一、政策背景与专项行动公告
2026年4月2日,中央网信办、工业和信息化部、公安部联合发布《关于开展2026年个人信息保护系列专项行动的公告》。公告指出,《个人信息保护法》施行以来,中央网信办会同有关部门持续加大个人信息保护工作力度,查处各类违法违规处理个人信息行为,督促指导个人信息处理者不断提升合规水平,取得了积极成效。2026年,三部门将会同相关部门进一步深入治理App、SDK等服务产品以及互联网广告、教育、交通、卫生健康、金融等重点领域违法违规收集使用个人信息典型问题,着力提升人民群众满意度、获得感。
公告明确,相关部门将围绕以下重点问题开展系列专项行动:
1. App、SDK违法违规收集使用个人信息专项治理
治理对象为常见类型App以及嵌入的SDK个人信息收集使用活动。重点治理问题为四项:一是未公开个人信息收集使用规则,未提供有效注销用户账号功能,未建立、公布个人信息安全投诉举报渠道等;二是未完整准确告知收集使用个人信息情况,或告知收集使用个人信息目的、方式、范围与实际收集使用情况不一致;三是未经用户同意收集使用个人信息,强制用户同意收集非必要个人信息;四是超出必要范围收集使用个人信息,在无关场景收集位置、通讯录、短信等个人信息,超出最低必要频率调用个人信息权限。
2. 互联网广告领域违法违规收集使用个人信息专项治理
治理对象为互联网广告中介平台、媒体端等个人信息收集使用活动。重点治理问题包括五项:超出必要范围收集个人信息;收集使用个人信息未在个人信息处理规则中明确用于广告、用户画像等功能,未列明向第三方提供个人信息的种类、目的、方式以及接收方的名称、联系方式等;未向用户提供行使更正、删除、拒绝处理个人信息等权利的便捷渠道;利用自动化决策等方式推送广告,未设置易于理解、便于访问和操作的个性化推荐关闭选项,关闭个性化推荐后未停止收集个人信息,未提供删除用户个人特征标签等功能;个人信息内部安全管理、访问控制、对外提供等制度不健全,技术安全防范措施不到位等。
3. 教育领域违法违规收集使用个人信息专项治理
治理对象为学校(高等教育学校、高中阶段学校、义务教育阶段学校、幼儿园等)以及校外培训机构等教育机构个人信息收集使用活动。重点治理问题包括五项:教育机构处理不满十四周岁未成年人个人信息,未制定专门的个人信息处理规则,未取得未成年人父母或其他监护人的同意;教育机构运营的网站、App等过度收集位置、学校、学籍、家长身份证号、联系方式、职业等个人信息;校外培训机构向合作的第三方机构提供个人信息,但未向个人信息主体告知合作的第三方机构名称、处理个人信息的目的、方式,未取得个人信息主体同意;教育机构线下场所以及运营的网站、App等使用非人脸识别技术方式可以实现验证家长、学生身份,将人脸识别技术作为唯一验证方式,未落实人脸识别技术应用安全管理相关要求;教育机构未建立个人信息保护管理制度、未采取有效安全保护措施、存在个人信息泄露风险隐患等。
4. 交通领域违法违规收集使用个人信息专项治理
治理对象为公路、水路、铁路、民航运输经营者及相关票务代理、线上出行购票平台、邮政快递企业以及公共停车管理平台等个人信息收集使用活动。重点治理问题包括五项:相关机构运营的网站、App在无关场景收集位置、通讯录等个人信息,调用麦克风、存储等个人信息权限;公共停车场扫码缴费等功能强制要求用户注册、登录,强制收集手机号等个人信息;线上出行购票平台向合作的票务代理等第三方机构提供个人信息,但未向个人信息主体告知合作的第三方机构名称、处理个人信息的目的、方式、范围,未取得个人信息主体同意;邮政快递企业、线上出行购票平台等机构泄露用户联系方式、家庭地址、个人行程等个人信息;相关机构未建立个人信息保护管理制度、未采取有效安全保护措施,对个人信息权益造成危害。
5. 卫生健康领域违法违规收集使用个人信息专项治理
治理对象为医院、卫生服务中心、卫生所、诊所、疾控中心等医疗卫生机构个人信息收集使用活动,重点治理医疗卫生机构运营的网站、App超范围收集位置等个人信息,以及未向用户提供注销账户、删除个人信息等便捷渠道等问题。
6. 金融领域违法违规收集使用个人信息专项治理
治理对象为银行、证券公司、保险公司、第三方支付机构等金融领域个人信息收集使用活动,重点治理过度收集个人信息、未充分告知信息使用目的、向第三方违规提供个人信息等问题。有关部门将根据实际工作需要动态调整重点治理问题,确保专项行动取得实效。
二、专项行动前的密集执法通报
在专项行动公告发布前后,多个监管部门密集发布了违法违规移动应用通报。
2026年3月31日,据“国家网络安全通报中心”微信公众号消息,依据《网络安全法》《个人信息保护法》等法律法规,经国家计算机病毒应急处理中心检测,71款移动应用存在违法违规收集使用个人信息情况。通报显示,检测时间为2026年1月22日至2月25日,发现的问题主要集中在隐私政策不明、信息收集目的不清、向第三方共享信息不合规、撤回同意困难等13个方面。
本次通报涉及“SEPHORA丝芙兰”(微信小程序)、“泡泡玛特”(微信小程序)、“一汽大众汽车”等多个知名品牌。具体问题类型涵盖:在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;以默认选择同意隐私政策等非明示方式征求用户同意;隐私政策难以访问;个人信息处理者在处理个人信息前,未以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名、联系方式、个人信息的保存期限等。
2026年4月2日,国家网络与信息安全信息通报中心发布通报,依据《网络安全法》《个人信息保护法》等法律法规,经公安部计算机信息系统安全产品质量监督检验中心检测,37款移动应用存在违法违规收集使用个人信息情况。
本次通报按九类问题逐一列明涉及的应用及数量:
-
未公开收集使用规则,涉及21款移动应用,包括《奇峰商城》(支付宝小程序)、《聚优商城》(微信小程序)、《亿秀分期商城》(支付宝小程序)等;
-
未逐一列出收集、使用个人信息的目的、方式、范围,涉及7款移动应用,包括《淘赚钱返利》(版本5.3.7,百度应用商店)、《正鑫金商城》(支付宝小程序)等;
-
在申请打开可收集个人信息的权限时未同步告知用户其目的,涉及5款移动应用,包括《聚优商城》(微信小程序)、《尚至然商城》(支付宝小程序)等;
-
征得用户同意前就开始收集个人信息,涉及5款移动应用,包括《悦享商城》(版本4.0.5,华为应用市场)、《多点》(版本6.7.8,OPPO软件商店)等;
-
实际收集的个人信息超出用户授权范围,涉及7款移动应用;
-
提前要求用户打开非当前功能所需的可收集个人信息权限,涉及4款移动应用;
-
未向用户提供删除其个人信息的具体途径,涉及2款移动应用;
-
未向用户提供注销账户的途径和方式,涉及4款移动应用;
-
注销账户验证身份过程中所需提供的个人信息多于注册、使用等服务环节收集的个人信息类型,涉及1款移动应用。
通报还指出,上期通报的公安部计算机信息系统安全产品质量监督检验中心检测发现的54款违法违规移动应用,经复测仍有8款存在问题,相关移动应用分发平台已予以下架。
专项行动公告发布后,地方通信管理局也持续跟进执法。
2026年4月7日,广东省通信管理局依据《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》等法律法规,公开通报5款未按要求完成整改的APP,包括“粉丝福利购”“布仓”“风格控车”“土筑虎”“修心木鱼”,涉及的问题类型包括违规收集个人信息、超范围收集个人信息、强制频繁过度索取权限等。被通报的APP主办者应在2026年4月14日前完成整改及反馈工作,逾期不整改的,广东省通信管理局将依法依规采取下一步处置措施。
2026年4月8日,甘肃省通信管理局根据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等法律法规,按照“关于开展2026年个人信息保护系列专项行动的公告”工作要求,发布2026年第3批处置通报。通报指出,抽测发现部分APP及小程序存在“APP频繁启动和关联启动”、“违反必要原则”等侵害用户权益问题,尚有7款APP及小程序未整改或整改不到位,予以公开通报;另有3款未按要求完成整改,予以公开下架处置。
从2026年3月31日至4月8日,国家计算机病毒应急处理中心、国家网络与信息安全信息通报中心、广东省通信管理局、甘肃省通信管理局先后发布多批次通报,被通报的违法违规移动应用累计超过110款,覆盖App及小程序两种产品形态,涉及商城类、工具类、服务类等多个业务场景。
三、现行法规依据与开发合规要点
(一)现行法规依据
《个人信息保护法》确立了“告知—同意”“最小必要”“目的限制”等核心原则,是App及小程序个人信息处理活动的基本法律框架。《网络安全法》第二十二条要求网络产品、服务具有收集用户信息功能的,应向用户明示并取得同意。《个人信息保护法》第六条明确要求收集个人信息应当限于实现处理目的的最小范围,不得过度收集。
2026年1月10日,国家互联网信息办公室发布《互联网应用程序个人信息收集使用规定(征求意见稿)》,面向社会公开征求意见,意见反馈截止时间为2026年2月9日。征求意见稿共分七章三十九条,以互联网应用程序为管理对象,详细规定了个人信息收集使用的要求,同时明确了软件开发工具包(SDK)、分发平台、智能终端等为互联网应用程序提供服务的主体责任。
征求意见稿第六条鼓励行业组织建立完善行业自律机制,制定个人信息保护行业规范和自律公约,指导会员单位依法依规开展个人信息收集使用活动,接受社会监督。第七条要求互联网应用程序以结构化清单形式逐项列明每项功能收集使用个人信息的目的、方式、种类,调用权限名称、频度,收集使用敏感个人信息的必要性以及对用户权益的影响,嵌入软件开发工具包的应列明SDK名称、版本、主要功能、运营者名称及收集使用个人信息的种类等。第十二条明确App“应当在用户使用具体功能时方可索要对应的必要个人信息权限,并同步告知使用目的,不得提前索要”。第十三条要求App在申请打开可收集个人信息的权限时,应当同步告知用户申请权限的目的,不得以概括性、模糊性表述替代具体告知。
(二)开发者合规清单
结合专项行动公告中明确列出的重点治理问题以及现行法规要求,APP及小程序开发者应从以下几个方面前置合规设计:
1. 建立完整的告知同意机制
根据征求意见稿第七条的要求,App应以结构化清单形式逐项列明每项功能收集使用个人信息的目的、方式、种类,调用权限名称、频度,收集使用敏感个人信息的必要性以及对用户权益的影响;嵌入软件开发工具包的,应当以结构化清单形式列明SDK名称(包名)、版本、主要功能、运营者名称或者姓名、收集使用个人信息的种类和完整的SDK个人信息收集使用规则链接。
2. 落实最小必要原则
征求意见稿第十二条明确要求App应当在用户使用具体功能时方可索要对应的必要个人信息权限,并同步告知使用目的,不得提前索要。公告同时要求不得超出必要范围收集使用个人信息,不得在无关场景收集位置、通讯录、短信等个人信息,不得超出最低必要频率调用个人信息权限。
3. 完善用户权利保障功能
专项行动公告明确将“未提供有效注销用户账号功能,未建立、公布个人信息安全投诉举报渠道”列为重点治理问题。互联网广告领域专项治理中进一步明确要求,App应向用户提供行使更正、删除、拒绝处理个人信息等权利的便捷渠道;利用自动化决策等方式推送广告的,应设置易于理解、便于访问和操作的个性化推荐关闭选项,关闭个性化推荐后应停止收集个人信息,并提供删除用户个人特征标签等功能。
4. 建立SDK全生命周期管理机制
公告将嵌入的SDK明确纳入专项治理范围。征求意见稿第四条进一步明确:互联网应用程序运营者对嵌入的软件开发工具包依法履行审核义务,未能进行有效审核,对个人信息主体权益造成损害的,依法承担相应责任。开发者应对嵌入的SDK进行合规审核,确保SDK运营者公开收集规则,其个人信息收集使用活动符合法律法规要求。
5. 前置合规设计与持续监测
公告明确对情节严重、拒不整改的依法从严处理。开发者应在产品设计评审阶段即纳入隐私影响评估,在代码开发阶段实现权限调用场景化触发机制,在上线前通过自动化检测工具对隐私政策合规性、权限调用合理性进行预检。同时应建立持续监测机制,定期审查个人信息收集范围是否随功能迭代扩大,权限调用频率是否因代码变更意外提升。
四、结语
2026年个人信息保护系列专项行动的启动,标志着三部门以系统性执法手段持续强化个人信息保护监管。2026年3月31日至4月8日,全国范围内累计通报违法违规移动应用超过110款,覆盖App及小程序两种产品形态,涉及商城类、工具类、服务类等多个业务场景,体现了当前个人信息保护执法的力度和覆盖面。建议开发者及企业主动对标合规要求,在产品开发的各环节落实个人信息保护措施,将合规成本转化为产品竞争力,以适应日趋严格的监管环境。
