2025年8月刊
You观察
第一版
隐私合规月报
NEWS
在当今数字化时代,个人信息的保护已成为全社会关注的焦点。随着数据流量的不断增长和信息技术的飞速发展,个人隐私面临着前所未有的挑战。厦门嘉佑安科信息技术有限公司作为一家专注移动应用隐私合规检测、安全检测、安全加固业务的安全服务商,始终秉持社会责任与法律意识的企业,且深知个人隐私合规工作的重要性。
本期,我们全面梳理并分析2025年8月期间App隐私合规领域的新政策、新法规、新动态以及违规通报资讯信息,助力企业明确合规要求,掌握监管重点推动企业移动应用合规安全建设,同时为相关从业者提供有价值的参考和指导。
政策法规速递
News
政策法规
NO.1 《T/TAF 287.5—2025 生成式人工智能产品和服务用户权益保护要求 第5部分:个人权利响应》
旨在规范生成式 AI 服务中用户个人权利响应。其明确用户享有知情同意权、补充更正权、公平交易权等合法权利,覆盖输入信息、使用记录等数据相关权利。要求服务提供者建立便捷申请渠道与规范处理流程,履行数据安全保护义务。该标准适用于指导 AI 产品研发、评估,也为监管机构和第三方测评提供监督依据,助力筑牢用户权益保护防线。
(https://taf.org.cn/StdDetail.aspx?uid=9b995d22-f7dd-4854-a92b-7321eab0d26b&stdType=TAF)
NO.2《T/TAF 309—2025 生成式人工智能产品和服务风险分类分级指南》
旨在规范生成式 AI 产品和服务风险分类分级。其适用于指导相关组织开展分类分级工作,从技术缺陷、数据安全、伦理社会影响等多维度构建评估体系,结合应用场景复杂度、数据敏感性、潜在危害程度划分风险等级。要求覆盖全生命周期风险管理,为企业提供操作指引,也为监管和第三方测评提供依据,助力平衡技术创新与风险防控。
(https://taf.org.cn/StdDetail.aspx?uid=62a46b69-aef8-43c4-bebf-4e2f3d96a292&stdType=TAF)
NO.3 《数据安全国家标准体系(2025版)(征求意见稿)》
旨在落实数据安全相关法律法规,构建全生命周期安全保障体系。体系含基础共性、技术产品、安全管理、测评认证、产品服务安全、行业应用六大层级,以数据分类分级为基础,覆盖数据全流程处理。明确数据加密、脱敏等技术标准,规范数据出境、风险评估等管理要求,针对政务、汽车及 AI 等新技术领域制定专项规范。遵循安全与发展并重原则,为企业合规和监管提供依据,助力数据要素安全流通。
(https://www.tc260.org.cn/front/postDetail.html?id=20250731172556)
NO.4 《个人信息保护国家标准体系(2025版)(征求意见稿)》
旨在落实《个人信息保护法》等法规,构建全生命周期保护体系。体系涵盖基础共性、技术产品、管理规范、行业应用四大层级,覆盖个人信息收集、存储、使用等全流程。明确加密、脱敏等技术要求,细化敏感信息分级规则,强化未成年人信息保护。规范数据跨境传输安全评估,为企业合规提供操作指引,也为监管提供依据,助力平衡权益保护与数据合理利用。
(https://www.tc260.org.cn/front/postDetail.html?id=20250731172556)
NO.5 《数据安全技术 个人信息匿名化处理指南及评价方法(征求意见稿)》
旨在落实《网络安全法》《个人信息保护法》要求,规范个人信息匿名化处理。指南构建全生命周期技术框架,涵盖处理流程、准备工作、去标识化处理等核心环节,明确泛化、抑制、k - 匿名、差分隐私等技术方法的应用规范,强调处理后信息需满足 “无法识别且不可复原” 要求。
(https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20250827154341&norm_id=20250815122220&recode_id=59762)
动态热点
河南一高校泄露个人信息被通报,内部紧急通知整改
2025 年 8 月,河南财政金融学院因网站公示未脱敏的身份证号、手机号等敏感信息,被上级公安及教育部门通报,该行为违反《个人信息保护法》《网络安全法》且存在重大信息泄露风险。8 月 15 日学校发紧急通知,明确脱敏标准、三级审核流程,要求 8 月 25 日前排查近半年信息,对问题内容删除或脱敏重发。
(https://www.anyong.net/industrynews/2682.html)
AI聊天机器人又又又爆出隐私漏洞!37万条对话全网裸奔,你害怕吗?
2025 年 8 月,马斯克旗下 Grok 机器人因设计缺陷致 37 万条用户对话(含密码修改指令、非法交易记录)在搜索引擎 “裸奔”,暴露 AI 行业 “重功能轻安全” 通病,OpenAI 支付漏洞、深度求索日志外泄等事件亦印证此危机。技术上可借鉴蝙蝠 APP 端到端加密、预设密信等防护,用户需谨慎分享敏感信息、定期改密码开多重验证。
(https://t.cj.sina.com.cn/articles/view/5232577784/137e2ccf8001014v1o)
查词典也要提供个人信息?法院判了
最高法发布网络消费民事典型案例,某词典 APP 要求用户提供手机号才提供服务,其隐私政策会默认勾选且无撤回途径,用户拒绝则自动退出。马某诉其过度收集信息,公司辩称 APP 属社交类需手机号,拒协议可拒服务。北京互联网法院认定查词无需手机号,判公司删马某信息、赔礼道歉并赔偿,诉讼中公司已整改隐私政策。
(https://m.gmw.cn/2025-08/08/content_1304105134.htm)
“先享后付”是否侵害个人信息权益?最高法发布案例回应
2025 年 8 月 28 日,最高法首次发布数据权益司法保护专题指导性案例,含 6 件案例回应数据权属、个人信息保护等热点。其中两例涉个人信息纠纷:265 号明确 APP 过度收集非必需用户画像信息且无替代登录方式构成侵权;266 号指出 “先享后付” 中信用服务商必要且最小化收集信用信息并尽告知义务,不侵害用户权益。最高法提醒企业强化合规,严守法律红线。
(https://news.yunnan.cn/system/2025/08/28/033613074.shtml)
闲鱼被指以人脸识别超范围收集信息应公开道歉,回应:无泄露风险
徐女士使用多年的闲鱼账号一段时间以来被限制登录,联系客服被告知因存在被盗风险,需提供身份证及人脸信息方可解封,但客服拒绝告知风险判定标准和人工复核。她质疑合理性,认为账号已通过淘宝实名认证且长期用同一设备登录,平台此要求属超范围收集信息。闲鱼回应称人脸验证精准且护隐私,未验证则无法注销换绑。
(https://www.thepaper.cn/newsDetail_forward_31472729)
监管通报
通过研究监管通报,可以了解监管机构对App的关注重点和执法尺度,从而判断自己的App是否存在类似的问题,及时进行整改。
嘉佑安科监测到中华人民共和国工业和信息化部、国家计算机病毒应急处理中心、国家网络安全通报中心各地通信管理局等11家监管公开通报/下架共计521款移动应用,详细数据见下表:
通报应用类型分布情况
根据2025年8月国家监管机构的最新通报数据,“实用工具类”App以占据总通报数的30.5%位居第一,数量远超其他,整体呈现实用工具类占比突出的分布特点。App通报应用类型Top10的分布概览图如下所示:
通报问题类型分布情况
根据2025年8月国家监管通报的数据,违规收集个人信息问题最多,未明示个人信息处理规则、未妥善处理用户投诉问题其次。App通报问题类型Top10的分布概览图如下所示:
北京市通信管理局关于问题移动互联网应用程序的通报(2025年第七期)
北京市通信管理局本次通报20款、下架12款App因违法违规收集使用个人信息且未在规定时间内完成整改。通报下架问题为:App频繁自启动和关联启动、未经用户同意收集使用个人信息、未公开收集使用规则、更正、删除个人信息难等4类问题,具体详情可查阅下方链接。
(https://bjca.miit.gov.cn/zwgk/tzgg/art/2025/art_3550fc0ce78c4733ac87e23b798b7759.html)
关于侵害用户权益行为的APP(SDK)通报(2025年第4批,总第49批)
中华人民共和国工业和信息化部本次通报23款App(SDK)因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题为:违规收集个人信息、APP 强制、频繁、过度索权权限、信息窗口乱跳转、信息窗口无法关闭、SDK信息公示不到位、超范围收集个人信息、强制用户使用定向送功能等7类问题,具体详情可查阅下方链接。
(https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2025/art_eae96df5f3c043aca3d280ee3d4036d1.html)
青海省通信管理局关于9款侵害用户权益APP的通报
青海省通信管理局本次通报9款App因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题为:未公开收集使用规则、未明示收集使用个人信息的目的、方式和范围、违反必要原则、违规向他人提供个人信息等4类问题,具体详情可查阅下方链接。
(https://qhca.miit.gov.cn/zwgk/tzgg/art/2025/art_de4bb31ecb5f4bbf8a496751c34a5c2b.html)
广西通信管理局关于下架10款APP的通报
广西通信管理局本次下架10款App因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题为:App频繁自启动和关联启动、APP强制、频繁、过度索取权限、应用分发平台上的APP信息明示不到位、违规收集个人信息、强制用户使用定向推送功能等5类问题,具体详情可查阅下方链接。
(https://gxca.miit.gov.cn/zwgk/dxhhlwgl/art/2025/art_fff50b321d1e421b96c0d24e02fdd623.html)
安徽省通信管理局关于下架5款侵害用户权益APP的通报
安徽省通信管理局本次下架5款App因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题为:违规收集个人信息违规使用个人信息强制、频繁、过度索取权限、违规收集个人信息违规使用个人信息、超范围收集个人信息等3类问题,具体详情可查阅下方链接。
(https://ahca.miit.gov.cn/xxgk/tzgg/art/2025/art_da703bd9b8e249f9aa5a7699fc4ba4ac.html)
上海市通信管理局关于侵害用户权益行为APP的通报(2025年第六批)
上海市通信管理局本次通报145款App/小程序因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题为:未明示个人信息处理规则、未及时响应用户投诉、账号注销难、强制用户使用定向推送功能、自启动和关联启动行为、超范围收集个人信息、未成年人身份验证、APP强制、频繁、过度索取权限等8类问题,具体详情可查阅下方链接。
(https://mp.weixin.qq.com/s/UsNF45FRAPt9ape5Zv8D4A)
国家计算机病毒应急处理中心检测发现70款违法违规收集使用个人信息的移动应用
国家计算机病毒应急处理中心本次通报70款,下架25款App因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题为:在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;隐私政策难以访问;个人信息处理者在处理个人信息前,未以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名、联系方式、个人信息的保存期限、隐私政策未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等、个人信息处理者向其他个人信息处理者提供其处理的个人信息的,未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意、未在征得用户同意后才开始收集个人信息或打开可收集个人信息的权限、未提供有效的更正、删除个人信息及注销用户账号功能等14类问题,具体详情可查阅下方链接。
(https://www.cverc.org.cn/zxdt/report20250813.htm)
公安部计算机信息系统安全产品质量监督检验中心检测发现38款违法违规收集使用个人信息的移动应用
国家网络与信息安全信息通报中心本次通报45款、下架5款App因违法违规收集使用个人信息且未在规定时间内完成整改。通报下架问题为:未公开收集使用规则、未逐一列出收集、使用个人信息的目的、方式、范围、在申请打开可收集个人信息的权限时,未同步告知用户其目的、在申请收集用户等个人敏感信息时,未同步告知用户其目的、征得用户同意前就开始收集个人信息、实际收集的个人信息超出用户授权范围、个人信息保护政策中描述需要收集的个人信息超出相关功能的必要范围、配置文件中声明的可收集个人信息的权限超出相关功能的必要范围、实际收集的个人信息超出相关功能的必要范围、实际收集个人信息的频率超出相关功能的必要范围、提前要求用户打开非当前功能所需的可收集个人信息权限等17类问题,具体详情可查阅下方链接。
(https://mp.weixin.qq.com/s/u9rpg3yY6YmCP7UTDXncZA)
青海省通信管理局关于下架侵害用户权益APP名单的通报
青海省通信管理局本次下架8款App及小程序因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题为:未公开收集使用规则、未明示收集使用个人信息的目的、方式和范围、违反必要原则、违规向他人提供个人信息等4类问题,具体详情可查阅下方链接。
(https://qhca.miit.gov.cn/zwgk/tzgg/art/2025/art_a2beee31935d49e7b2d468b6bc381de6.html)
上海市通信管理局关于下架58款侵害用户权益行为应用的通报
上海市通信管理局本次下架58款App/小程序因违法违规收集使用个人信息且未在规定时间内整改或整改不到位。通报问题集中在:违规收集个人信息、自启动和关联启动行为、未妥善处理用户投诉、未明示个人信息处理规则、超范围收集个人信息、账号注销难等6类问题,具体详情可查阅下方链接。
(https://mp.weixin.qq.com/s/E2tfBDgjMSsVSluTdvAIeA)
贵州省通信管理局关于下架4款侵害用户权益APP的通报(2025年第2批)
贵州省通信管理局本次下架4款App因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题集中在:违规收集个人信息这1类问题,具体详情可查阅下方链接。
(https://gzca.miit.gov.cn/zwgk/hlwgl/gztz/art/2025/art_69ad787455c545ae9d26e186368fd398.html)
江苏省通信管理局关于下架5款侵害用户权益APP的通报
江苏通信管理局本次下架5款App因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题集中在:未违规收集个人信息、超范围收集个人信息、违规使用个人信息、APP频繁自启动和关联启动、APP强制、频繁、过度索取权限等5类问题,具体详情可查阅下方链接。
(https://jsca.miit.gov.cn/gzcy/gggs/art/2025/art_1dc56d31663e4ab0bb8d92217852ec03.html)
广西通信管理局关于56款侵害用户权益行为APP的通报
广西通信管理局本次通报56款App因违法违规收集使用个人信息且未在规定时间内完成整改。下架问题集中在:违规收集个人信息、违规使用个人信息、APP强制、频繁、过度索取权限、APP频繁自启动和关联启动、强制用户使用定向推送功能等5类问题,具体详情可查阅下方链接。
(https://gxca.miit.gov.cn/zwgk/dxhhlwgl/art/2025/art_10f56465ec5b4644a35dffceba101283.html)
关于川渝两地侵害用户权益APP名单的通报(2025年第八期)
重庆市通信管理局、四川省通信管理局本次通报14款App/小程序因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题集中在:未明示个人信息处理规则、超范围收集个人信息、APP 强制、频繁、过度索取权限、强制用户使用定向推送功能、账号注销难、违规收集个人信息等6类问题,具体详情可查阅下方链接。
(https://cqca.miit.gov.cn/zwgk/tzgg/gggs/art/2025/art_f04fbb2f00ec4861a00744b5a6ae2cd8.html)
浙江省通信管理局关于侵害用户权益行为的APP(小程序)通报(2025年第7批)
浙江通信管理局本次通报14款App/小程序因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题集中在:违规收集个人信息、超范围收集个人信息、强制用户使用定向推送功能等3类问题,具体详情可查阅下方链接。
(https://zjca.miit.gov.cn/zwgk/tzgg/art/2025/art_f7109d492fc3466fba626afb2708085f.html)
