嘉佑安科2025年2月隐私合规月报
发布时间:2025-03-05 09:19:31
在当今数字化时代,个人信息的保护已成为全社会关注的焦点。随着数据流量的不断增长和信息技术的飞速发展,个人隐私面临着前所未有的挑战。厦门嘉佑安科信息技术有限公司作为一家专注移动应用隐私合规检测、安全检测、安全加固业务的安全服务商,始终秉持社会责任与法律意识的企业,且深知个人隐私合规工作的重要性。本月,我们全面梳理并整理分析2025年2月期间,App隐私合规领域的新政策、新法规、新动态以及违规通报资讯信息,助力企业明确合规要求,掌握监管重点推动企业移动应用合规安全建设,同时为相关从业者提供有价值的参考和指导。
一、政策法规速递
《自由贸易试验区数据出境负面清单管理办法、负面清单》
内容总结:本文是关于中国(上海)自由贸易试验区及临港新片区数据出境负面清单管理办法的详细说明,旨在保障国家数据安全和个人信息权益,规范数据依法有序出境。办法明确了适用范围、工作机制与职责、负面清单实施与管理、数据出境促进措施及监督管理等方面的内容。
链接:上海市网信办等五部门关于印发自由贸易试验区数据出境负面清单管理办法、负面清单(2024版)的通知
《公共安全视频图像信息系统管理条例-团体标》(2025年4月1日正式实施)
内容总结:规范了公共安全视频图像信息系统的管理,明确了系统的定义、安装要求、禁止安装区域、管理责任、信息使用与保护、处罚措施、法律责任等内容,旨在维护公共安全,同时确保个人隐私和个人信息权益得到保护。
链接:公共安全视频图像信息系统管理条例_国务院文件_中国政府网
《未成年人个人信息网络保护要求-团体标》(2025年2月10日正式实施)
内容总结:《未成年人个人信息网络保护要求-团体标》系列标准,旨在全面规范网络产品和服务提供者及分发平台在处理未成年人个人信息时的行为。该系列标准分为六个部分,分别针对身份核验、最小必要原则、个人权利响应、合规审计、应急响应保障及分发平台管理提出了具体要求。
《软件开发工具包(SDK)用户权益和个人信息保护技术要求-团体标》(2025年2月10日正式实施)
内容总结:软件开发工具包(SDK)用户权益和个人信息保护技术要求涵盖了广告类、推送类、地图类、支付类以及统计类SDK的相关规范。这些要求详细规定了SDK在个人信息处理、用户权益保护以及业务功能划分及配置能力提供方面的具体做法,旨在确保SDK开发运营者规范自身个人信息处理活动,保护用户权益。
链接:《软件开发工具包(SDK)用户权益和个人信息保护技术要求-团体标》标准发布
《生成式人工智能个人信息保护技术要求-团体标》(2025年2月10日正式实施)
内容总结:《生成式人工智能个人信息保护技术要求》系列标准,该系列标准涵盖了生成式人工智能在个人信息保护方面的全方位技术要求,包括训练数据构建、输出阶段管理、个人权利响应、二次开发管理等多个环节。
链接:《生成式人工智能个人信息保护技术要求-团体标》标准发布
《个人信息保护合规审计管理办法》(2025年5月1日正式实施)
内容总结:规范了个人信息保护合规审计活动、保护个人信息权益而制定的管理办法,包括个人信息保护合规审计的定义、适用范围、审计要求、专业机构的职责、审计内容以及违规处理等内容。
链接:个人信息保护合规审计管理办法_中央网络安全和信息化委员会办公室
二、动态热点
某大型超市因强制收集面容信息被起诉立案
主要内容:一名法学研究生指出,某大型零售超市在会员注册流程中要求消费者上传真实人脸照片,且在线下门店消费时必须通过人脸识别验证身份,此举被认为涉嫌违反《中华人民共和国个人信息保护法》中关于个人信息处理的“必要性与最小化原则”,并同时触犯了《中华人民共和国消费者权益保护法》中有关消费者自主选择权和公平交易权的规定。鉴于此,该研究生向当地法院提起诉讼,要求超市提供除人脸识别外的其他身份验证方式,并公开致歉。此案件已由法院正式立案,引起了社会对于个人信息保护及消费者权益保障问题的广泛关注与讨论。
泄露百万用户数据,这家医疗公司赔偿超5000万元
主要内容:因软件供应商Fortra旗下GoAnywhere的零日漏洞被勒索软件团伙Clop利用,美国虚拟精神健康服务提供商Brightline遭遇数据泄露事件,导致约100万用户数据外泄。Brightline因此被判赔偿用户超5000万元人民币(700万美元),每位符合条件的集体诉讼成员可申请最高5000美元赔偿或选择100美元现金赔偿及信用监控服务。此次事件还引发了针对Fortra的多起诉讼,突显了网络安全事件对企业和用户信息的巨大威胁。
链接:泄露百万用户数据,这家医疗公司赔偿超5000万元 - 安全内参 | 决策者的网络安全知识库
因网络安全合规造假,这家军品供应商被罚超8000万元
主要内容:一家为美国军方医疗系统提供支持的联邦承包商,因被指控在2015年至2018年期间虚假认证符合联邦网络安全标准,未能及时扫描漏洞和修复安全缺陷,被罚款超过8000万元人民币(1125万美元)。此事件体现了美国政府加大对联邦承包商网络安全违规行为的执法力度,旨在确保供应商承担更大的网络安全责任。
链接:因网络安全合规造假,这家军品供应商被罚超8000万元 - 安全内参 | 决策者的网络安全知识库
小心金融App“有鬼”,有平台仿冒上千次,最新套路揭秘
主要内容:近期,金融“李鬼”App问题抬头,不法分子通过仿冒正规金融App实施诈骗,不仅在外观上高度相似,还采取多种推广手段诱导用户下载并骗取钱财或个人信息。尽管已有多方围堵,但此类诈骗仍频发,给金融消费者带来巨大损失。业内呼吁进一步完善监管机制,加强对App上架审核和运营过程的全方位监管,提高违法成本,以保障用户财产和信息安全。
链接:小心金融App“有鬼”,有平台仿冒上千次,最新套路揭秘|金融App_新浪财经_新浪网
美国医院姐妹健康系统遭遇数据泄露,88.2万患者信息被曝光
主要内容:美国医院姐妹健康系统(HSHS)遭遇网络攻击,导致超过88.2万名患者的个人健康信息泄露,包括姓名、地址、出生日期、病历号等敏感信息。攻击还导致HSHS系统广泛中断,医院操作系统和电话系统瘫痪。尽管攻击具有勒索软件特征,但尚无组织声称负责。HSHS已聘请外部专家调查并恢复系统,并为受影响患者提供一年免费信用监控服务。此事件再次凸显了医疗系统面临的网络安全威胁。
链接:美国医院姐妹健康系统遭遇数据泄露,88.2万患者信息被曝光 - 安全内参 | 决策者的网络安全知识库
隐私可能被窃取 小心AI伴侣背后的“温柔陷阱”
主要内容:随着AI伴侣应用的流行,用户在享受其带来的情感支持时,也面临着隐私被窃取、滥用以及身心健康受损等法律风险。AI伴侣在未经用户明确同意的情况下收集个人信息,如地理位置、人脸识别数据等,存在隐私泄露风险。此外,过度依赖AI伴侣可能影响用户身心健康,且AI伴侣可能传播违法和不良信息。同时,AI伴侣的不当使用还可能侵犯他人的名誉权和肖像权,引发法律纠纷。因此,开发者和用户均需提高法律意识,加强数据保护和隐私管理,确保AI伴侣的合法合规使用。
链接:隐私可能被窃取 小心AI伴侣背后的“温柔陷阱”|使用者|隐私权|应用程序|个人信息_网易订阅
苹果被韩国罚款24.5亿韩元:涉非法获取和传输用户数据
主要内容:韩国个人信息保护委员会(PIPC)对苹果公司和卡卡奥支付因非法获取和传输用户数据的行为进行处罚,苹果公司被罚款24.5亿韩元(约合1240.9万元人民币),卡卡奥支付被罚款59.68亿韩元(约合3022.8万元人民币)。据调查,卡卡奥支付在未经用户明确同意的情况下,向苹果公司提供了约4000万用户的个人信息,包括敏感数据和资金相关数据,且传输次数高达约542亿次。两家公司的行为严重违反了韩国的个人信息保护法,PIPC要求它们进行整改并公开相关事实。苹果公司对此表示不知情,但PIPC对其回应表示不满。
链接:苹果被韩国罚款24.5亿韩元:涉非法获取和传输用户数据
深圳市中级人民法院:用户授权第三方平台获取本人个人数据并不当然导致第三方平台的数据获取行为免责
深圳市中级人民法院审理了一起不正当竞争纠纷案,判决指出,用户授权第三方平台获取其个人数据,并不当然导致第三方平台的数据获取行为免责。此案涉及北京淘某有限公司与深圳小某本有限公司之间的纠纷,法院通过一审民事判决书详细阐述了相关法律依据和判决理由,强调了数据获取行为的合法性和合规性要求。
链接:深圳市中级人民法院:用户授权第三方平台获取本人个人数据并不当然导致第三方平台的数据获取行为免责(附一审民事判决书全文)
三、监管通报
通过研究监管通报,可以了解监管机构对App的关注重点和执法尺度,从而判断自己的App是否存在类似的问题,及时进行整改。
嘉佑安科监测到中华人民共和国国家互联网信息办公室、国家计算机病毒应急处理中心、各地通信管理局等10家监管公开通报/下架共计175款移动应用,详细数据见下表:
通报应用类型分布情况
根据2025年2月国家监管机构的最新通报数据,问题频发的“实用工具类”App数量相较于排名第二的“网络购物类”App,呈现出显著的激增态势,差距悬殊。App通报应用类型Top10的分布概览图如下所示:
通报问题类型分布情况
根据2025年2月国家监管通报的数据,违规收集个人信息和未向用户提供有效的账号注销功能问题尤为突出。App通报问题类型Top10的分布概览图如下所示:
安徽省通信管理局关于侵害用户权益App的通报(2025年第1批)
安徽省通信管理局通报本次通报5款App因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题集中在:存在违规收集个人信息、超范围收集、违规使用及强制/频繁/过度索取权限等4类问题,具体详情可查阅下方链接。
链接:安徽省通信管理局关于侵害用户权益App的通报(2025年第1批)
上海市通信管理局关于侵害用户权益行为App的通报(2025年第一批)
上海市通信管理局通报本次通报31款App因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题集中在:违规收集个人信息、未见明示SDK、未明示个人信息处理规则、App强制、频繁、过度索取权限、超范围收集个人信息、未公开收集使用规则、自启动和关联自启动等7类问题,具体详情可查阅下方链接。
链接:上海市通信管理局关于侵害用户权益行为App的通报(2025年第一批)
陕西省通信管理局关于下架3款侵害用户权益App的通报
陕西省通信管理局通报本次通报3款App因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题集中在:违规使用个人信息、强制用户使用定向推送功能、违规使用个人信息等3类问题,具体详情可查阅下方链接。
广东省通信管理局公开通报12款未按要求完成整改App/小程序
广东省通信管理局通报本次通报12款App/小程序因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题集中在:违规收集个人信息、违规使用个人信息、账号注销难、超范围收集个人信息、App强制/频繁/过度索取权限、欺骗误导强迫用户等6类问题,具体详情可查阅下方链接。
链接:广东省通信管理局公开通报12款未按要求完成整改App/小程序
国家计算机病毒应急处理中心监测发现14款违规移动应用
国家计算机病毒应急处理中心本次通报14款App/小程序因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题集中在:隐私政策未逐一列出App收集使用个人信息的目的/方式/范围、个人信息处理者在处理个人信息前,未以显著方式、清晰易懂的语言真实/准确/完整地向个人告知个人信息处理者的名称或者姓名/联系方式/个人信息的保存期限、未向用户提供撤回同意收集个人信息的途径/方式、个人信息处理者处理不满十四周岁未成年人个人信息的未制定专门的个人信息处理规则,收集未成年人信息未取得监护人单独同意、个人信息处理者向其他个人信息处理者提供其处理的个人信息的,未向个人告知接收方的名称或者姓名/联系方式/处理目的、处理方式和个人信息的种类,并取得个人的单独同意、处理敏感个人信息未取得个人的单独同意、个人信息处理者未根据个人信息的处理目的/处理方式/个人信息的种类以及对个人权益的影响/可能存在的安全风险,采取相应的加密/去标识化等安全技术措施等7类问题,具体详情可查阅下方链接。
国家网信办依法集中查处一批侵害个人信息权益的违法违规App
国家网信办本次通报82款App/小程序因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题集中在:未提供有效的用户账号注销功能、无用户账号注销功能、用户账号注销承诺时限超出15个工作日、为用户账号注销设置不合理条件、隐私政策无法打开、未在承诺时限内完成用户账号注销、无隐私政策、无用户账号注销功能、未在15个工作日内完成用户账号注销等8类问题,具体详情可查阅下方链接。
链接:国家网信办依法集中查处一批侵害个人信息权益的违法违规App_中央网络安全和信息化委员会办公室
江苏省通信管理局关于侵害用户权益行为App的通报(2025年第1批)
江苏省通信管理局本次通报20款App因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题集中在:违规收集个人信息、超范围收集个人信息、APP强制/频繁/过度索取权限、强制用户使用定向推送功能、违规使用个人信息、APP频繁自启动和关联启动等6类问题,具体详情可查阅下方链接。
链接:江苏省通信管理局关于侵害用户权益行为APP的通报(2025年第1批)
浙江省通信管理局通报2款侵害用户权益行为的APP(2025年第1批)
浙江省通信管理局本次通报2款App因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题集中在:违规收集个人信息、超范围收集个人信息等2类问题,具体详情可查阅下方链接。
链接:浙江省通信管理局通报2款侵害用户权益行为的APP(2025年第1批)
关于川渝两地侵害用户权益App名单的通报(2025年第二期)
四川省通信管理局和重庆市通信管理局本次通报6款App因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题集中在:违规收集个人信息、超范围收集个人信息、未明示个人信息处理规则等3类问题,具体详情可查阅下方链接。
