浙江省通信管理局解析App违规典型案例

近年来，浙江省通信管理局在工业和信息化部的指导下，持续推进APP侵害用户权益整治行动，深入开展个人信息保护工作，用户权益保障持续强化，企业合规意识不断提升，行业生态逐步改善，但部分企业服务行为不规范、整改落实不到位的问题仍时有出现。

今年以来，浙江省通信管理局聚焦用户反映的各类违规问题，对影响力强、下载量大的478款APP进行重点监测，389款APP下发《问题APP、小程序核查处置通知书》，公开通报未及时整改的APP114款。从通报的问题类型来看，主要为APP违规收集个人信息、APP强制频繁过度索取权限、APP频繁自启动与关联启动等六类违规问题，占比分别为55%、19%、18%、4%、3%、1%；从通报的应用类别来看，主要为网上购物、学习教育、即时通信、实用工具等类别，其中实用工具、网上购物APP占比较高，分别占比为33%、19%。

为进一步提升浙江省移动互联网应用程序合规水平，引导企业增强合规经营能力，更好解决突出问题，现解析违规典型案例，为各企业提供参考与借鉴。

典型案例解析

01 APP违规收集个人信息

近日，浙江省通信管理局在日常监测中发现某款运用AI算法的实用工具APP存在“违规收集个人信息”的行为，APP在用户同意隐私政策前就开始收集设备信息等个人信息，同时在隐私政策中未告知用户第三方SDK共享OAID用于消息推送的用途。浙江省通信管理局下发《问题APP、小程序核查处置通知书》，督促APP开发运营者限期整改完成。

图1 某款APP在用户未同意前频繁收集用户设备信息

图2 某款APP在隐私政策中未告知用户收集设备信息

合规建议

根据《个人信息保护法》第七条规定“处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围”要求，APP开发运营者应明确告知用户处理个人信息的目的、方式、范围，并征得用户同意后进行处理。在用户未同意隐私政策之前，APP不得收集任何个人信息，包括用户在浏览隐私政策时或在未注册登录账号时的情况。同时，APP及其SDK在收集处理个人信息时，应简洁清晰说明收集处理的目的、方式等相关信息。

02 APP强制、频繁、过度索取权限

图3 某款APP在未提供任何功能服务时，频繁获取设备的定位信息

合规建议

根据《个人信息保护法》第六条规定“收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。”要求，该APP应遵循最小必要原则，不得提前收集权限，不得短时间、高频次在用户拒绝后，频繁申请无关权限，应在具体业务功能启动时动态申请权限。

03 APP频繁自启动与关联启动

某款医疗健康APP存在“频繁自启动与关联启动”的行为，在APP首次运行时，点击‘商城’功能后，APP未向用户告知且未经用户授权同意情况下，自动关联启动第三方应用平台。因企业问题整改不到位，浙江省通信管理局于2024年第2批次对其进行公开通报处理。

图4 某APP未在隐私政策中告知存在关联启动的行为

图5 某APP运行时，未见告知用户且未经用户同意，主动关联启动第三方

合规建议

根据《开展纵深推进APP侵害用户权益专项整治行动》（工信部信管函〔2020〕164号）第六条规定：“重点整治APP未向用户告知且未经用户同意，或无合理的使用场景，频繁自启动或关联启动第三方APP的行为”要求，该APP应在隐私政策中以明显方式告知用户存在关联启动的行为。此外，在相关功能运行时，APP应通过弹窗、浮屏等形式单独获得用户的同意及授权，以确保用户知情与选择权。