(网经社讯)2025 年,《个人信息保护法》《网络安全法》进入全面落地与常态化执法阶段,中央网信办、工信部、公安部、国家计算机病毒应急处理中心四大监管主体,开展 2025 年个人信息保护系列专项行动,构建起 “多部门协同、全链条覆盖、常态化检测、闭环式整改” 的强监管体系。本文基于四大部委全年通报全量数据,通过多维度进行复盘回顾(详见 #网经社专题:http://www.100ec.cn/zt/apptob/ )。
出品 | 网经社
撰写 | 无痕
审稿 | 云马
配图 | 网经社图库
一、2025 年 APP 合规监管全景数据透视
全年四大部委累计发布通报 30 批次,涉及违法违规 APP、SDK 共计 1358 款,覆盖生活服务、工具、教育、医疗、金融等全场景,违规行为呈现隐蔽化、链条化、高频次特征,监管触角从终端 APP 延伸至 SDK、小程序、车载应用等全生态环节。
2025年,四大监管部委形成了差异化、互补性的执法格局:工信部聚焦用户权益侵害全场景治理,通报量位居首位;公安部针对恶意窃取用户隐私行为开展专项执法,形成刑事震慑;国家计算机病毒应急处理中心实现全类型应用常态化技术检测,覆盖车载、小程序等新兴场景;中央网信办针对 SDK 与头部应用开展专项整治,直指行业核心合规盲区。
核心统计数据如下:
从监管特征来看,国家计算机病毒应急处理中心是 2025 年通报批次最多、覆盖违规应用数量最大的监管机构,14 批次通报累计覆盖 776 款违规 APP,占全年总通报量的 57.14%,是全年隐私合规监管的核心执法主体。该机构检测范围覆盖移动应用全品类,也是唯一将微信小程序、车载预装应用纳入常态化检测的部门,填补了轻量化应用与车联网场景的监管空白。
工信部以 9 批次 307 款的通报量位居第二,占全年总量的 22.61%,是 2025 年执法频次最稳定的机构,保持月度常态化通报节奏,聚焦用户权益侵害全场景治理,重点打击强制索权、违规收集、欺骗误导用户等高频违规行为。
公安部全年发布 6 批次通报,累计覆盖 244 款违规应用,占比 17.97%,重点针对恶意窃取用户隐私、涉嫌违法犯罪的 APP 开展专项执法,形成强有力的刑事震慑,是隐私合规监管的执法底线保障。
中央网信办仅在 2025 年 5 月发布 1 批次专项通报,累计覆盖 31 款违规主体,其中 APP15 款、SDK16 款,占比 2.28%,重点聚焦 SDK 供应链合规与头部应用第三方插件管理,直指行业核心合规盲区,推动监管从终端应用向数据供应链上游延伸。
从月度通报数据来看,2025 年 APP 隐私合规监管呈现 “年初起步、年中冲高、全年常态化”的特征:
1-4 月为监管起步期,4 个月累计通报 71 款应用,仅占全年总量的 5.23%,以国家计算机病毒应急处理中心的常态化检测为主;
5-8 月为全年监管高峰,4 个月累计通报 861 款应用,占全年总量的 63.40%,单月通报量均突破 200 款,其中 6 月以 216 款的通报量成为全年峰值,5 月、7 月、8 月均达到 215 款,四大部委联合发力形成了全年最强监管震慑;
9-12 月监管保持常态化覆盖,每月通报量稳定在 70 款以上。
国家计算机病毒应急处理中心全年累计对 153 款已通报应用开展复测,其中 47 款经复测仍未完成整改,整改不通过率达 30.7%,相关应用已被全国主流应用分发平台强制下架;工信部全年累计下架拒不整改 APP 187 款,对 32 家违规应用分发平台予以行政处罚,整体整改完成率达 92% 以上,压实了应用商店的 “守门人” 责任;公安部对存在严重违法违规行为、涉嫌刑事犯罪的 17 款 APP 运营主体,移交公安机关立案调查,形成了强有力的执法震慑。
复测数据显示,工具类、生活服务类应用整改不通过率最高,分别达 37.2%、32.5%,核心原因在于此类应用多为中小开发者运营,合规体系不完善,甚至通过 “换马甲” 方式规避监管,成为整改闭环中的核心难点。
二、违规行为深度拆解:十大高频违规类型
通过对 1358 款违规应用的全量问题汇总分析,2025 年单款违规应用平均涉及 2.4 项违规行为,部分应用同时存在 6 项以上违规问题。十大高频违规类型覆盖 98% 以上的通报应用,其中隐私政策不合规、违规 / 超范围收集个人信息、强制 / 频繁索取权限三大问题,占比均超 40%,成为监管重点打击的核心违规场景。
隐私政策不合规:近七成应用触碰合规底线
隐私政策不合规以 69.73% 的占比,成为 2025 年最高发违规行为,涉及 947 款应用,贯穿四大部门所有通报批次,是所有违规行为的基础共性问题。
其核心表现分为四大类:
一是未公开收集使用规则,公安部通报的 29 款停车类微信小程序、国家计算机病毒应急处理中心通报的 41 款车载预装应用,均存在完全未公开隐私政策的严重违规问题;
二是信息披露不完整,中央网信办通报的 15 款头部 APP,均未逐一列出嵌入的第三方 SDK 收集使用个人信息的目的、方式、范围;
三是告知义务履行不到位,112 款应用首次运行时未通过弹窗等显著方式提示用户阅读隐私政策,甚至以默认勾选方式征求用户同意,直接剥夺用户知情权;
四是规则表述模糊不清,大量应用隐私政策使用晦涩难懂的法律术语,对核心数据收集、共享条款模糊化处理,用户难以清晰知晓个人信息处理全流程。
超范围收集个人信息:超六成应用存在数据越界行为
违规 / 超范围收集个人信息位列第二大高频违规,占比达 61.27%,涉及 832 款应用,是监管部门重点打击的核心违规行为。
其核心特征集中在三个方面:
一是 “先斩后奏” 式静默收集,27 款应用被检测出在用户未授权的情况下,擅自调用摄像头、麦克风、位置权限启动数据收集,典型如《微联外卖》《凹凸租车》等应用;
二是超出业务必要范围收集,大量工具类应用收集与核心功能无关的通讯录、设备标识符、社交关系等信息,如《PS 照片修复》《全能 CAD 看图王》等工具类应用,违规索取通讯录、位置权限,严重违背 “最小必要” 原则;
三是超频次后台收集,14 款应用被公安部通报,存在后台高频次收集用户位置、行为数据问题,如《哈啰》《宝宝树孕育》等应用,实际收集个人信息的频率远超业务功能所需,形成恶意 “数据囤积”。
过度索权与用户权利缺失:用户控制权形同虚设
强制 / 频繁索取权限与用户权利保障缺失,分别位列第三、第四大高频违规,二者共同指向用户对个人信息的控制权被严重削弱。
强制 / 频繁索取权限方面,占比达 41.75%,涉及 567 款应用,工信部通报的 307 款应用中,超 90% 存在此类问题。核心表现为 “拒绝授权即无法使用全部功能” 的强制捆绑,教育类、工具类、生活服务类应用是重灾区,《麦田认字》《小小学英语》等教育类应用,非必要索取通讯录、摄像头权限;《好通行》《酒泉一卡通》等出行类应用,强制索取与核心服务无关的存储、位置权限。
用户权利保障缺失方面,占比达 38.59%,涉及 524 款应用,核心集中在三大场景:
一是未提供便捷的撤回同意途径,302 款应用未设置权限撤回入口,用户一旦授权便无法终止数据收集;
二是账号注销难,87 款应用未提供有效的账号注销功能,或要求用户提交手持身份证照片、人脸视频等过度材料,设置超长人工审核周期,形成 “数字囚禁”;
三是未建立投诉举报响应机制,大量应用未在承诺时限内受理并处理用户的个人信息相关投诉,部分 SDK 甚至完全未响应用户的权利请求。
三、行业分布全景:八大领域违规特征与重灾区解析
通过对 1358 款违规应用的行业属性分类统计,生活服务、工具、教育、医疗健康四大领域占据了违规总量的 73.35%,成为隐私合规风险最高的赛道,各行业违规特征鲜明,监管靶向性突出。
生活服务类:停车、外卖场景成违规重灾区
生活服务类以 395 款违规量位居首位,占比 29.09%,是违规场景最分散、涉及用户最广泛的领域。
其中智慧停车、外卖餐饮、同城出行三大细分赛道问题最集中:
智慧停车场景成为 “头号重灾区”,公安部 2025 年 12 月专项通报中,54 款违规应用里有 30 款为停车类应用,占比超 55%,包括《ETCP 停车》《PP 停车》《驿停车》等头部平台,核心违规集中在未公开收集使用规则、未提供信息更正 / 注销渠道、提前索取非必要权限三大方面;
外卖餐饮场景中,《窝窝外卖》《壹达外卖》《兰湘子湘菜小炒》等 APP 与小程序,因未征得用户同意收集个人信息、隐私政策不合规被多部门通报;
同城出行、家政、跑腿场景中,《UU 跑腿》《七七出行》《e 家政》等应用,因超范围收集个人信息、注销账号设置不合理门槛、过度索取权限被多次点名,该类应用因涉及用户位置、行程、住址等敏感信息,违规行为带来的安全风险更为突出。
工具类应用:合规意识普遍缺失,整改率最低
工具类应用以 275 款违规量位居第二,占比 20.25%,也是整改不通过率最高的领域,达 37.2%。
该领域违规呈现两大典型特征:
一是 “功能越简单,违规越严重”,图片处理、文件转换、天气、扫码类工具应用,核心功能单一,却普遍存在超范围收集通讯录、位置、设备信息,过度索取摄像头、麦克风权限的问题,如《PS 照片修复》《万物识图》等应用,因强制、过度索取权限被工信部通报;《天气通》《更云天气预报》等天气类应用,因超频次收集用户位置信息、隐私政策不合规被公安部点名。
二是中小开发者合规体系缺失,大量工具类应用由个人或小型团队开发,无专门的合规团队,隐私政策照搬模板,数据收集无明确边界,甚至通过嵌入违规 SDK 实现广告变现,形成 “开发 - 嵌入 SDK - 收集数据 - 广告变现” 的灰色产业链,也是其屡改屡犯的核心原因。
教育与医疗健康类:敏感信息保护失守风险突出
教育类与医疗健康类应用,分别以 12.89%、11.12% 的占比位列第三、第四,二者均涉及用户高敏感信息,违规行为的社会危害性更强。
教育类应用中,175 款违规应用里有 12 款涉及未成年人个人信息保护违规,核心问题包括:收集未成年人信息未取得监护人单独同意、未制定专门的未成年人个人信息处理规则、强制索取非必要权限、超范围收集学生学习行为数据用于商业营销。《麦田认字》《小小学英语》《小盒学习》等应用,因多项违规行为被工信部、公安部交叉通报。
医疗健康类应用中,151 款违规应用超 70% 存在未采取加密、去标识化安全技术措施的问题,包括《春雨医生》《医护到家》《掌上华医》等头部平台。该类应用涉及用户病历、诊疗记录、健康监测、生物特征等极高敏感信息,一旦泄露将造成严重后果,而大量应用在数据传输、存储过程中未落实安全防护要求,甚至向第三方共享医疗数据未取得用户单独同意,合规与安全双重风险叠加。
四、监管趋势与合规建议
全年通报数据显示,超 30% 的违规应用存在重复违规、整改不到位问题,部分应用甚至出现 3 次以上重复通报的情况。
一是违法成本远低于收益,在 “数据即资产” 的商业逻辑下,部分企业将用户数据作为广告变现、商业营销的核心资源,即便被通报下架,也可通过 “换马甲” 重新上架,违规带来的商业收益远高于监管处罚成本,形成 “屡罚屡犯” 的恶性循环。
二是行业合规意识普遍缺失,大量中小开发者将合规视为 “可选成本”,而非 “生存底线”,隐私政策照搬模板、权限申请 “能要全要”、数据收集 “多多益善”,未将合规要求嵌入产品开发全流程。
三是平台 “守门人” 责任未完全压实,应用商店、小程序平台作为应用上架的第一道关卡,部分平台审核流于形式,仅对显性违规做关键词筛查,对 SDK 嵌套、后台静默收集等隐蔽违规行为缺乏动态检测能力,导致违规应用 “带病上架”。
基于此,我们给企业合规建设提出以下建议:
1、建立全生命周期隐私合规体系:将 “最小必要”“告知 - 同意” 核心原则,嵌入产品设计、开发、测试、上线、运营全流程,上线前开展全面的隐私影响评估,重点审核第三方 SDK 的数据合规性,在隐私政策中完整、清晰披露 SDK 的信息收集行为,补齐合规短板。
2、完善用户权利保障全流程机制:优化隐私政策的可读性与可及性,通过显著弹窗履行告知义务;设置便捷的权限管理、信息更正删除、账号注销入口,简化注销流程,不得设置不合理门槛;建立标准化的用户权利请求响应流程,确保在法定时限内受理并处理用户申请,保障用户的知情权、控制权与救济权。
3、强化数据安全技术防护能力:对用户敏感个人信息采取加密、去标识化、脱敏等安全技术措施,建立数据全生命周期的安全管控机制;定期开展安全审计、漏洞检测与合规自查,对后台数据收集行为进行常态化监测,杜绝超范围、超频次收集行为,防范数据泄露风险。
4、聚焦重点场景与特殊领域合规要求:针对未成年人、医疗健康、金融、车联网、小程序等敏感领域与新兴场景,严格落实专项法规要求,制定专门的个人信息处理规则;针对 SDK 等第三方组件,建立准入审核、持续监测、违规退出的全流程管理机制,压实供应链合规责任。
2025 年,四大部门的全年度强监管,清晰传递出 “合规是数字经济发展底线” 的明确信号。个人信息保护已从法律条文,转化为互联网企业生存发展的核心竞争力,也成为数字经济高质量发展的重要基石。
对于行业而言,唯有摒弃 “数据饥渴症” 的短视思维,将隐私保护真正融入产品基因与商业逻辑,才能在强监管环境中行稳致远;对于平台而言,必须压实 “守门人” 责任,将隐私合规作为应用上架的核心标准,从源头拦截违规应用;对于用户而言,提升隐私防护意识、善用法律武器维护自身权益,是守护个人数字隐私的核心关键。
【小贴士】
网经社深耕电商与互联网近20年,依托旗下网络消费纠纷调解平台“电诉宝”及开放型电商智库平台网经社电子商务研究中心,通过立法参谋、监管课题、监管培训、监管会议、监管调研、专项报告六大方式,在推动消费维权、参与行业立法、促进平台合规等方面成果显著,持续获得有关部委的认可。
.png)
.png)
.png)
.png)
.png)
