嘉佑安科

You观察--隐私合规月报（2025年5月刊）

发布时间：2025-06-10 10:35:31

在当今数字化时代，个人信息的保护已成为全社会关注的焦点。随着数据流量的不断增长和信息技术的飞速发展，个人隐私面临着前所未有的挑战。厦门嘉佑安科信息技术有限公司作为一家专注移动应用隐私合规检测、安全检测、安全加固业务的安全服务商，始终秉持社会责任与法律意识的企业，且深知个人隐私合规工作的重要性。

本期，我们全面梳理并分析2025年5月期间App隐私合规领域的新政策、新法规、新动态以及违规通报资讯信息，助力企业明确合规要求，掌握监管重点推动企业移动应用合规安全建设，同时为相关从业者提供有价值的参考和指导。

一、政策法规速递

《中国人民银行业务领域数据安全管理办法》

内容总结：旨在规范金融机构及相关主体在货币信贷、支付清算等业务领域的数据安全管理。办法要求建立数据分类分级制度，将业务数据分为一般、重要、核心三级，明确目录动态管理。数据处理者需履行全流程安全保护义务，涵盖收集、存储、使用等环节。办法强调协同监管机制，鼓励合规创新，对违规行为明确法律责任，同时划定例外豁免情形，平衡安全与业务需求。

链接：http://www.pbc.gov.cn/tiaofasi/144941/144957/5702602/index.html

《T/TAF 120—2025 移动终端未成年人保护技术要求》

内容总结：旨在规范移动终端未成年人保护技术。标准要求建立分龄保护机制，针对不同年龄段未成年人设置差异化使用时长、内容过滤及蓝光防护。终端需支持家长通过密码、指纹等方式统一管控，限制应用安装与使用时段，并具备防绕过功能。同时要求强化应急通信功能，并通过生物识别技术提升认证安全性。

链接：https://taf.org.cn/StdDetail.aspx?uid=1fa6f369-3032-4521-bfd8-30f5567b4ea9&stdType=TAF

《T/TAF 278—2025 移动应用支付无障碍技术要求》

内容总结：规范移动支付应用无障碍设计，要求支持屏幕阅读器、语音导航等辅助功能，简化支付流程（如一键支付、常用地址记忆），兼容主流无障碍设备。需提供清晰语音 / 文字错误提示，支持生物识别与人工辅助验证结合，确保视障、听障等用户支付安全便捷，覆盖小额免密等场景的无障碍适配。

链接：https://taf.org.cn/StdDetail.aspx?uid=fd1f5a47-6fb3-477c-8ded-d8ad0dac996b&stdType=TAF

《T/TAF 279—2025 移动应用支付适老化技术要求》

内容总结：规范移动应用支付适老化设计，从可感知、操作等五方面适配老年人。要求支付流程可视化、有反馈及回退功能，简化步骤，禁默认免密，支持多样支付与验证方式，保障充足操作时间。强化数据安全、风险提示，设交易撤回机制，订阅服务提前提醒，客服一键接入人工服务。

链接：https://taf.org.cn/StdDetail.aspx?uid=dfd27f7b-d8dc-4e4e-b8f6-1dc02c8b07bd&stdType=TAF

《T/TAF 280—2025 地图导航移动应用无障碍技术要求》

内容总结：规范应用及小程序无障碍功能，从可感知、操作、理解、兼容四方面设计，界面简洁少弹窗，显示无障碍设施。支持语音输入（含方言）、可调节语音输出，有多种提示反馈。提供无障碍路线规划与导航提醒，客服支持语音、文字等方式助残障用户。

链接：https://taf.org.cn/StdDetail.aspx?uid=902f917d-cfac-4b8c-b88a-739d360abf89&stdType=TAF

《T/TAF 281—2025 地图导航移动应用适老化技术要求》

内容总结：规范地图导航移动应用适老化设计，从可感知、操作等五方面出发，要求界面直观、操作简化（≤3 步），地图信息简洁易读（字体图标放大不影响布局），路线规划直观，语音导航准确且支持方言，智能搜索兼容文/语音（含方言），支持屏幕阅读器等辅助工具，保障位置共享安全并设紧急联系人一键拨号。

链接：https://taf.org.cn/StdDetail.aspx?uid=bc4f4d04-6ea4-48f6-897b-d2aa44b2e039&stdType=TAF

《数据安全技术敏感个人信息处理安全要求》

内容总结：要求处理敏感个人信息遵循合法正当必要原则，需单独同意并明确告知。采用加密、访问控制等技术，动态监控外发渠道。生物识别需提供替代方案，金融信息加密且不存敏感数据。定期审计并保存评估报告三年，跨境需安全评估或标准合同，禁将残障人士信息用于画像，保障查询更正删除权益。

链接：https://std.samr.gov.cn/gb/search/gbDetailed?id=33D40F1161155D92E06397BE0A0A5B93

《网络安全技术网络安全保险应用指南》

内容总结：明确网络安全保险各方责任，覆盖投保前风险评估、保险期风险控制及出险后事件评估全流程。保障恶意程序、网络攻击等导致的营业中断、数据恢复等损失，要求组织与保险机构协作，通过风险量化、动态监测管理，理赔遵流程保数据安全，适用于企投保及保险业务。

链接：https://std.samr.gov.cn/gb/search/gbDetailed?id=02DD9E1EB834A80DE06397BE0A0A9C1A

《数据安全技术数据安全风险评估方法》

内容总结：要求通过系统化流程，对数据资产、威胁、脆弱性评估及风险量化，定性定量结合覆盖全生命周期，动态划分风险等级并制定应对策略。每年至少评估一次，重大变更或事件需及时复评，结合数据分类分级形成报告，确保合规与技术防护有效。

链接：https://openstd.samr.gov.cn/bzgk/std/newGbInfo?hcno=71923A8E691AC036E819300BEF9FD986

《网络安全技术生成式人工智能服务安全基本要求》

内容总结：要求境内服务提供者确保语料合法合规，过滤违法内容并保护知识产权，模型需防御对抗攻击，生成内容应标注标识。实施数据分类分级管理，跨境传输需安全评估或标准合同，定期开展安全评估并备案，提供关闭训练功能，保障用户权益，防范未成年人沉迷。

链接：https://std.samr.gov.cn/gb/search/gbDetailed?id=19BC8A952E4584E8E06397BE0A0AA28D

《网络安全技术生成式人工智能预训练和优化训练数据安全规范》

内容总结：要求训练数据来源合法（如开源许可、自采记录），内容需过滤违法信息且违法比例≤5%，实施分类分级管理并确保跨境传输安全评估。需建立数据访问控制、日志审计机制，定期开展安全评估并备案，生成内容需通过安全测试（敏感问题拒答率≥95%）。

链接：https://std.samr.gov.cn/gb/search/gbDetailed?id=33D40F1160BE5D92E06397BE0A0A5B93

《网络安全技术生成式人工智能数据标注安全规范》

内容总结：明确标注平台需安全评估与日志记录，规则分功能与安全类并含风险识别示例，人员需培训考核且角色分离（执行与审核不兼任），核验要求安全标注占比≥3%、不合格超 5% 批次作废，涵盖平台、规则、人员、核验的安全评价方法。

链接：https://openstd.samr.gov.cn/bzgk/std/newGbInfo?hcno=407584DD0FA2BA19E62E85D3469290B0

二、动态热点

迪奥证实中国用户数据遭泄露，称不涉及银行账户等财务信息

5月12日晚，迪奥（Dior）向中国用户短信证实发生数据泄露，涉及姓名、手机号、地址、消费偏好等信息，但不包含财务数据。迪奥称 5 月 7 日发现未经授权的外部访问，已启动调查、加强系统安全并向监管部门报备，建议用户警惕可疑通信。这是迪奥今年第二次数据安全事件，此前 2 月其 Instagram 账号曾被黑发布虚假代币诈骗信息。

链接：https://mp.weixin.qq.com/s/PVfUXN_CxL5ZLlQq4rZwfA

不刷脸不给买药，“刷脸结算”成医药机构考核指标？

近期江苏无锡、上海普陀等地出现医保结算 “强制刷脸” 现象，部分机构因电子医保码结算率与绩效挂钩，关闭实体卡功能或引导刷脸。刷脸涉及采集敏感人脸信息，而 2024 年无锡医保局推进 “刷脸城市” 初衷是便利特殊群体。法律规定，《人脸识别技术应用安全管理办法》明确采集需单独同意，当事人可拒绝，机构应提供实体卡等替代方式，保障用户合法权益。

链接：https://www.21jingji.com/article/20250513/herald/3f9f124153295c80c37b1c6e7a3c6aa0.html

Temu因违规数据跨境等被韩国PIPC罚款约700万元

韩国个人信息保护委员会于 5 月 14 日对跨境电商平台 TEMU 处以 13.69 亿韩元（约 700 万元人民币）罚款及 1760 万韩元逾期加罚款，因其违反《个人信息保护法》，涉及跨境传输用户信息未公开、无法律依据收集卖家身份证及面部信息等问题。TEMU 被责令整改，包括公开数据处理流程、加强受托方监管，并建议指定国内法人作为代理人以强化责任。此外，韩国发布中文版本法律指南，指导中国企业合规。TEMU 在调查中已销毁相关敏感信息并改进隐私政策。

链接：https://www.secrss.com/articles/78771

“网络身份证”上线为个人信息穿上“防弹衣”

5 月 23 日，公安部等 6 部门发布《国家网络身份认证公共服务管理办法》，自 2025 年 7 月 15 日施行。依托 “国家网络身份认证” App，用户可申领网号、网证，在互联网服务中以非明文方式核验身份，避免个人信息泄露。网号是 10 位字母数字组合，不含隐私信息；网证为加密凭证，支持二维码认证。未成年人需监护人协助申领，平台还为互联网平台提供年龄标识信息以履行法律义务。

链接：https://www.sohu.com/a/899113997_120044912

三、监管通报

通过研究监管通报，可以了解监管机构对App的关注重点和执法尺度，从而判断自己的App是否存在类似的问题，及时进行整改。

嘉佑安科监测到中华人民共和国工业和信息化部、中华人民共和国国家互联网信息办公室、国家计算机病毒应急处理中心、国家网络安全通报中心各地通信管理局等13家监管公开通报/下架共计345款移动应用，详细数据见下表：

通报应用类型分布情况

根据2025年5月国家监管机构的最新通报数据，“实用工具类”以 149 款居首，数量远超其他，整体呈现实用工具类占比突出的分布特点。App通报应用类型Top10的分布概览图如下所示：

通报问题类型分布情况

根据2025年5月国家监管通报的数据，违规收集个人信息问题最多，超范围收集个人信息问题其次。App通报问题类型Top10的分布概览图如下所示：

北京市通信管理局关于问题移动互联网应用程序的通报（2025年第四期）

北京市通信管理局本次通报7款、下架9款App因违法违规收集使用个人信息且未在规定时间内完成整改。通报下架问题为：未公开收集使用规则、未明示收集使用个人信息的目的、方式和范围、违反必要原则收集个人信息、账号注销难、未公布投诉、举报渠道、对外提供、共享未取得用户同意、未账号注销、数据删除，设置不合理障碍、存在个性化推荐功能但未提供关闭选项、使用不安全的传输协议、强制或诱导用户注册会员、关注公众号、违反必要原则，收集与其提供的服务无关的个人信息、App频繁自启动和关联启动、未经用户同意收集使用个人信息等12类问题，具体详情可查阅下方链接。

链接：https://bjca.miit.gov.cn/zwgk/tzgg/art/2025/art_8e7e9d794863435589ad34ce571864f6.html

安徽省通信管理局关于下架3款侵害用户权益APP的通报

安徽省通信管理局本次下架3款App因违法违规收集使用个人信息且未在规定时间内完成整改。通报下架问题为：违规收集个人信息、强制、频繁、过度索取权限、超范围收集个人信息等3类问题，具体详情可查阅下方链接。

链接：https://mp.weixin.qq.com/s/htF6MygqejkCjFK6SwACbw

安徽省通信管理局关于侵害用户权益APP的通报（2025年第3批）

安徽省通信管理局本次通报4款App因违法违规收集使用个人信息且未在规定时间内完成整改。通报下架问题为：违规收集个人信息、强制、频繁、过度索取权限、超范围收集个人信息、违规使用个人信息等4类问题，具体详情可查阅下方链接。

链接：https://ahca.miit.gov.cn/xxgk/tzgg/art/2025/art_cd6cf98422c442b395dac927de595684.html

公安部计算机信息系统安全产品质量监督检验中心检测发现35款违法违规收集使用个人信息的移动应用

国家网络与信息安全信息通报中心本次通报35款App因违法违规收集使用个人信息且未在规定时间内完成整改。通报下架问题为：未以结构化清单的方式逐一列出收集、使用个人信息规则、实际收集的个人信息超出用户授权范围、个人信息保护政策中描述收集的个人信息与业务功能无直接关联、在配置文件中声明与移动应用的所有业务功能均没有直接关联的权限、提前要求用户授权当前未使用的特定功能所需的权限、提前要求用户填写当前未使用的特定功能需要的个人信息、实际收集的个人信息与业务功能没有直接关联、实际收集个人信息的频率与业务功能没有直接关联、未向用户提供更正或补充其个人信息的具体途径、广告存在误导、欺骗用户行为等11类问题，具体详情可查阅下方链接。

链接：https://mp.weixin.qq.com/s/4JB4OJw3yDWKh_9Fe2-klQ

关于15款App和16款SDK个人信息收集使用问题的通报

中华人民共和国国家互联网信息办公室本次通报15款、下架16款SDK因违法违规收集使用个人信息且未在规定时间内整改或整改不到位。通报问题集中在：未逐一列出收集使用个人信息的SDK、未准确列出SDK收集使用个人信息的目的、方式、范围、未提供个人信息收集使用规则、未在个人信息收集使用规则中说明自行或协助App响应用户个人信息权利请求的措施、未及时响应用户个人信息投诉举报等权利请求、承诺个人信息投诉举报等权利请求的处理时限超过15个工作日等类问题，具体详情可查阅下方链接。

链接：https://www.cac.gov.cn/2025-05/06/c_1748239411359045.htm

江苏省通信管理局关于侵害用户权益行为APP的通报（2025年第3批）

江苏省通信管理局本次通报5款App因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题集中在：超范围收集个人信息、违规收集个人信息、违规使用个人信息、APP强制、频繁、过度索取权限、APP频繁自启动和关联启动等5类问题，具体详情可查阅下方链接。

链接：https://jsca.miit.gov.cn/gzcy/gggs/art/2025/art_6b8a1c3dc7f14ba5ba45e2c5e2168334.html

上海市通信管理局关于侵害用户权益行为APP的通报（2025年第三批）

上海市通信管理局本次通报15款App及小程序因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题集中在：自启动和关联启动行为、违规收集个人信息等2类问题，具体详情可查阅下方链接。

链接：https://mp.weixin.qq.com/s/G618XIh1FXmGs8PHlmFtBg

陕西省通信管理局关于侵害用户权益行为APP的通报

陕西通信管理局本次通报4款App因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题集中在：违规收集个人信息、违规使用个人信息、强制用户使用定向推送功能等3类问题，具体详情可查阅下方链接。

链接：https://shxca.miit.gov.cn/xwzx/tzgg/art/2025/art_449b1721a07c4a2ea063a1a5314b9915.html

宁夏回族自治区通信管理局关于问题APP的通报（2025年第二期）

宁夏回族自治区通信管理局本次通报5款、下架6款App因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题集中在：违规收集个人信息、账号注销难、强制用户使用定向推送功能等3类问题，具体详情可查阅下方链接。

链接：https://nxca.miit.gov.cn/zwgk/tzgg/art/2025/art_802cea6269c5447b9618ff79b261619f.html

贵州省通信管理局关于下架5款侵害用户权益APP的通报（2025年第1批）

贵州省通信管理局本次下架5款App因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题集中在：违规收集个人信息、APP强制、频繁、过度索取权限等2类问题，具体详情可查阅下方链接。

链接：https://gzca.miit.gov.cn/xwdt/gg/art/2025/art_0fde8f9484e449b4b73907320c6013b5.html

浙江省通信管理局通报14款侵害用户权益行为的APP（2025年第4批）

浙江省通信管理局本次通报14款App因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题集中在：违规收集个人信息、APP强制、频繁、过度索取权限、强制用户使用定向推送功能、APP频繁自启动和关联启动等4类问题，具体详情可查阅下方链接。

链接：https://zjca.miit.gov.cn/zwgk/tzgg/art/2025/art_09d479013d994eee8367eb57dc9b3358.html

山东省通信管理局关于不合格APP整改情况的通报（2025年第3批）

山东省通信管理局本次通报15款、下架1款App因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题集中在：违规收集个人信息、APP强制、频繁、过度索取权限、APP频繁自启动和关联启动、违规使用个人信息、超范围收集个人信息、APP频繁自启动和关联启动等6类问题，具体详情可查阅下方链接。

链接：https://sdca.miit.gov.cn/xwdt/tzgg/art/2025/art_163ede0ba37e4174baf1a9c1e94f8aa1.html

关于侵害用户权益行为的APP（SDK）通报

（2025年第2批，总第47批）

中华人民共和国工业和信息化部本次通报49款App及SDK因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题集中在：信息窗口乱跳转、违规收集个人信息、APP强制、频繁、过度索取权限、超范围收集个人信息、强制用户使用定向推送功能、APP频繁自启动和关联启动、违规使用个人信息、点击误导下载、SDK信息公示不到位、信息窗口无法关闭等10类问题，具体详情可查阅下方链接。

链接：https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2025/art_c6b98aca6ae94b2889383b627607f12d.html

国家计算机病毒应急处理中心检测发现65款违法违规收集使用个人信息的移动应用

国家计算机病毒应急处理中心本次通报65款App及SDK因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题集中在：在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则；以默认选择同意隐私政策等非明示方式征求用户同意；隐私政策难以访问；个人信息处理者在处理个人信息前，未以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名、联系方式、个人信息的保存期限等、隐私政策未逐一列出App（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围等、个人信息处理者向其他个人信息处理者提供其处理的个人信息的，未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意、App未在征得用户同意后开始收集个人信息或打开可收集个人信息的权限、未提供有效的更正、删除个人信息及注销用户账号功能；为更正、删除个人信息或注销用户账号设置不必要或不合理条件；虽提供了更正、删除个人信息及注销用户账号功能，但未及时响应用户相应操作，需人工处理的，未在承诺时限内完成核查和处理、投诉、举报未在承诺时限内受理并处理；个人信息处理者未建立便捷的个人行使权利的申请受理和处理机制、未向用户提供撤回同意收集个人信息的途径、方式；个人信息处理者未提供便捷的撤回同意的方式、通过自动化决策方式向个人进行信息推送、商业营销，未同时提供不针对其个人特征的选项，或者未向个人提供便捷的拒绝方式、处理敏感个人信息未取得个人的单独同意；个人信息处理者处理敏感个人信息的，未向个人告知处理敏感个人信息的必要性以及对个人权益的影响、个人信息处理者处理不满十四周岁未成年人个人信息的，未制定专门的个人信息处理规则；收集未成年人信息未取得监护人单独同意等10类问题，具体详情可查阅下方链接。

链接：https://www.cverc.org.cn/zxdt/report20250513.htm

国家计算机病毒应急处理中心检测发现63款违法违规移动应用

国家计算机病毒应急处理中心本次通报63款App及SDK因违法违规收集使用个人信息且未在规定时间内完成整改。通报问题集中在：在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则；个人信息处理者在处理个人信息前，未以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名、联系方式、个人信息的保存期限等、隐私政策未逐一列出App（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围等、个人信息处理者向其他个人信息处理者提供其处理的个人信息的，未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意、未提供有效的更正、删除个人信息及注销用户账号功能；虽提供了更正、删除个人信息及注销用户账号功能，但未及时响应用户相应操作，需人工处理的，未在承诺时限内完成核查和处理、投诉、举报未在承诺时限内受理并处理；个人信息处理者未建立便捷的个人行使权利的申请受理和处理机制、未向用户提供撤回同意收集个人信息的途径、方式；个人信息处理者未提供便捷的撤回同意的方式、通过自动化决策方式向个人进行信息推送、商业营销，未同时提供不针对其个人特征的选项，或者未向个人提供便捷的拒绝方式、个人信息处理者处理不满十四周岁未成年人个人信息的，未制定专门的个人信息处理规则；收集未成年人信息未取得监护人单独同意、未采取相应的加密、去标识化等安全技术措施、无隐私政策等10类问题，具体详情可查阅下方链接。