阅读: 329 评论: 0 点赞: 0 发布时间：发布日期：2026-06-04 16:32:27

标签：个人信息保护App合规数据安全软件外包小程序开发

71款App昨天被点名，隐私政策问题占了六成

昨天（6月3日），国家网络安全通报中心发了一份通报，71款移动应用和小程序因违法违规收集使用个人信息被公开点名。我看了一下通报原文，11类违规行为中，隐私政策不规范和第三方信息收集未披露两项加起来涉及67款次——也就是说，绝大部分被通报的App，问题都出在"让用户不知道自己数据去哪了"这件事上。

这轮检测的时间窗口是4月16日到5月20日，正好覆盖了今年4月2日三部委（中央网信办、工信部、公安部）联合启动的2026年个人信息保护系列专项行动的第一个执行周期。而且值得注意的是，上一期被通报的67款App经过复测，还有17款没整改到位——已经被应用商店下架了。

说实话，作为一个做了十年软件的人，我看到这个通报的第一反应不是"又来了"，而是"这次是真的不一样了"。从2021年《个人信息保护法》施行到现在，监管从"发文件"阶段进入了"动真格"阶段——检测、通报、复测、下架，一整套流程跑得越来越顺。对做软件外包和小程序开发的公司来说，这不是一个可以再观望的信号。

11条红线逐条看：哪些坑最容易踩

我把通报列出的11类违规行为整理了一下，标注了涉及App数量，顺便说一下在实操中为什么容易踩坑。

第一梯队：隐私政策问题（涉及面最广）

🔴 红线1：隐私政策未列明第三方SDK收集信息（41款，最多）

这是本次通报的头号重灾区。说白了就是：App里嵌了第三方SDK（比如支付、地图、统计、广告），但隐私政策里没告诉用户这些SDK会收集什么数据。做开发的都知道，一个正常的商业App嵌七八个第三方SDK很正常——但很多公司在写隐私政策时，直接从模板复制粘贴，根本没逐一核对过SDK的数据采集行为。这次41款被点名，说明监管已经不再接受"模板式"隐私政策了。

🔴 红线2：隐私政策告知不规范（26款）

具体表现包括：首次打开App没有弹窗提示阅读隐私政策、默认勾选"同意"、隐私政策藏在三级菜单里找不到、没有写明处理者名称和联系方式。这其实是最基础的合规要求，26款还栽在这上面，只能说明一个问题：很多团队在开发阶段根本没把隐私合规当回事。

🔴 红线3：压根没有隐私政策（6款）

2026年了还有App没有隐私政策，这已经不是合规问题，是基本法律意识问题了。《个人信息保护法》第66条写得清楚：情节严重的，罚款5000万元以下或者上一年度营业额5%以下。这个数字放任何一个中小企业身上都是灾难性的。

第二梯队：用户权利被架空（表面合规，实际不好用）

🟠 红线4：未提供撤回同意的途径（20款）

用户点了"同意"之后找不到地方撤回——这是最常见的"表面合规"。法律规定用户有权随时撤回同意，而且撤回的方式必须和给出同意的方式一样便捷。也就是说，如果用户是一键同意的，就不能要求用户填表申请才能撤回。

🟠 红线5：向第三方提供信息未经单独同意（14款）

这里的关键词是"单独同意"——不能把"向第三方提供数据"的条款藏在隐私政策第17页，让用户一次性同意所有条款。必须单独弹窗、单独告知接收方是谁、做什么用、提供哪些数据。

🟠 红线6：未采取加密、去标识化等安全措施（13款）

这个看起来是技术问题，但在通报中被单独列出来，说明监管在检查时是会做技术验证的。传输数据是不是明文？存储的个人信息有没有加密？这些以前可能只是"做了更好"的事，现在变成了"没做就通报"。

第三梯队：特定场景的合规盲区

🟡 红线7-11：注销功能不好用、未成年人保护缺失、人脸识别强制使用等

这些虽然涉及的App数量不多（1-5款），但每一条都有明确的司法解释和处罚先例。特别是未成年人信息保护——处理不满14周岁未成年人信息的，必须制定专门的个人信息处理规则，不是在大人的隐私政策里加一段话就能应付的。

从"通报"到"下架"：监管闭环正在加速

这次通报里有一个细节值得特别注意：上一期通报的67款App经过复测，仍有17款未完成整改，已被应用分发平台下架。

这意味着监管的逻辑变了。以前是"通报→整改→完事"，现在变成了"通报→限期整改→复测→下架"的闭环。而且应用商店（应用宝、各大手机厂商商店、小程序平台）正在成为执法链条的一环——一旦被下架，对商业App来说就是致命打击。

2026年4月启动的个人信息保护专项行动，覆盖范围也比往年更大。根据三部委的公告，今年的专项行动重点包括：

• App和SDK：违法违规收集使用个人信息
• 小程序：首次纳入专项行动重点范围
• AI应用：涉及人脸识别、语音识别等生物特征信息的处理
• 未成年人保护：面向未成年人的应用和内容平台

小程序被纳入重点范围这件事，对软件外包公司影响特别大。现在很多中小企业的数字化转型第一步就是做小程序——商城、预约系统、会员管理。如果开发者对隐私合规没有概念，做出来的小程序大概率会踩红线。

软件公司和小程序开发商该怎么应对：一份可落地的清单

我做了一个"开箱即用"的合规清单，按优先级排序，供参考：

第一优先级：必须马上做（不做可能被下架）

1. 隐私政策必须可弹窗、可访问：首次打开App/小程序时弹出隐私政策，用户点击"同意"后才能进入。隐私政策入口必须在设置页显眼位置，不能藏在三级菜单。
2. 逐一核查第三方SDK：列出App/小程序中所有嵌入的第三方SDK（支付、地图、推送、统计、广告、登录），逐个确认它们采集了什么数据，然后在隐私政策中逐一列出。模板式的"我们可能使用第三方服务"已经不行了。
3. 撤回同意不能比"同意"更难：如果用户一键同意，就必须能一键撤回。提供设置页面的开关，或者在个人信息管理页面提供撤回入口。

第二优先级：尽快补上（避免被通报）

4. 数据加密和传输安全：所有个人信息传输使用HTTPS，本地存储对敏感信息加密。13款App因为这条被通报，说明监管在做技术检测。
5. 注销账号必须真实可用：提供注销入口，不能要求用户"联系客服"或"发送邮件申请"才能注销。注销后数据要在承诺时间内删除。
6. 单独同意第三方数据共享：如果要向合作伙伴、广告平台等第三方提供用户数据，必须单独弹窗获取同意，不能埋在一揽子隐私政策里。

第三优先级：根据业务场景补充

7. 如果涉及未成年人：制定单独的未成年人信息处理规则，收集14岁以下用户信息必须取得监护人同意。
8. 如果使用人脸识别：不能作为唯一验证方式，必须提供密码、短信验证码等替代方案。
9. 个人信息权利响应机制：建立用户查询、更正、删除个人信息的受理流程，并在隐私政策中写明响应时限。

数据安全产业的机遇：合规本身就是一个大市场

说实话，从商业角度看，监管趋严对正经做软件的公司不是坏事。根据中研普华的数据，2026年中国数据安全行业已经从"合规辅助工具"升级为数字经济的"免疫系统"，市场规模持续高速增长。数据合规软件、隐私计算、数据脱敏、App合规检测工具——这些都是正在快速增长的细分领域。

我自己的感受是，中小企业的App和小程序合规需求其实是被严重低估的市场。很多中小企业主根本没意识到自己做的小程序需要隐私政策，更不知道第三方SDK的问题。这正是软件服务公司的机会——把合规服务打包进开发流程，作为差异化竞争力。

具体来说，软件外包公司可以做几件事：

• 推出"合规模板包"：针对常见的小程序类型（商城、预约、会员、展示），预置符合规范的隐私政策和用户协议模板。
• 建立SDK审核流程：每次集成第三方SDK前，先评估其数据采集行为，记录在案。
• 提供合规检测服务：用自动化工具扫描App/小程序的隐私合规问题，作为续费服务的卖点。

最后说一句

做软件十几年，经历过太多"从严到松再到严"的监管周期。但个人信息保护这件事，我认为趋势是不可逆的。全球范围看，GDPR在欧洲已经执行了8年，罚款金额累计超过45亿欧元。中国的《个人信息保护法》虽然2021年才施行，但执法力度在2026年明显加速——从4月专项行动启动到6月就通报了71款，这个节奏说明监管是来真的。

对于软件外包公司和小程序开发商来说，合规不应该是成本中心，而应该是信任背书。一个客户来找你做App，你说"我们不仅做功能，还帮你搞定隐私合规，避免被通报下架"——这个卖点比"我们价格便宜"有力得多。毕竟客户花几万块做了个小程序，三个月后被下架了，没有人会感谢你帮他省了两千块开发费。