)擴(kuò)張或管理疏漏，忽略了合規(guī)細(xì)節(jié)。其二，在監(jiān)管日益嚴(yán)格的大背景下，典型示范作用顯著，網(wǎng)信辦選擇通報(bào)知名企業(yè)，打破了公眾“大企業(yè)更安全”的固有認(rèn)知，促使行業(yè)形成“合規(guī)即競(jìng)爭(zhēng)力”的共識(shí)。此外，SDK提供商的違規(guī)行為也暴露出App運(yùn)營者對(duì)第三方組件審查不力的問題，未來應(yīng)強(qiáng)化“責(zé)任共擔(dān)”機(jī)制，比如要求SDK通過安全認(rèn)證后再接入。

陳禮騰對(duì)記者分析，數(shù)據(jù)收集透明度缺失是核心漏洞之一，部分App未逐一列出嵌入的SDK，也未明確說明收集個(gè)人信息的目的、方式和范圍，這直接違反了《個(gè)人信息保護(hù)法》中的“告知—同意”原則。用戶無法知曉數(shù)據(jù)流向，為SDK暗中采集設(shè)備指紋、位置等敏感信息提供了可乘之機(jī)，甚至可能引發(fā)非法數(shù)據(jù)共享或?yàn)E用。其次，最小必要原則的失效進(jìn)一步加劇了風(fēng)險(xiǎn)，例如天氣類App索取通訊錄權(quán)限等超范圍收集行為，可能通過SDK過度索權(quán)擴(kuò)大數(shù)據(jù)采集范圍，增加用戶隱私暴露面。此外，SDK集成風(fēng)險(xiǎn)不容忽視，第三方SDK可能成為攻擊入口，若未通過安全審計(jì)，可能存在惡意代碼或漏洞（如未加密傳輸），導(dǎo)致用戶數(shù)據(jù)在傳輸或存儲(chǔ)過程中被竊取。最后，權(quán)利響應(yīng)機(jī)制缺位使得用戶無法有效行使刪除權(quán)、更正權(quán)等個(gè)人信息權(quán)利，一旦發(fā)生數(shù)據(jù)泄露，用戶難以及時(shí)止損，企業(yè)也面臨合規(guī)處罰風(fēng)險(xiǎn)。

部分App已整改、部分App尚未更新

對(duì)于15款A(yù)pp和16款SDK存在的個(gè)人信息收集使用問題，中央網(wǎng)信辦秘書局明確要求相關(guān)App和SDK運(yùn)營者應(yīng)當(dāng)于5月6日通報(bào)發(fā)布之日起的15個(gè)工作日內(nèi)完成整改。

記者在墨跡天氣官方網(wǎng)站上看到，目前該應(yīng)用TV版本可支持下載版本還為TV 1.1.1版本，發(fā)布日期為2017年1月6日。

上述墨跡天氣合規(guī)中心人員對(duì)記者表示，目前公司還沒有聯(lián)系到網(wǎng)信辦，尚未了解要如何整改，但會(huì)嚴(yán)格按照網(wǎng)信辦的要求和標(biāo)準(zhǔn)進(jìn)行整改，最終整改方案將會(huì)給到網(wǎng)信辦，網(wǎng)信辦通過之后，公司會(huì)對(duì)App進(jìn)行整改。

截至5月7日下午，記者在OPPO、vivo、小米、華為手機(jī)應(yīng)用商店上看到，途虎養(yǎng)車已經(jīng)將App版本更新至了7.21.1版本，更新時(shí)間為2025年5月7日，該版本的隱私政策已經(jīng)列明軟件收集、使用信息的目的、方式、范圍和使用規(guī)則。

然而，有道精品課App在各大手機(jī)應(yīng)用商店的軟件版本仍停留在6.8.2版本，21cake App仍停留在3.6.2版本。OPPO手機(jī)應(yīng)用商店中，醫(yī)家App在兩個(gè)月前應(yīng)用更新至5.6.0版本，在vivo應(yīng)用商店中，醫(yī)家App還在5.5.43版本，更新時(shí)間是2024年9月19日。

對(duì)于本次通報(bào)中涉及到的App個(gè)人信息收集使用問題及具體整改進(jìn)度和后續(xù)在信息保護(hù)方面的合規(guī)規(guī)劃，記者向途虎養(yǎng)車、有道精品課等相關(guān)公司進(jìn)行了郵件采訪，截至發(fā)稿未獲得回復(fù)。

毛立明認(rèn)為，部分行業(yè)企業(yè)或因?qū)Ψ煞ㄒ?guī)理解與實(shí)操經(jīng)驗(yàn)不足，需強(qiáng)化學(xué)習(xí)整改；或在合規(guī)成本與數(shù)據(jù)利用收益間存在投機(jī)心理。實(shí)際上，個(gè)人信息數(shù)據(jù)合規(guī)意義重大，它既關(guān)系到用戶權(quán)益保障與風(fēng)險(xiǎn)防范，也關(guān)乎企業(yè)本身，包括法律責(zé)任風(fēng)險(xiǎn)、監(jiān)管處罰成本導(dǎo)致的運(yùn)營損失以及用戶、合作伙伴信譽(yù)受損等方面的風(fēng)險(xiǎn)與成本，企業(yè)不應(yīng)舍本逐末、因小失大。

陳禮騰建議，企業(yè)應(yīng)在App和SDK開發(fā)階段貫徹隱私設(shè)計(jì)原則，將數(shù)據(jù)最小化、加密存儲(chǔ)等要求融入架構(gòu)設(shè)計(jì)，建立SDK安全評(píng)估體系，采用權(quán)限動(dòng)態(tài)管理機(jī)制，按需申請(qǐng)權(quán)限。運(yùn)營階段需部署監(jiān)控系統(tǒng)實(shí)時(shí)監(jiān)測(cè)異常數(shù)據(jù)訪問行為，定期開展合規(guī)審計(jì)，建立用戶權(quán)利響應(yīng)系統(tǒng)，自動(dòng)化處理刪除、更正等請(qǐng)求，以確保用戶權(quán)利得到充分保障。

（編輯：吳清 審核：李正豪 校對(duì)：顏京寧）