在当今数字化时代,个人信息保护已成为全社会关注的焦点。随着数据流量的不断增长和信息技术的飞速发展,个人隐私面临着前所未有的挑战。厦门嘉佑安科信息技术有限公司作为一家专注移动应用隐私合规检测、安全检测、安全加固业务的安全服务商,始终秉持社会责任与法律意识的企业,且深知个人隐私合规工作的重要性。
本期,我们全面梳理并分析2026年01月期间App隐私合规领域的新政策、新法规、新动态以及违规通报资讯信息,助力企业明确合规要求,掌握监管重点推动企业移动应用合规安全建设,同时为相关从业者提供有价值的参考和指导。
政策法规速递
News
政策法规
NO.1 《公众无线局域网接入服务 APP 业务框架安全与个人信息保护要求》
旨在规范公众无线局域网接入服务APP的安全与个人信息保护,适用于运营者、分发平台及监管部门。明确需遵循安全与最小必要原则,规定身份认证、传输存储加密、官方接口调用及位置信息模糊化等技术要求,以及访问控制、全生命周期管理等管理要求;同时保障用户对位置权限的知情选择权,规范开发测试、更新发布及监测处置流程,为公众WiFi服务建立统一安全基准,确保连接安全与个人信息权益。
(https://www.taf.org.cn/StdDetail.aspx?uid=c135faeb-5ae1-4064-b092-c2a208c71109&stdType=TAF)
NO.2《江苏省互联网行业规范个人信息处理活动合规指南》
旨在规范江苏省互联网行业的个人信息处理活动,适用于省内相关组织及个人。明确需遵循合法、正当、必要原则,落实告知同意、公示规则、建立清单等合规义务,个人信息出境须符合国家规定,并加强合作方监督与权限约束。要求大型平台设立个人信息保护监督委员会,发布社会责任报告,建立健全风险预警、应急响应与事件报告机制,强化安全防护与协同处置能力,促进行业自律与权益保障。
(https://www.jswx.gov.cn/anquan/xingdong/202601/
t20260107_1184113.shtml)
NO.3 《互联网应用程序个人信息收集使用规定(征求意见稿)》
旨在规范互联网应用程序个人信息收集使用,适用于App、SDK、分发平台及智能终端等运营主体。明确遵循合法、正当、必要与诚信原则,落实告知同意与最小必要要求,规定场景化授权、权限调用限制、生物识别信息保护等技术要求,以及SDK管理、上架审核、权限提示记录等管理要求。保障用户查询、更正、删除、注销账号及关闭个性化推荐等权益,规范各主体审核、投诉响应与监管流程,为App全生态处理提供统一合规依据,保护用户权益与数据安全。
(https://www.cac.gov.cn/2026-01/10/c_1769603446094128.htm)
NO.4 《可能影响未成年人身心健康的网络信息分类办法》
旨在规范网络信息管理,保护未成年人身心健康,适用于网络内容生产者及服务提供者。办法依据相关法律,遵循未成年人特殊保护原则,对可能引发不良模仿、误导价值观、不当使用未成年人形象及个人信息等信息进行分类。要求对此类信息进行显著提示,禁止在首页、热搜等醒目位置推送,并禁止在未成年人专门服务中传播。同时要求各方建立安全管理制度与审核机制,为未成年人网络保护提供明确依据,防范信息危害。
(https://www.cac.gov.cn/2026-01/23/c_1770728781060093.htm)
NO.5《金融信息服务数据分类分级指南(征求意见稿)》
旨在为金融信息服务提供者开展数据分类分级提供统一指引。文件明确了以业务、用户、企业为维度的三级数据分类体系,并根据数据重要性、覆盖度、精度等要素将数据分为核心数据、重要数据、敏感一般数据、常规一般数据四个级别。指南规定了分类分级的具体流程与动态更新机制,要求识别并报送重要数据目录,以支撑金融数据差异化安全管理,防范数据安全风险,保障国家安全、经济运行与社会公共利益。
(https://www.cac.gov.cn/2026-01/24/c_1770812246428118.htm)
NO.6《政务移动互联网应用程序规范化管理办法》
旨在规范政务移动应用程序管理,适用于各级行政机关、群团组织及事业单位开发的政务APP、小程序等。明确遵循“谁主办谁负责、谁使用谁负责”原则,要求上线前履行备案,禁止设置强制打卡、积分排名等功能,不得强制推广下载或考核安装率。同时主办单位须保障应用安全稳定运行,落实数据与个人信息保护,规范功能变更与关停流程,建立投诉反馈机制。通过备案审核、抽查通报及撤销备案等监督措施,防治“指尖上的形式主义”,推动政务应用集约建设与规范使用。
(https://www.gov.cn/zhengce/content/202601/content_7056374.htm)
动态热点
下载15亿条邮箱账号密码数据售卖获利498元,广西一男子被判3
江苏省泰州市高港区法院审结一起侵犯公民个人信息罪案。三名被告人通过QQ群非法获取并存储绑定手机号码的邮箱账号及密码,涉案数据达数亿条,其中有效账号超5000万条。主犯曾某某出售部分数据获利。三人行为被认定为“情节特别严重”,均被判有期徒刑三年、缓刑,并处罚金。此案揭示了利用社交平台非法交易海量实名数据的黑色产业链,彰显了司法打击力度。
(https://www.secrss.com/articles/87190)
西班牙能源巨头Endesa数据泄露,超2000万用户数据疑遭暗网售卖
西班牙能源巨头Endesa确认其平台遭入侵,客户个人信息外泄,可能涉及身份证号、银行账户等敏感数据。有攻击者声称窃取了约1.05TB数据,涵盖超2000万用户。公司已启动应急响应并通报监管机构,但表示暂无证据表明数据被用于欺诈。此次事件暴露关键基础设施的数据安全风险,大规模信息泄露即便未直接造成财产损失,仍将严重损害用户信任与企业声誉。
(https://www.secrss.com/articles/86989)
被判刑一年!泄露超2400万用户敏感数据,法国通信巨头被罚4.4亿元
法国电信公司Free及Free Mobile因大规模数据泄露违反GDPR,遭CNIL合计罚款4200万欧元。事件导致超2400万用户合同数据外泄,含银行账户信息。攻击者利用其VPN等基础安全漏洞入侵。CNIL认定运营商未采取必要安全措施、未充分告知用户且数据留存不当。此次重罚表明,企业在数据保护上的基础失责将面临严峻监管与经济后果。
(https://www.secrss.com/articles/87098)
高端运动品牌安德玛7200万用户个人信息疑似泄露,官方称正在调查
美国运动品牌安德玛(Under Armour)遭Everest勒索软件攻击,导致客户与员工数据泄露,涉及数千万用户的姓名、邮箱、出生日期及购买记录等信息。该公司表示核心业务与支付系统未受影响,并已启动调查,但尚未公布确切的受影响人数及用户通知计划。此次事件凸显,企业在应对数据泄露时,其公开透明度与处置措施将直接关乎公众信任与品牌声誉。
(https://www.secrss.com/articles/87337)
法国政府机构泄露数千万公民求职信息被罚超4100万元
法国就业机构France Travail因大规模数据泄露遭法国数据监管机构CNIL处以500万欧元罚款。该事件中,攻击者利用社会工程学手段成功劫持机构顾问账户,导致多达4300万求职者的姓名、联系方式、身份证号及地址等个人信息外泄。监管方指出机构未能有效保护系统安全,并责令其限期整改。这是法国公共部门面临的又一次重大数据安全处罚,凸显监管机构对数据保护责任的严格要求。
(https://www.secrss.com/articles/87478)
监管通报
通过研究监管通报,可以了解监管机构对App的关注重点和执法尺度,从而判断自己的App是否存在类似的问题,及时进行整改。
嘉佑安科监测到中华人民共和国工业和信息化部、国家网络安全通报中心和各地通信管理局等6家监管分别公开通报128款和下架32款移动应用,详细数据见下表::
通报应用类型分布情况
根据2026年01月国家监管机构的最新通报数据,“实用工具类”App以占据总通报数的18.8%位居第一,“本地生活类”App以总通报数的12.5%紧随其后。App通报应用类型Top10的分布概览图如下所示:
通报问题类型分布情况
根据2026年01月国家监管通报的数据,隐私政策未逐一列出 App(含第三方)收集使用个人信息的目的、方式、范围等问题最多,未采取加密、去标识化等安全技术措施问题其次。App通报问题类型Top10的分布概览图如下所示:
国家计算机病毒应急处理中心检测发现71款违法违规收集使用个人信息的移动应用
根据国家计算机病毒应急处理中心检测,共有71款移动应用(含 APP 及小程序)因违法违规收集使用个人信息被通报。主要问题集中为:在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;隐私政策难以访问;个人信息处理者在处理个人信息前,未以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名、联系方式、个人信息的保存期限等、隐私政策未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等、个人信息处理者向其他个人信息处理者提供其处理的个人信息的,未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意、未在征得用户同意后才开始收集个人信息或打开可收集个人信息的权限、未提供有效的更正、删除个人信息及注销用户账号功能;为更正、删除个人信息或注销用户账号设置不必要或不合理条件;虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内完成核查和处理、投诉、举报未在承诺时限内受理并处理;个人信息处理者未建立便捷的个人行使权利的申请受理和处理机制、未向用户提供撤回同意收集个人信息的途径、方式;个人信息处理者未提供便捷的撤回同意的方式、通过自动化决策方式向个人进行信息推送、商业营销,未同时提供不针对其个人特征的选项,或者未向个人提供便捷的拒绝方式、个人信息处理者处理敏感个人信息的,未向个人告知处理敏感个人信息的必要性以及对个人权益的影响、个人信息处理者处理不满十四周岁未成年人个人信息的,未制定专门的个人信息处理规则;收集未成年人信息未取得监护人单独同意、未采取相应的加密、去标识化等安全技术措施、实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式的,将人脸识别技术作为唯一验证方式。个人不同意通过人脸信息进行身份验证的,未提供其他合理、便捷的方式、无隐私政策等13类违规情形。其中,超30款应用存在隐私政策披露不完整问题。同时,此前通报的69款应用中仍有27款未完成整改,已被应用分发平台下架,具体详情可查阅下方链接。
(https://mp.weixin.qq.com/s/5eqwgY8kgwS9kRnsJnGReg)
关于APP侵害用户权益问题的通报(2025年第二批)
辽宁省通信管理局本次通报15款App因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题为:违规收集个人信息、超范围收集个人信息、违规使用个人信息、App强制、频繁、过度索取权限等4类问题,具体详情可查阅下方链接。
(https://lnca.miit.gov.cn/zwgk/tzgg/art/2026/art_892c150827d143abb1039f2e0a29a719.html关于侵害用户权益行为的APP(SDK)通报)
关于侵害用户权益行为的APP(SDK)通报(2026年第1批,总第54批)
中华人民共和国工业和信息化部本次通报 22 款 App/SDK 因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题集中在:违规收集个人信息、超范围收集个人信息、违规使用个人信息、强制自动续费、未明示收集个人信息清单、信息窗口点击乱跳转、APP 强制、频繁、过度索取权限、SDK 信息公示不到位等 8 类问题,具体详情可查阅下方链接。
(https://wap.miit.gov.cn/jgsj/xgj/gzdt/art/2026/art_8660aeb3811449039266f89436b2c35f.html)
北京市通信管理局关于问题移动互联网应用程序的通报(2026年第一期)
北京市通信管理局本次通报 9 款存在违法违规收集使用个人信息问题的移动互联网应用程序(含 App 及小程序)。通报问题集中在:未公开收集使用规则、未明示收集使用个人信息的目的、方式和范围、未经用户同意收集使用个人信息、违反必要原则收集个人信息、账号注销难、应用数据任意备份风险、强制用户使用定向推送功能、未公布个人信息安全投诉、举报渠道等 8 类问题,具体详情可查阅下方链接。
(https://bjca.miit.gov.cn/zwgk/tzgg/art/2026/art_345dfd2a9186492b8ecd6273d9a6aa9a.html)
辽宁省通信管理局关于下架5款侵害用户权益APP的通报
辽宁省通信管理局本次下架5款App因违法违规收集使用个人信息且未在规定时间内完成整改。下架问题集中在:违规收集个人信息、APP强制、频繁、过度索取权限等2类问题,具体详情可查阅下方链接。
(https://lnca.miit.gov.cn/zwgk/tzgg/art/2026/art_5309e35f0aa0420ba03b3a0dcfcdc094.html浙江省通信管理局)
浙江省通信管理局关于侵害用户权益行为的APP(小程序)通报(2025年第12批)
浙江省通信管理局本次通报 11 款 App 及小程序因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题集中在:违规收集个人信息、超范围收集个人信息、违规使用个人信息、APP 频繁自启动和关联启动等 4 类问题,具体详情可查阅下方链接。
(https://zjca.miit.gov.cn/zwgk/tzgg/art/2026/art_e2bb002c8d454ffcaf42a0391f96f0c9.html)
