2025年11月刊
You观察
第一版
隐私合规月报
NEWS
在当今数字化时代,个人信息保护已成为全社会关注的焦点。随着数据流量的不断增长和信息技术的飞速发展,个人隐私面临着前所未有的挑战。厦门嘉佑安科信息技术有限公司作为一家专注移动应用隐私合规检测、安全检测、安全加固业务的安全服务商,始终秉持社会责任与法律意识的企业,且深知个人隐私合规工作的重要性。
本期,我们全面梳理并分析2025年11月期间App隐私合规领域的新政策、新法规、新动态以及违规通报资讯信息,助力企业明确合规要求,掌握监管重点推动企业移动应用合规安全建设,同时为相关从业者提供有价值的参考和指导。
政策法规速递
News
政策法规
NO.1 《大型网络平台个人信息保护规定(征求意见稿)》
旨在规范大型网络平台的个人信息处理活动,明确其需遵循合法、正当、必要及诚信原则,落实安全主体责任。规定要求设立具备资质的个人信息保护负责人及机构,严格境内存储要求,确需出境的须合规审批。同时保障个人信息主体查阅、复制、更正、删除、转移等权利,要求提供便捷行权途径,并开展合规审计与风险评估,引入第三方监督,建立投诉举报与执法机制,对违规行为依法追责,全面提升平台个人信息保护水平。
(https://www.cac.gov.cn/2025-11/22/c_1765543463511624.htm)
NO.2《网络安全标准实践指南——个人信息保护 个人信息匿名化指南(征求意见稿)》
旨在为个人信息处理者实施匿名化提供操作指引。指南明确匿名化处理须满足不可单独挑出、不可链接与不可推断三大核心规则,涵盖可行性判别、场景风险分析、技术选型及效果评估等关键环节。文件列举了科研医疗、统计分析与AI训练等适用场景,并通过案例说明如何综合运用泛化、噪声添加、差分隐私、k-匿名等技术,结合管理措施降低重识别风险,确保处理后信息不再属于个人信息。
(https://mp.weixin.qq.com/s/HKL9XhCyE445mj-PzgdsmA)
NO.3 《网络安全标准实践指南——个人信息保护 个人信息去标识化指南(征求意见稿)》
旨在为个人信息处理者开展去标识化提供操作指引。指南区分脱敏与假名化两种技术路径,明确处理后信息仍属个人信息。重点规范假名化的实现框架,涵盖假名替换、准标识符处理、防未授权关联措施及多种假名类型,明确从规划到维护的全流程步骤,并提供常见信息脱敏示例,以帮助处理者平衡数据利用与个人权益保护,履行安全义务并降低风险。
(https://mp.weixin.qq.com/s/HKL9XhCyE445mj-PzgdsmA)
NO.4 《网络安全标准实践指南——个人信息保护 个人信息识别指南(征求意见稿)》
旨在为个人信息处理者识别个人信息提供统一指引。文件明确个人信息须同时满足“各种信息”“有关”“已识别或者可识别”“自然人”四要素,并通过内容、目的、结果任一关联即可认定“有关”。强调识别性需结合具体场景,并动态评估所有合理技术与管理手段。指南通过典型案例阐释判定逻辑,并列出常见个人信息分类,为数据分类分级与合规管理提供实操依据。
(https://cagd.gov.cn/v/2025/09/7955.html)
NO.5《公安机关网络空间安全监督检查办法(征求意见稿)》
旨在公安机关对网络运营者、数据处理者、个人信息处理者等主体的网络空间安全监督检查工作,明确以依法科学、保障发展为原则,采用线上巡查与现场检查相结合的方式,重点检查安全管理制度、技术措施及合规义务履行情况。办法规定了检查对象、程序、协作机制及风险处置要求,并约束执法行为与技术支撑活动,以提升安全治理效能,维护国家安全与公众权益。
(https://cagd.gov.cn/v/2025/09/7955.html)
动态热点
波兰反垄断监管机构就隐私政策对苹果展开调查,最高可罚年营收 10%
波兰反垄断机构UOKiK对苹果公司启动调查,焦点在于其“应用跟踪透明度”(ATT)隐私政策。监管机构初步认定,该政策限制了第三方应用获取数据用于广告,但苹果自身广告业务却未受同等限制,涉嫌滥用市场支配地位。若最终认定违规,苹果可能面临高达其在波兰年营业额10%的罚款。苹果方面回应称ATT是保护用户隐私的重要工具,并承诺配合调查。此前,法国已就同一问题对苹果处以罚款。
(https://mp.weixin.qq.com/s/a-u7TEOVyLFjmL0m6WDuZA)
SaaS安全大崩盘!又一起重大攻击,超200家大中型企业数据泄露
谷歌证实,一起针对Salesforce生态系统的大规模供应链攻击导致200多家公司数据被盗。攻击者并非直接入侵Salesforce,而是通过窃取第三方应用Gainsight的访问令牌非法获取数据。包括Atlassian、领英在内的多家知名企业受到影响。Salesforce已采取紧急措施,撤销相关令牌并下架该应用。事件仍在进一步调查中。
(https://www.secrss.com/articles/85334)
湘西州网信办对某学校未履行数据安全保护义务作出行政处罚
近日,湘西州网信办对辖区内一所学校依法作出了行政处罚,原因是该学校未履行数据安全保护义务。这是湘西州开出的首例因数据安全保护不到位而被处罚的案件。经调查,该学校的视频监控系统未采取相应的技术防护措施,存在较大的数据泄漏风险,此行为违反了《中华人民共和国数据安全法》第二十七条的规定。依据《中华人民共和国数据安全法》第四十五条,州委网信办对该学校作出了警告的行政处罚,并责令其限期整改。
(https://mp.weixin.qq.com/s/zPxoUIOBbkwDKewznvFYow)
数据泄露造成巨额损失,运营商巨头SK电讯利润下滑超90%
近期,韩国SK电讯因长达三年的系统渗透导致2700万用户数据泄露,第三季度营业利润暴跌90%,并面临巨额罚款、系统整改及高达24亿元的客户补偿计划,直接中断其持续盈利纪录。此类事件凸显网络攻击已构成重大商业威胁,其损失远超业务中断,更延伸至监管处罚、信任危机与长期收入下滑,迫使企业将网络安全置于优先地位。
(hhttps://www.secrss.com/articles/84734)
逾百万患者病历数据泄露,美国医疗软件供应商NextGen赔偿超1.37亿元
美国NextGen Healthcare公司因2023年数据泄露事件,近日提出约1937.5万美元(约1.37亿人民币)的和解方案。该事件影响超100万人,并引发多起合并集体诉讼。根据协议,受影响用户最高可获7500美元损失赔偿,并可申请三年信用监控服务。尽管NextGen否认所有指控,但为规避诉讼风险与成本同意和解。此案凸显企业在遭遇数据泄露后,不仅面临巨额经济赔偿,其品牌信誉与客户信任亦遭受严重冲击。
(https://www.secrss.com/articles/84642)
监管通报
通过研究监管通报,可以了解监管机构对App的关注重点和执法尺度,从而判断自己的App是否存在类似的问题,及时进行整改。
嘉佑安科监测到中华人民共和国工业和信息化部、国家计算机病毒应急处理中心、海南省互联网信息办公室和各地通信管理局等15家监管机构分别公开通报286款和下架130款移动应用,详细数据见下表:
通报应用类型分布情况
根据2025年11月国家监管机构的最新通报数据,“实用工具类”App以占据总通报数的17.0%位居第一,“本地生活类”App以总通报数的14.8%紧随其后。App通报应用类型Top10的分布概览图如下所示:
通报问题类型分布情况
根据2025年11月国家监管通报的数据,违规收集个人信息问题最多,未明示个人信息处理规则和App强制、频繁、过度索取权限问题其次。App通报问题类型Top10的分布概览图如下所示
江苏省通信管理局关于侵害用户权益行为的APP通报(2025年第8批)
江苏省通信管理局本次通报14款App因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题为:违规收集个人信息、超范围收集个人信息、违规使用个人信息、APP强制、频繁、过度索取权限、App频繁自启动和关联启动、未公布投诉、举报渠道等6类问题,具体详情可查阅下方链接。
(https://jsca.miit.gov.cn/gzcy/gggs/art/2025/art_4a3d994c50ae4f2ba3dc453cc22890d6.html)
关于川渝两地侵害用户权益APP名单的通报(2025年第十期)
四川省、重庆市通信管理局本次通报11款App/小程序因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题为:违规收集个人信息、强制用户使用定向推送功能、App强制、频繁、过度索取权限等3类问题,具体详情可查阅下方链接。
(https://scca.miit.gov.cn/zwgk/wlaqgl/art/2025/art_9a4ccb44ebac485ab67b7f9480f33073.html)
北京市通信管理局关于问题移动互联网应用程序的通报(2025年第八期)
北京市通信管理局本次通报8款、下架7款App及小程序因违法违规收集使用个人信息且未在规定时间内完成整改。通报/下架问题为:APP频繁自启动和关联启动、未经用户同意收集使用个人信息、未明示收集使用个人信息的目的、方式和范围、未公开收集使用规则、强制用户使用定向推送功能、更正、删除个人信息难等6类问题,具体详情可查阅下方链接。
(https://bjca.miit.gov.cn/zwgk/tzgg/art/2025/art_4fe37979fbfe49ec87e948a6942136bc.html)
上海市通信管理局关于下架27款侵害用户权益行为APP(SDK)的通报
上海市通信管理局本次下架27款App/SDK因违法违规收集使用个人信息且未在规定时间内完成整改。下架问题集中在:未明示个人信息处理规则、未妥善处理用户投诉、账号注销难、App强制、频繁、过度索取权限等4类问题,具体详情可查阅下方链接。
(https://mp.weixin.qq.com/s/8cVH5AmYlZRBp5NhPV-I6A)
上海市通信管理局关于侵害用户权益行为APP(SDK)的通报(2025年第九批)
上海市通信管理局本次通报53款App/SDK因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题为:未明示个人信息处理规则、超范围收集个人信息、未妥善处理用户投诉、账号注销难等4类问题,具体详情可查阅下方链接。
(https://mp.weixin.qq.com/s/2nh8sAxEnWxTybOlPTPT5w)
安徽省通信管理局关于侵害用户权益APP的通报(2025年第7批)
安徽省通信管理局本次通报10款App因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题为:违规收集个人信息、违规使用个人信息、频繁自启动和关联启动、强制、频繁、过度索取权限、欺骗误导强迫用户等5类问题,具体详情可查阅下方链接。
(https://ahca.miit.gov.cn/xxgk/tzgg/art/2025/art_78a1e87574d748a3bac575cf583abc65.html)
关于侵害用户权益行为的APP(SDK)通报(2025年第7批,总第52批)
中华人民共和国工业和信息化部本次通报39款App/小程序/SDK因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题集中在:隐私政策默认同意、强制用户使用定向推送功能、APP 强制、频繁、过度索取权限、违规收集个人信息、未明示收集个人信息、未明示收集个人信息清单、超范围收集个人信息、强制自动续费、违规使用个人信息、应用分发信息未明示、强制下载第三方 APP、SDK 信息公示不到位、信息窗口无法关闭等13类问题,具体详情可查阅下方链接。
(https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2025/art_677d4e303744447d8dbdfca31ada60d9.html)
浙江省通信管理局关于侵害用户权益行为的APP(小程序)通报(2025年第9批)
浙江通信管理局本次通报13款App/小程序因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题集中在:违规收集个人信息、违规使用个人信息、APP 强制、频繁、过度索取权限、超范围收集个人信息、强制用户使用定向推送功能等5类问题,具体详情可查阅下方链接。
(https://mp.weixin.qq.com/s/xzoQ8uONpteaAknYWbmwfw)
广东省通信管理局公开通报3款未按要求完成整改APP
广东省通信管理局本次通报3款App因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题集中在:违规收集个人信息、违规使用个人信息、强制、频繁、过度索取权限、APP频繁自启动和关联启动等4类问题,具体详情可查阅下方链接。
(https://gdca.miit.gov.cn/zwgk/tzgg/art/2025/art_0f277cf2f08c4fd98ff3832130c19ec3.html)
公安部计算机信息系统安全产品质量监督检验中心检测发现40款违法违规收集使用个人信息的移动应用
公安部计算机信息系统安全产品质量监督检验中心本次通报40款App因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题为:未逐一列出收集、使用个人信息的目的、方式、范围、在申请打开可收集个人信息的权限时,未同步告知用户其目的、征得用户同意前就开始收集个人信息、实际收集的个人信息超出用户授权范围、个人信息保护政策中描述需要收集的个人信息超出相关功能的必要范围、配置文件中声明的可收集个人信息的权限超出相关功能的必要范围、实际收集的个人信息超出相关功能的必要范围、未向用户提供个人信息相关投诉渠道或功能、未向用户提供更正或补充其个人信息的具体途径、未向用户提供删除其个人信息的具体途径、未向用户提供注销账户的途径和方式、注销账户的流程中设置不合理的条件或提出额外要求、未提供退出或关闭个性化展示模式的选项、广告存在误导、欺骗用户行为等14类问题,具体详情可查阅下方链接。
(https://mp.weixin.qq.com/s/-_7rVeUACQPtrtF0l1Srug)
青海省通信管理局关于3款侵害用户权益APP的通报
青海省通信管理局本次通报3款App/小程序因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题为:规则违规收集个人信息、APP 强制、频繁、过度索取权限、强制用户使用定向推送功能等3类问题,具体详情可查阅下方链接。
(https://mp.weixin.qq.com/s/Chri6LFda2C9hHL1moJNPA)
甘肃省通信管理局关于处置侵害用户权益APP及小程序的通报(2025年第六批)
甘肃省通信管理局本次通报10款、下架3款App/小程序因违法违规收集使用个人信息且未在规定时间内完成整改。通报/下架问题为:违规收集个人信息、超范围收集个人信息、APP 强制、频繁、过度索取权限、违规使用个人信息等4类问题,具体详情可查阅下方链接。
(https://gsca.miit.gov.cn/zwgk/tzgg/art/2025/art_caab01d5a41d4087bc40f0dc9ca310ec.htmlA)
上海市通信管理局关于下架31款侵害用户权益行为APP(SDK)的通报
上海市通信管理局本次下架31款App/SDK因违法违规收集使用个人信息且未在规定时间内完成整改。下架问题集中在:未明示个人信息处理规则、未妥善处理用户投诉等2类问题,具体详情可查阅下方链接。
(https://mp.weixin.qq.com/s/CH8N8tADK34FHXAzPJQy8Q)
上海市通信管理局关于侵害用户权益行为APP(SDK)的通报(2025年第十批)
上海市通信管理局本次通报71款App/SDK因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题为:未妥善处理用户投诉、未明示个人信息处理规则、未明示个人信息收集规则、账号注销难、违规收集个人信息、APP 强制、频繁、过度索取权限、APP 自启动和关联启动行为、强制用户使用定向推送功能、超范围收集个人信息、违规使用个人信息等10 类问题,具体详情可查阅下方链接。
(https://mp.weixin.qq.com/s/NHuaHKeV9yuCyBh4QKn8FA)
贵州省通信管理局关于下架15款侵害用户权益APP的通报(2025年第3批)
贵州省通信管理局本次下架15款App因违法违规收集使用个人信息且未在规定时间内完成整改。下架问题集中在:违规收集个人信息、超范围收集个人信息、强制用户使用定向推送功能、APP 强制、频繁、过度索取权限、APP频繁自启动和关联启动等5类问题,具体详情可查阅下方链接。
(https://mp.weixin.qq.com/s/8cVH5AmYlZRBp5NhPV-I6A)
安徽省通信管理局关于下架6款侵害用户权益APP的通报
安徽省通信管理局本次下架6款App因违法违规收集使用个人信息且未在规定时间内完成整改。下架问题集中在:违规收集个人信息、超范围收集个人信息、欺骗误导强迫用户、频繁自启动和关联启动等4类问题,具体详情可查阅下方链接。
(https://mp.weixin.qq.com/s/XhDadA-zcspXg-itqYNwzw)
山东省通信管理局关于不合格APP整改情况的通报(2025年第6批)
山东省通信管理局本次通报3款、下架4款App因违法违规收集使用个人信息且未在规定时间内完成整改。通报/下架问题为:违规收集个人信息、超范围收集个人信息、强制用户使用定向推送功能、APP 强制、频繁、过度索取权限、APP频繁自启动和关联启动等5类问题,具体详情可查阅下方链接。
(https://sdca.miit.gov.cn/xwdt/tzgg/art/2025/art_a04e0ec4e3b94ccd87080cd608383e49.html)
宁夏回族自治区通信管理局关于侵害用户权益行为的APP(小程序)通报(2025年第五期)
宁夏回族自治区通信管理局本次通报8款、下架3款小程序因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题为:未明示收集使用个人信息的目的、方式和范围、违规收集使用个人信息、用户个人信息未脱敏展示、账号注销难、未公开收集使用规则等5类问题,具体详情可查阅下方链接。
(https://nxca.miit.gov.cn/zwgk/tzgg/art/2025/art_7da4d2cdbe6c43089debc69388f2d514.html)
