2025年度，工信部在其官网总共发布了8批次APP（SDK）侵害用户权益行为的通报，涉及315款APP（SDK）。经系统梳理该系列通报，APP（SDK）侵害用户权益行为包括超范围收集个人信息、违规收集个人信息、违规使用个人信息、APP过度索取权限、APP频繁自启动和关联启动、SDK信息公示不到位、SDK使用说明不完整、信息窗口无法关闭、信息窗口乱跳转、强制用户使用定向推送功能等等，其中被通报次数最多的五类违规行为如下：

表1 2025年度工信部通报的APP（SDK）侵害用户权益行为统计（TOP5）

1、违规行为表现

违规收集个人信息行为的主要情形包括：

（1）无隐私政策或隐私政策难以访问。如部分APP隐私政策难以访问，进入App主界面后，需进行多于4次点击等操作才能访问。

（2）在征得用户同意前就开始收集个人信息。部分APP一打开，就开始收集用户设备MAC地址等信息。

（3）未逐一列出App收集使用个人信息的目的、方式、范围等。包括收集使用个人信息的目的、方式、范围发生变化时，未以适当方式通知用户。

（4）收集敏感个人信息，未取得用户单独同意或书面同意。

（5）未向用户提供撤回同意收集个人信息的途径和方式。

2、法律法规及标准规范

在个人信息收集行为的规制方面，《民法典》及《个人信息保护法》规定处理个人信息应遵循合法、正当、必要的原则，收集信息前须在用户充分知情、自愿、明确的前提下取得用户同意，处理敏感个人信息还需取得用户的单独同意且在法律、行政法规另有要求的情况下还需征得书面同意。而在推荐性国标方面，GB/T 35273-2020《信息安全技术 个人信息安全规范》及GB/T 45574-2025《数据安全技术 敏感个人信息处理安全要求》对收集环节提出具体操作要求，包括不得欺诈诱骗误导、不得隐瞒收集功能，收集非敏感个人信息可实现处理目的的，不应收集敏感个人信息等等。

3、合规建议

（1）制定详细具体的隐私政策，并将隐私政策链接放置于APP设置或通用页面的醒目位置。在用户首次运行APP时，通过弹窗的方式提示用户阅读隐私政策，并通过用户主动勾选的方式确认其已阅读隐私政策。

（2）在隐私政策中逐一列出App收集使用个人信息的目的、方式、范围等。收集使用个人信息的目的、方式和范围发生变化时，还应当更新隐私政策，并通过弹窗、推送通知、红点提示等适当方式提醒用户重新阅读。

（3）如需收集用户敏感个人信息，还应当单独取得用户的个人同意。例如需要通过人脸识别进行用户实名身份信息认证时，应当单独弹窗提示。处理不满十四周岁未成年人个人信息，还应当制定专门的个人信息处理规则，并取得未成年人父母或其他监护人的同意。

1、违规行为表现

强制、频繁、过度索取权限的主要情形包括：

（1）APP在安装或运行时，向用户索取并非当前服务场景所必需的权限。如果用户选择拒绝，APP便自动退出或无法使用。

（2）在用户明确拒绝权限申请后，频繁弹窗、反复申请与当前服务场景无关的权限。

（3）APP在启动时或使用过程中，提前或超范围申请与其业务功能无关的权限。

2、法律法规及标准规范

在APP向用户索取权限的行为规制方面，《个人信息保护法》、《网络安全法》均明确处理个人信息应遵守必要原则。《工业和信息化部关于开展纵深推进App侵害用户权益专项整治行动的通知》等通知则进一步细化监管要求，重点整治非服务必需场景下强制索取权限，短时长、高频次反复申请权限，提前申请超业务范围权限的行为。GB/T 35273—2020《信息安全技术 个人信息安全规范》则提出更为细致的要求，如权限调用频率需控制在实现业务功能的最低限度，同时明确用户拒绝非必要权限申请时，不得暂停其自主选择的其他服务功能或降低服务质量。

3、合规建议

（1）遵守“最小必要”原则，不得在APP启动或运行时向用户申请“一揽子”权限。App的所有权限均应在用户实际使用对应功能时发起申请，且申请前须通过弹窗等显著方式清晰说明需要该权限的具体用途。

（2）当用户明确拒绝非必要权限后，不得在短时间内再次弹窗向用户索取权限，且不得因此拒绝提供App的其他基础功能。

（3）申请权限应当与用户当前具体操作行为相关且必要，不得同时申请与具体操作行为无关联的权限。如用户使用上传头像功能时，选择“从相册选择”的操作，此时APP可申请存储文件的访问权限，不得申请“相机”访问权限。

1、违规行为表现

超范围收集个人信息的主要情形包括：

（1）不需要个人信息即可使用基本功能服务的APP（如拍摄美化类），在隐私政策中要求收集个人信息。

（2）通过默认填写等方式收集非必要个人信息。如英语学习类APP要求填写职业信息、兴趣爱好，用于用户画像分析或商业营销，但未提供“跳过”选项。

（3）超出必要范围收集个人信息。比如，在无关场景收集位置、通讯录、短信等个人信息。

2、法律法规及标准规范

如何判断收集个人信息是否超范围，《民法典》、《个人信息保护法》等法律法规作出了原则性规定，即不得违反必要性原则。在具体实务操作中，《常见类型移动互联网应用程序必要个人信息范围规定》、GB/T 41391-2022《信息安全技术 移动互联网应用程序（APP）收集个人信息基本要求》进一步规定了常见服务类型APP必要个人信息和使用要求，为企业规范收集个人信息提供了详细的指导。

3、合规建议

（1）参照《移动互联网应用程序（APP）收集个人信息基本要求》的规定，严格界定企业App所提供的基本服务功能和最小必要个人信息范围，并在隐私政策中逐一列明所需收集的个人信息类型、对应的业务功能以及收集使用的目的和方式。

（2）参照《移动互联网应用程序（APP）收集个人信息基本要求》的规定，合理确定企业APP非必要但有关联个人信息，包括基本服务功能可选收集的个人信息和扩展功能需收集的个人信息。非必要但有关联信息应设为可选项，用户拒绝提供时不应影响其使用APP的基本服务功能。

（3）遵循最小必要原则，仅收集App业务功能相关的个人信息，不收集不影响用户使用APP服务的无关个人信息，也不应当以向用户征求同意的方式收集无关个人信息。

1、违规行为表现

“乱跳转”是指用户使用App时，被强制或由于易触操作跳转到其他App或网页，甚至直接下载第三方软件的情况，主要情形包括：

（1）未以显著方式明示或未经用户主动选择同意，App信息窗口页面存在跳转、使用第三方应用的行为。如页面按钮标示为“查看详情”，点击后跳转至第三方服务页面，但跳转前未以显著方式明示将跳转至第三方页面。

（2）App信息窗口设置的交互动作参数灵敏度过高，用户进行非主动意愿的易触操作时（如全屏热力图、摇一摇），跳转进入第三方服务页面。

（3）App信息窗口跳转后，在用户不知情的情况下自动为用户下载安装其它App等。这类行为利用技术手段绕过用户授权机制，侵犯用户的知情权和选择权。

2、法律法规及标准规范

对于信息窗口跳转行为，《消费者权益保护法》规定消费者享有自主选择商品或者服务的权利。《广告法》、《互联网弹窗信息推送服务管理规定》、《互联网广告管理办法》等法律法规规定，利用互联网发布、发送广告，不得影响用户正常使用网络服务，不得通过弹窗呈现恶意引流跳转第三方链接。工信部《关于进一步提升移动互联网应用服务能力的通知》，明确不得利用高灵敏度“摇一摇”等易造成误触发的方式诱导用户操作。团体标准《APP用户权益保护测评规范 第7部分：欺骗误导强迫行为》，则进一步细化了APP信息窗口触发页面或跳转至第三方应用的相关参数要求。

此外，高灵敏度“摇一摇”的易触操作往往需要调用手机陀螺仪和运动传感器数据，因此也可能存在违规或超范围收集个人信息、过度索取手机权限等问题，涉嫌违反个人信息保护法律的相关规定。

3、合规建议

（1）落实明示告知义务。App信息窗口应当以显著方式向用户清晰明示触发后将发生的动作及结果预期。触发跳转的按钮、链接应有明确的文字描述，告知用户点击后将跳转至第三方页面。

（2）合规设置跳转参数。参照团体标准《APP用户权益保护测评规范》将“摇一摇”动作的设备加速度设置为不小于15米每平方秒，转动角度不小于35度，操作时间不少于3秒等一系列参考数值，确保APP在走路、乘车、拾起放下终端设备等日常生活场景中，信息窗口不会出现误触发而跳转的情况。

（3）保障用户选择权。明确未经用户主动选择同意，不得自动或强迫用户下载打开APP，不得使用欺骗误导用户的图片、文字和链接进行页面跳转或使用第三方APP。

1、违规行为表现

SDK信息公示不到位是指企业APP嵌入了第三方的软件开发工具包（SDK），但APP运营者未按照规定向用户充分、清晰、准确地公开SDK的基本信息及个人信息收集处理规则。SDK信息公示不到位的主要情形包括：

（1）在APP的隐私政策等收集使用规则中，未逐一列出App所嵌入的所有第三方SDK的名称和经营者信息。

（2）已列出第三方SDK的名称和经营者信息，但未逐一列出第三方SDK收集使用个人信息的目的、方式、范围等。

（3）具有独立采集、传输、存储个人信息功能的第三方SDK，未提供单独的隐私政策及个人信息收集使用规则。

2、法律法规及标准规范

在SDK信息公示的行为规制方面，《个人信息保护法》、《网络安全法》均规定APP经营者处理个人信息应当公开处理者的名称和联系方式、处理目的和处理方式等事项。这一义务适用于APP直接收集处理信息的情形，也适用于第三方SDK经营者处理信息的情形。《网络数据安全管理条例》第12条进一步规定，网络数据处理者向其他网络数据处理者提供、委托处理个人信息和重要数据的，应当通过合同等与网络数据接收方约定处理目的、方式、范围以及安全保护义务，并对网络数据接收方履行义务的情况进行监督。APP的经营者，对于第三方SDK收集个人信息收集的情况具有监督或至少协同管理的义务（具体需要看SDK提供方与APP运营方在数据处理方面是独立处理、受托处理、共同处理抑或其他关系而定）。工信部《关于进一步提升移动互联网应用服务能力的通知》，明确要求规范SDK应用服务，建立信息公示机制，公开明示SDK基本信息以及个人信息处理规则。

3、合规建议

（1）完整公示第三方SDK信息。App运营者应当在隐私政策中设置专门的第三方SDK列表章节，逐一列明App嵌入的所有第三方SDK名称和运营者等基本信息。不得使用“可能向第三方共享信息”、“包括但不限于”等模糊陈述替代完整公示清单。

（2）通过列表方式详细说明SDK收集使用信息的目的、方式、范围。避免使用“优化服务”、“合理范围”、“设备信息”等模糊陈述。

（3）核实并公示第三方SDK的个人信息处理规则。SDK运营者作为信息收集和处理者，尤其是独立处理角色下的SDK运营者，应单独制定个人信息处理规则。APP运营者应当核实嵌入APP的第三方SDK是否单独制定个人信息处理规则，并将其链接地址在APP隐私政策的SDK章节中进行公示，以便用户了解第三方SDK收集处理用户信息的内容。

三、结语