40款APP违法违规收集使用个人信息，企业合规“自查”26项要收藏|个人信息|企业合规|处理者|审计|违法

近日，40款移动应用违法违规收集使用个人信息被通报，暴露了相关企业存在权限配置不合规、用户权益保障机制缺失、信息收集使用环节违规等问题。究其根源，多因合规意识薄弱、管理流程缺陷，导致“合法、正当、必要和诚信原则”未落实。

合规不仅是法律义务，更是企业生存的底线。2025年1月1日正式施行的《网络数据安全管理条例》，也重点细化了《中华人民共和国个人信息保护法》关于告知、同意、个人行使权利等方面的规定。

一是明确通过制定个人信息处理规则履行告知义务的内容、形式等要求。二是明确基于个人同意处理个人信息应当遵守的基本要求。三是明确行使个人信息查阅、复制、更正、补充、删除等权利的要求，细化个人信息转移的具体条件。四是明确按照《中华人民共和国个人信息保护法》第五十三条规定在境内设立专门机构或者指定代表的要求。五是明确网络数据处理者处理1000万人以上个人信息还应当履行的义务。
https://www.gov.cn/zhengce/202409/content_6977835.htm

事件聚焦：40款APP主要违规类型

本次通报中的问题，可大概归为4类：

1.个人信息收集与告知义务

未逐一列出收集、使用个人信息的目的、方式、范围
在申请打开可收集个人信息的权限时，未同步告知用户其目的
征得用户同意前就开始收集个人信息
实际收集的个人信息超出用户授权范围
个人信息保护政策中描述需要收集的个人信息超出相关功能的必要范围
配置文件中声明的可收集个人信息的权限超出相关功能的必要范围
实际收集的个人信息超出相关功能的必要范围

2.用户控制与选择权

未提供退出或关闭个性化展示模式的选项

3.用户权利保障

未向用户提供个人信息相关投诉渠道或功能
未向用户提供更正或补充其个人信息的具体途径
未向用户提供删除其个人信息的具体途径
未向用户提供注销账户的途径和方式
注销账户的流程中设置不合理的条件或提出额外要求

4.广告行为规范

广告存在误导、欺骗用户行为

“自查”清单：26项个人信息保护合规审计指引

随着个人信息收集与使用的日益广泛，为保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用，企业需建立将个人信息保护合规审计作为常态化机制。

根据2025年2月出台的《个人信息保护合规审计管理办法》的个人信息保护合规审计指引，企业可以从个人信息处理活动的合法性基础、个人信息处理规则进行合规审计、个人信息处理者履行告知个人信息处理规则义务、对个人信息处理者与其他个人信息处理者共同处理个人信息、对个人信息处理者委托处理个人信息、对个人信息处理者向其他个人信息处理者提供其处理的个人信息、对个人信息处理者利用自动化决策处理个人信息等二十六项审查事项展开自我审查。