应用程序收集个人信息的治理工作正持续推进中。

　　5月6日，中央网信办对15款App和16款SDK（软件开发工具包，一般都是一些软件工程师为特定的软件包、软件框架、硬件平台、操作系统等建立应用软件时的开发工具的集合）个人信息收集使用问题进行通报，其中，墨迹天气TV版、医家、企鹅天气等15款App存在未逐一列出收集使用个人信息的SDK，未准确列出SDK收集使用个人信息的目的、方式、范围等问题。另外还有CTP穿透采集、金仕达穿透采集、传漾广告、西瓜影音等16款SDK收集使用个人信息，存在未提供个人信息收集使用规则，未说明自行或协助App响应用户个人信息权利请求的措施，未及时响应用户个人信息投诉举报这些权利请求的问题。

　　中国信息协会信息安全专业委员会数据鉴证工作部主任毛立明对《中国经营报》记者表示，15款App与16款SDK存在个人信息处理透明度不足与SDK治理失效及投诉服务处理响应不及时等问题，反映出多重安全漏洞与风险。App未列明SDK清单、说明收集目的范围，致使用户知情权受损，如SDK可能收集无关信息、通过技术手段窃取数据，形成隐蔽数据流，增加用户被攻击风险，违反个人信息保护法，还可能成为黑灰产素材。SDK未提供收集规则、未响应用户权利请求，加剧数据滥用和合规风险，如敏感信息滞留、数据用途不明、跨境传输至不受监管服务器等。部分SDK通过漏洞提权获取高敏感权限扩大攻击面，碎片化数据聚合可能突破匿名化保护，威胁用户隐私安全。这些均违反相关法律法规，使用户容易受精准诈骗等侵害。

　　记者还留意到，此次通报的不乏多款知名App及运营商，如墨迹天气TV版、有道精品课、途虎养车等，其运营者分别是北京墨迹风云科技股份有限公司、网易有道信息技术（北京）有限公司、上海阑途信息技术有限公司等。

　　多款知名产品上榜

　　记者留意到，此次通报的15款App涵盖食、住、行、教育、医疗等多个生活领域，都与人们的日常生活息息相关，如墨迹天气TV版、企鹅天气预报属天气类软件，天津公交、烟台出行关联人们出行，21cake涉及食品购买，医家与医疗健康相关，亲邻开门涉及居住社区，学霸在线、有道精品课涉及教育，反映出这些App在人们日常生活中应用的广泛性。其中，多款软件还是知名App及运营商。

　　所有SDK均涉及用户个人信息采集，而从16款被点名的SDK来看，则涵盖了金融交易、广告追踪、音视频通信等高敏感场景，包括金融（如CTP穿透采集、金仕达穿透采集）、广告（传漾广告）、数据分析（LinkedME、Mercury）、视频（西瓜影音）、物联网（机智云）、信息聚合（聚合渠道）、通讯（声网、U8、融云IM/Rtc）、直播（CC视频云直播）、数字营销（数美）、认证（枫岚互联、免密认证）等领域。

　　其中，北京墨迹风云科技股份有限公司运营的墨迹天气TV版1.3.8版本被通报，该App存在的主要问题是，未逐一列出收集使用个人信息的SDK。公开资料显示，墨迹天气是一款国民级天气服务应用，在全球拥有7亿用户。

　　不过，墨迹天气合规中心人员在接受记者采访时强调，7亿用户指的是手机版（移动版）的用户量，手机版和TV版是两个独立App，TV版不是公司主营的产品。

　　对于为何相较于手机版，TV版会出现未逐一列出收集使用个人信息的SDK相关问题情况的质疑，上述墨迹天气合规中心人员对记者解释，可能涉及技术问题，但公司会按照网信办要求进行整改。

　　此外，网易有道信息技术（北京）有限公司运营的有道精品课6.8.2版本被通报，上海阑途信息技术有限公司运营的途虎养车7.10.5版本也被通报。前者有道精品课App是网易有道旗下初高中在线学习平台，网易有道作为知名的互联网企业，旗下该App在教育领域也具有较高的知名度。途虎养车是国内领先的汽车养护品牌，黄渤是其品牌代言人。这两个App存在的主要问题是，未准确列出SDK收集使用个人信息的目的、方式、范围。

　　普通用户对数美不熟悉，但数美属于技术细分赛道的知名服务商，数美SDK主要应用于智能业务风控和内容安全等领域，其利用人工智能、大数据和全栈式风控模型，为金融、互联网、营销等行业提供反欺诈、内容审核及用户隐私保护等服务。

　　北京微方程科技有限公司运营的LinkedME在数据分析和营销领域也有一定的知名度。

　　网经社电子商务研究中心数字生活分析师陈礼腾对记者表示，此次通报的产品中有不少知名App及运营商。其一，这反映出部分头部企业存在合规意识与能力不匹配的情况，虽有技术资源，但因业务扩张或管理疏漏，忽略了合规细节。其二，在监管日益严格的大背景下，典型示范作用显著，网信办选择通报知名企业，打破了公众“大企业更安全”的固有认知，促使行业形成“合规即竞争力”的共识。此外，SDK提供商的违规行为也暴露出App运营者对第三方组件审查不力的问题，未来应强化“责任共担”机制，比如要求SDK通过安全认证后再接入。

　　陈礼腾对记者分析，数据收集透明度缺失是核心漏洞之一，部分App未逐一列出嵌入的SDK，也未明确说明收集个人信息的目的、方式和范围，这直接违反了个人信息保护法中的“告知—同意”原则。用户无法知晓数据流向，为SDK暗中采集设备指纹、位置等敏感信息提供了可乘之机，甚至可能引发非法数据共享或滥用。同时，最小必要原则的失效进一步加剧了风险，例如天气类App索取通讯录权限等超范围收集行为，可能通过SDK过度索权扩大数据采集范围，增加用户隐私暴露面。此外，SDK集成风险不容忽视，第三方SDK可能成为攻击入口，若未通过安全审计，可能存在恶意代码或漏洞（如未加密传输），导致用户数据在传输或存储过程中被窃取。最后，权利响应机制缺位使得用户无法有效行使删除权、更正权等个人信息权利，一旦发生数据泄露，用户难以及时止损，企业也面临合规处罚风险。

　　部分App已整改、部分App尚未更新

　　对于15款App和16款SDK存在的个人信息收集使用问题，中央网信办秘书局明确要求相关App和SDK运营者应当于5月6日通报发布之日起的15个工作日内完成整改。

　　记者在墨迹天气官方网站上看到，目前该应用TV版本可支持下载版本还为TV 1.1.1版本，发布日期为2017年1月6日。

　　上述墨迹天气合规中心人员对记者表示，目前公司还没有联系到网信办，尚未了解要如何整改，但会严格按照网信办的要求和标准进行整改，最终整改方案将会给到网信办，网信办通过之后，公司会对App进行整改。

　　截至5月7日下午，记者在OPPO、vivo、小米、华为手机应用商店上看到，途虎养车已经将App版本更新至了7.21.1版本，更新时间为2025年5月7日，该版本的隐私政策已经列明软件收集、使用信息的目的、方式、范围和使用规则。

　　然而，有道精品课App在各大手机应用商店的软件版本仍停留在6.8.2版本，21cake App仍停留在3.6.2版本。OPPO手机应用商店中，医家App在两个月前应用更新至5.6.0版本，在vivo应用商店中，医家App还在5.5.43版本，更新时间是2024年9月19日。

　　对于本次通报中涉及的App个人信息收集使用问题及具体整改进度和后续在信息保护方面的合规规划，记者向途虎养车、有道精品课等相关公司进行了邮件采访，截至发稿未获得回复。

　　毛立明认为，部分行业企业或因对法律法规理解与实操经验不足，需强化学习整改，或在合规成本与数据利用收益间存在投机心理。实际上，个人信息数据合规意义重大，它既关系到用户权益保障与风险防范，也关乎企业本身，包括法律责任风险、监管处罚成本导致的运营损失以及用户、合作伙伴信誉受损等方面的风险与成本，企业不应舍本逐末、因小失大。

　　陈礼腾建议，企业应在App和SDK开发阶段贯彻隐私设计原则，将数据最小化、加密存储等要求融入架构设计，建立SDK安全评估体系，采用权限动态管理机制，按需申请权限。运营阶段需部署监控系统实时监测异常数据访问行为，定期开展合规审计，建立用户权利响应系统，自动化处理删除、更正等请求，以确保用户权利得到充分保障。

（文章来源：中国经营网）