问题—— 《个人信息保护法》施行以来,有关部门持续推进个人信息保护执法与治理,加大对过度收集、违规共享、泄露倒卖等行为的查处力度,取得一定成效。但随着移动互联网服务深度融入生活,个人信息处理呈现跨链路、跨平台、跨主体的特点,一些领域仍存“规则不透明、权限索取过多、退出困难、管理薄弱”等问题。此次专项行动将App及其嵌入的SDK、互联网广告链条,以及教育、交通等高频场景列为治理重点,回应群众反映集中的突出问题。 在App、SDK领域,重点整治未公开收集使用规则、账号注销不畅、投诉举报渠道缺失等基础合规短板;整治告知不完整不准确、宣称用途与实际收集不一致等“表里不一”行为;整治未经同意收集、以服务为由强制同意非必要信息等“变相强制”;整治超范围收集位置、通讯录、短信等敏感信息,以及超最低必要频率调用权限等“过度索取”。 在互联网广告领域,治理对象覆盖广告中介平台、媒体端等关键环节,重点纠治超范围收集;纠治未在处理规则中明确将信息用于广告投放、用户画像等用途,或未清晰列明向第三方提供信息的种类、目的、方式、接收方等不透明做法;纠治更正、删除、拒绝处理等权利行使渠道不便、功能不健全问题;规范自动化决策广告推送,要求提供清晰、可访问、可操作的个性化推荐关闭选项,并重点治理“关闭后仍继续收集”、缺少删除标签等问题;同时强化内部安全管理、访问控制与对外提供管理,督促落实必要的技术防护措施。 在教育领域,专项行动突出未成年人保护。对处理不满十四周岁未成年人信息未制定专门规则、未取得监护人同意等行为从严治理;对教育机构网站、App过度收集位置、学籍等信息,以及收集家长身份证号、职业等与教育服务无关信息的做法重点纠偏;整治校外培训机构向第三方提供个人信息却不告知、不征得同意的问题;规范“可采用非人脸方式验证却将人脸识别设为唯一方式”以及未落实有关安全管理要求的情形;同时推动学校和机构完善制度与措施,降低泄露风险。 在交通领域,治理覆盖公路、水路、铁路、民航及票务代理、线上出行购票平台、邮政快递企业、公共停车管理平台等。重点整治在无关场景收集位置、通讯录等信息以及调用麦克风、存储等权限的行为;整治公共停车扫码缴费等环节强制注册登录、强制收集手机号等做法;整治向票务代理等第三方提供个人信息却不告知、不取得同意的问题;对快递、出行平台泄露联系方式、家庭地址、行程信息等突出风险加大治理力度。 原因—— 上述问题的出现,既受商业模式驱动,也与治理链条较长、责任边界不清有关。一上,部分平台以精准营销、画像分析、风控建模为目标,倾向于“多收集、多留存、多使用”,把用户数据当作竞争资源;另一方面,SDK广泛嵌入容易带来“隐蔽收集”,信息开发者、第三方服务商、广告中介之间流转,用户难以感知、也难以追溯。此外,一些单位对合规要求理解不到位,内部权限管理、数据分类分级、日志审计、加密脱敏等安全能力薄弱,形成“能用就用、能存就存”的惯性,风险随之累积。教育、交通等公共服务场景往往涉及未成年人、行程轨迹、家庭住址等高敏感信息,一旦制度不健全或外包链条管理不严,更容易埋下泄露隐患。 影响—— 个人信息权益事关群众切身利益。违规收集使用不仅侵害个人知情权、选择权与删除权,也可能诱发精准诈骗、骚扰营销、身份冒用等次生风险,削弱社会信任,影响数字经济的健康发展。对企业和机构而言,合规缺位会带来声誉受损、用户流失和治理成本上升;对行业生态而言,不透明的数据流通可能造成“劣币驱逐良币”,抑制创新活力。此次专项行动以问题为导向,既回应社会关切,也有助于推动平台经济和数据要素市场在规范中发展。 对策—— 专项行动强调“查处+整改+提升”并重,突出全链条治理:一是压实主体责任,推动个人信息处理者完善规则公开、最小必要、目的限定、期限管理等基本制度,补齐账号注销、投诉举报、用户权利行使等功能;二是提升告知与同意的真实性和可理解性,防止默认勾选、捆绑授权、反复弹窗等变相强迫;三是加强第三方管理,向合作方提供数据前应清晰告知并取得同意,同时完善合同约束、接口权限、审计追溯与违规处置机制;四是针对个性化推荐、自动化决策等重点技术应用,推动“可关闭、可解释、可退出”,重点整治“关不掉”“关了还收”;五是补强安全能力,完善访问控制、最小权限、加密存储、脱敏处理与异常监测,降低内部滥用与外部攻击风险;六是聚焦重点群体与重点数据,强化未成年人信息以及行程、住址等敏感信息保护,推动教育、交通等领域形成可落地的规范流程。 前景—— 从长远看,个人信息保护将由“集中整治”逐步走向“常态治理”。一上,跨部门协同将更加强,围绕App生态、广告链条和第三方SDK形成更完整的监管闭环;另一方面,企业合规能力将成为核心竞争力之一,面向用户的透明规则、简洁授权、可控推荐和便捷退出将成为产品设计的基本要求。随着治理持续推进,数据流通有望在更清晰的边界内实现“可用不可滥用”,在保障安全与隐私的前提下释放数字化服务的便利与效率。
个人信息保护既关乎每个人的切身利益,也关系数字经济的长期发展;以专项行动为抓手,推动各类机构把合规要求落实到产品设计、运营管理和安全技术各环节,才能在便利与安全之间建立更稳固的平衡,让数字化发展成果更公平、更可持续地惠及群众。