在国家四部门联合开展个人信息保护系列专项行动的政策背景下，2025年，全国和地方监管部门及相关机构通报的侵害用户权益APP数量出现大幅上升，同比增加约152%。

南都记者近日结合专业机构提供的数据梳理发现，2025年共有3852款APP在监管通报中“榜上有名”，2024年则有1529款APP被通报。

这项专项行动始于2025年3月底，由中央网信办、工信部、公安部、市场监管总局共同发起。

行动实施后，“力度确实比之前加深了。”北京浩天（上海）律师事务所合伙人宋海新从事数据合规业务，他察觉到的一个直观变化是：在上海，很多外资、国资的APP都被通报了。其中部分APP还因为通报后未按要求完成整改被下架了，这在往年较为少见。

监管通报暴露出企业保护用户个人信息权益存在的短板。但另一方面，有被通报的APP运营方人士反馈说，部分监管部门及相关机构的通报方式有待改进，比如未提前和企业沟通便对外通报，或对涉及违规的问题缺乏详细告知，不必要地增加了企业的合规负担。

违规APP通报类似于一种公开警告，这一监管举措至少可追溯至2019年。

时年1月，同样是中央网信办、工信部、公安部和市场监管总局四部门联合发文，在全国范围开展为期一年的APP违法违规收集使用个人信息专项治理。其中，公安部、工信部还在2019年11月各自发起整治APP侵犯用户权益的行动，并于大概1个月后相继通报了一批侵害用户个人信息权益行为的APP名单。

上述四部门从2025年3月底开始，又一次联合开展个人信息保护专项行动，重点整治APP（含小程序、公众号、快应用）和SDK（软件开发工具包）违法违规收集使用个人信息等问题。

当前，常态化对外通报APP个人信息保护违规的机构分为中央和地方两个层面：中央层面涉及四家政府部门与相关机构，包括工信部、中央网信办、国家计算机病毒应急处理中心、公安部计算机信息系统安全产品质量监督检验中心；而在地方层面，承担APP通报职责的主要是各省市通信管理局和网信办。

南都记者以梆梆安全、棱眼安全等专业机构提供的数据为基础，梳理了近三年监管通报的APP走势情况。需要说明的是，这些数据经过了力所能及的核验，但可能仍无法确保统计结果的完整性。此外，同一款APP可能被多次点名，在统计时，每次点名均单独计为一条APP通报记录。

统计显示，2023年至2025年，被监管部门通报的APP（含SDK）数量分别为2129款、1529款和3852款。2025年的通报总数相比过去两年增幅明显。

根据公开记录，这一年，公安部计算机信息系统安全产品质量监督检验中心首次加入对外通报APP的行列；国家计算机病毒应急处理中心则是第二年开展APP通报，其2025年通报的APP数量比2024年激增约621%。合计来看，这两家机构在2025年共通报了888款APP，占总通报APP数量的近1/4。

从数量上看，通报APP最多的监管机构当属上海市通信管理局。2025年，共有819款APP被上海市通信管理局通报，远远高于在地方机构层面紧随其后的北京市通信管理局——后者在2025年共通报了230款APP。

在上海市通信管理局的严格监管下，被通报次数前十位的APP运营公司，有八家出自上海市通信管理局的通报名单。其中不乏外资企业身份，如知名厨卫品牌科勒（中国）投资有限公司（下称“科勒”）、飞利浦（中国）投资有限公司、化工企业巴斯夫（中国）有限公司。例如，在2025年8月的一次通报中，科勒旗下12款应用因违规被点名。

据宋海新观察，以前被通报的APP运营方，相当一部分都不为公众熟知。但近两年有越来越多大型企业卷入其中，外资和国资企业亦不例外。

通报中，APP被频繁点名的问题集中于：违规收集个人信息，未明示个人信息处理规则，强制、频繁、过度索取权限，未经用户同意收集使用个人信息等。

一位不愿具名的数据合规律师告诉记者，APP肯定是某个方面的问题被“实锤”才会遭通报，监管部门一般不会就尚有争议的事项进行通报，比如收集和处理个人信息是否符合最小必要原则——这带有一定程度的主观性。

是否将检测出的APP问题提前告知企业，不同监管机构的做法存在差异。

记者梳理发现，广东、浙江、河北、广西等地的通信管理局采取“三步走”的通报路径：首先，对检测出存在违法违规问题的APP，向相关APP运营方一对一发送整改通知书，要求其限期整改；紧接着，对期限内未完成整改的APP进行公开通报，继续给予一定的整改期限，相当于给企业第二次整改机会；最后，对逾期未整改的APP予以下架处理。

然而，也有部分机构采取检测后直接对外通报的做法。据记者多方了解，国家计算机病毒应急处理中心并不会在公开通报前事先告知APP运营方。上海市通信管理局的做法则较为反复：接到企业意见反馈后，曾调整为提前告知企业；但有上海的企业方人士称，在11月被通报时，他们又未接到事前告知。

一位从事数据合规的企业法务认为，若缺乏事前沟通径直通报，对企业影响显著。相关APP可能仅因微小违规被通报，若在限期内完成整改，仍可正常上架运营。但一旦被公开通报，部分媒体二次传播内容时，会在标题中使用“赶紧卸载”“谨慎下载”等字眼，这不仅导致涉事企业声誉受损，还可能直接影响APP的用户数。

某网站在二次传播APP通报内容时，在标题中呼吁“赶快卸载”。

事先告知的做法有规可循。工信部2020年下发的《关于开展纵深推进APP侵害用户权益专项整治行动的通知》提到，对第一次检查发现存在问题的企业，将责令5个工作日内完成整改，对整改不彻底仍然存在问题的，将采取向社会公告、组织下架等措施。

据宋海新观察，这些年以来，大部分监管机构还是坚持着先给APP运营方一次内部通报整改的机会。

不同监管机构之间，在是否告知APP问题详情上也有所不同。

南都记者看到的一份广东省通信管理局发给企业的整改通知书显示，监管机构会将APP违规问题类型梗概、具体问题描述、检测截图、整改要求等内容悉数告知。

“对外通报可以笼统，但是给企业要说清楚。”前述不具名企业法务表示，“违规收集个人信息”作为一项问题大类，经常见诸通报，但企业实际上难以准确定位问题所在。一旦监管机构没有将违规问题详情一对一告知APP运营方，企业只能私下和相关机构取得联系，以获取APP被检测出的具体问题，“（显得）非常不正式”。

记者还梳理发现，不同监管机构给APP运营方的整改期限同样长短不一：时间长则如国家网信办在2025年2月通报82款违法违规APP时，责令运营方限期1个月完成整改；短则如上海市通信管理局在11月通报第十批侵害用户权益行为的APP名单时，要求运营方自通报之日起5个工作日内，将书面整改报告和自查评估报告报送监管部门。

APP整改自评估报告的“声明页”模板，要求勾选是企业独立完成，抑或委托第三方机构完成。

宋海新说，自查评估报告内容较多，写起来比较耗时耗力，写到100多页也是常见的情况。一旦期限紧张，企业整改和撰写评估报告可能得加班加点。“如果只是改改隐私政策，相对还快一些。就怕要系统开发新功能，这个比较麻烦。”

即使完成整改，企业还有可能在上传自查评估报告时“踩坑”。有的整改报告，监管部门要求通过系统上传，有的则让发邮件递交。记者了解到，实践中有企业由于未在指定渠道上传整改报告，导致整改结果无效，相关APP最终遭下架处理。前述不具名数据合规律师认为，这一情形也与企业的应对经验不足有关。

APP通报背后，有一群叫做“支撑单位”的主体扮演特殊角色：它们既是检测APP违规问题的直接参与方，同时又作为企业整改过程中的幕后助手。

除了少数具备技术检测能力的机构，无论是全国层面的部委，还是地方通信管理局，往往会定期遴选网络和数据安全支撑单位。对外通报中，监管部门也常常提到是“组织第三方检测机构”对APP进行的检查。

前述企业法务表示，监管部门自身的技术检测能力有限，通常聘请外部第三方机构来承担具体的工作。每次集中检测前，监管部门从支撑单位库中挑选若干机构来负责该批次APP的检测任务。收到企业整改报告后的复测，也由支撑单位执行。

即使被通报，APP运营方也并未被强制要求选择外部支撑单位来完成整改。前述不具名数据合规律师说，企业在决定是否引入外部支撑单位时，一般会评估内部是否有专业人手和足够的预算。

受访的企业法务透露，一份整改评估报告的费用大概在一万多元至几十万元不等。

费用只是一项考虑因素，这位企业法务更担心的是，APP运营方若独立整改，可能对问题细节和监管尺度把握不准，导致无法通过复测。其所在公司就有自行整改但仍被“上榜”通报的遭遇。“想稳妥一点的话，这个钱肯定是不会省的。”

宋海新同样认为，作为长期协助监管机构开展相关工作的专业机构，支撑单位一般比较了解检测过程中的关注点，也更清楚如何针对性地进行改进。因此，如果企业具备相应的预算，与这样的机构合作是比较理想的选择。

当挑选支撑单位时，前述不具名数据合规律师建议，企业要考虑该机构的检测范围，是否能覆盖从中央到地方监管部门关注的检测事项，而不能只为了应付眼前某地监管部门的通报。“头痛医头、脚痛医脚是不合适的。”他说，否则，这次整改过关，后续仍可能遭其他监管部门通报。

据记者了解，实践中，一些企业会选择某家检测机构作为长期合作方。这些作为支撑单位的检测机构，不仅接受公司委托协助整改APP的问题，当企业方不清楚具体违规事项时，检测机构还帮忙找人打听。

有业内人士反映，每当出现通报，时常有支撑单位主动联系APP运营方，询问是否采购检测服务。但前述不具名数据合规律师表示，现在对这种做法查得很严，支撑单位有可能因此被投诉。

支撑单位如何为APP挑毛病？据宋海新介绍，最终形成的检测报告，通常将APP的风险划分为高、中、低三个等级。对于风险较高的问题，企业一般需要按照整改建议完成整改；如果问题的风险较低，则具有一定的灵活处理空间。企业可以基于内外部数据合规人士的判断，兼顾业务运营的需求，来决定是否予以调整。这是因为，一些支撑单位对法律法规和检测标准的理解存在偏差或较为机械化，导致其检测出来的某些问题，实际上不构成违规。

宋海新在实务中还发现，不同的测评机构对同一问题的理解也可能出现差异，这常常让企业感到困惑。一些规模较大的企业为了确保整改结果稳妥，索性同时聘请两家甚至更多支撑单位，相当于进行交叉验证。

（感谢梆梆安全、棱眼安全等提供的数据支持）

采写/制图：南都N视频记者 杨柳

编辑：黄莉玲