如今，App、小程序等已成为日常生活离不开的重要智能工具，它把控着人们数字生活“命脉”，全方面提供便利服务的同时，也掌握着大量用户个人信息。因此，对其收集和处理个人信息行为进行监督显得尤为重要。

自2019年起，工信部每年都会对侵害用户权益的App进行通报，要求其进行整改，否则面临下架等处置后果。临近农历新年，南都·隐私护卫队对2023年工信部通报的共289款侵权App(SDK、小程序)的相关情况进行了梳理，发现强制、频繁、过度索取权限问题最严重，占比近一半，近三成违规收集个人信息;另外，来自百度手机助手、小米应用商店的问题App数量最多。

2023年，工信部共通报了9批侵害用户权益行为的App、SDK和小程序，因存在同一款被多次通报的情况，去重后共有289款。

为便于展开分析，南都·隐私护卫队进一步归纳总结，将通报所涉问题“欺骗误导强迫用户”“欺骗误导用户使用产品或服务”“欺骗误导用户提供个人信息”“欺骗误导用户下载App”四项统称为“欺骗误导强迫行为”。

统计显示，在9批通报中，App强制、频繁、过度索取权限的情况最严重，共出现了143次，占比近一半;其次是“违规收集个人信息”，共出现76次，占比约26.3%。“欺骗误导强迫行为”位列其后，存在该问题的App(SDK、小程序)有58款，占比约两成;与之比例相近的，还有51款App(SDK、小程序)因超范围收集个人信息而被通报。

另外，经梳理发现，上述四项问题占据了通报所涉原因的主要部分，其他问题出现次数均在20次以下。

具体而言，从所涉问题数量来看，由北京微方程科技有限公司开发的“深链”SDK在所有被通报App(SDK、小程序)中存在问题最多，前后被通报两次，涉及“收集个人信息明示、告知不到位”“违规使用第三方服务”“SDK强制、频繁、过度索取权限”等7项问题。北京前呈无限科技有限公司开发的SDK“Mediatom SDK Android”存在5项问题，包括“超范围收集个人信息”“SDK公示信息不完整”等。

另外，还有“个性女王秀”“达人直播优艺版”“葫芦星球”“Adview广告SDK”“多酷单机SDK”5款分别因存在4项问题被工信部通报，后两款为SDK。这意味着，在工信部过去一年的检测中，存在侵害用户权益行为的SDK问题呈多样化，侵权情况较为严重。

289款问题App(SDK、小程序)的来源较为分散，其中来自百度手机助手、小米应用商店和应用宝的较多，各有31款、29款和28款，占比均约为一成。来自vivo应用商店和360手机助手的紧随其后，均为26款。来自用户熟悉的豌豆荚、OPPO软件商店、华为应用市场的问题App(SDK、小程序)占比均在7%至8%左右。

需要说明的是，在被通报的App(SDK、小程序)中，存在同一款但所涉版本、问题以及来源应用市场不一致的情况。因此，在进行问题App(SDK、小程序)来源统计时，会独立看待这些来自不同应用市场、不同版本的同名App(SDK、小程序)，分别统计。

监管执法走向精细化、场景化是必然趋势

如何看待2023年工信部的通报情况?释放了哪些信号?北京汉华飞天信安科技有限公司总经理彭根表示，这是工信部在App治理方面开展的一项日常化工作，2023年延续了此前几年的检测方式、通报形式以及内容等，并且将问题SDK、小程序也纳入通报范围。

北京大成(杭州)律师事务所律师孙鹏程告诉南都·隐私护卫队，其中值得关注的是微信、支付宝、快手等头部App也被定义为“应用分发平台”出现在通报名单中。

2020年工信部发布的《关于开展纵深推进APP侵害用户权益专项整治行动的通知》显示，整治对象包括App服务提供者，软件工具开发包(SDK)提供者以及应用分发平台，应用分发平台包括网站、应用商店、App等承担下载、安装、升级等分发服务的各类平台。

“以前通报的基本都是来自各大应用市场的问题App，现在App中的小程序、快应用等也会被纳入检测对象，App会作为应用分发平台出现在通报中。”孙鹏程表示，这是对上述要求的进一步落实，也体现出当前全链路合规的监管思路。从整个治理轨迹来看，最早是仅针对问题App，后来扩展到了SDK，现在App也可能被视为应用分发平台进行通报，“监管范围和力度在不断扩大。”

2022年，工信部通报了6批App和SDK，共计329款。南都·隐私护卫队对比两年的情况后发现，在整体通报数量方面两年相差不大，被通报的重点问题具有延续性。比如2022年，App强制、频繁、过度索取权限以及违规收集个人信息两项问题最严重，2023年依然如此;其次，“超范围收集个人信息”问题均占据了较高比例。

对此，彭根坦言，在此之前，互联网曾有过十来年无条件攫取用户个人信息的“野蛮生长期”，留下的问题如今还未能完全解决，其中就包括部分企业对个人信息保护合规不够了解和重视。

“比如，有些App在新加入一个功能模块的时候，还是会延续原来‘以业务为优先’的思维方式。为了让业务先‘跑起来’而忽视了很多合规问题——这种就是工信部App治理工作的整改对象。”

此外，相较于2022年，2023年工信部通报的问题种类也有所增加，比如新增了SDK公示信息不完整、SDK使用说明不完整、违规利用个人信息开展自动化决策等问题。在彭根看来，随着相关法律法规的完善，个人信息保护的责任划分、落实标准等逐渐清晰，相关监管执法走向精细化、场景化是必然趋势。

谈及被通报的SDK，彭根表示，目前SDK方面的个人信息保护问题较为严重，由于一款SDK可能会嵌入众多App并得到使用，其用户覆盖面非常广，掌握的用户个人信息数量也很庞大，“一款知名SDK有问题，可能意味着许多App都有问题。”

值得一提的是，今年1月，工信部首次就开屏弹窗“乱跳转”“关不掉”问题进行检查，并通报了10款存在该问题的App。孙鹏程表示，这是工信部对公众重点关注问题的一种回应，“App的传统问题还在继续查，针对‘摇一摇’这些热点问题，也可能会有一些专门的新要求。”