APP、小程序是企业数字化发展的核心载体，对推动业务升级、用户连接和数据驱动具有关键作用。同时，它们也是网信办等监管部门实施个人信息保护、数据安全与网络治理的核心抓手。2025年上半年，APP、小程序（以下统称“APP”）治理领域监管动态显著。中央网信办、工信部、公安部等部门相继发布多批次问题APP通报，涉及多类违规行为；315晚会亦曝光多起APP数据安全典型案例。经统计，与去年同期相比，APP监管通报频次明显提升，自2025年个人信息保护系列专项行动（3月28日）开展以来，已有超过642[1]个APP/SDK被通报。我们理解，这一变化背后反映的是APP监管模式已从常规检查向多部门协同、技术驱动的精准治理转变——网信、工信、公安等监管部门依托数据共享平台与自动化检测技术，构建起覆盖线索发现、证据固定、细化执法的闭环监管体系。

本文以现行APP监管法规政策为基础，结合各监管部门通报案例及我们参与的APP违规整改实操，梳理现行APP治理监管要求，分析执法机制，为企业法务及合规管理人员提供APP监管重点及风险应对参考，助力企业开展合规自查，优化APP合规工作。

一、监管变局：APP治理体系梳理

（一）APP监管执法依据

点击可查看大图

（二）APP治理执法机制梳理

1. 检测、通报仍为主要APP治理执法方式

经对2025年上半年监管动态统计分析，检测、通报、整改及下架构成APP治理核心执法方式。监管部门依托自动化检测工具与人工核查机制，对APP进行排查，发现存在违法违规行为的APP，通过官方渠道予以通报并责令限期整改；对逾期未整改或整改未达标的APP，可依法采取下架措施。

实践中，监管部门通常不会对整改完成的APP进行专门公示。企业判断违规APP是否完成整改，一般参考下一期监管通报，若相关通报中不再出现该APP，或在“回头看”专项通报中未被再次点名，则一般可视为整改完成。

2. 负面通报VS正面公告

值得注意的是，除常规针对违法违规APP的负面通报外，中国网络空间安全协会发布的《完成个人信息收集使用优化改进App清单的公告》，以公示形式列明协会指导完成优化整改后的APP名单。该类公告不同于监管部门的执法通报，作为行业组织推动APP合规优化的成果展示，为企业提供了正向的合规实践参考范例，企业可通过对标清单内APP的整改优化方向与措施，进一步完善自身合规体系建设。

3. 四大部委执法“新画像”

在2025年的APP治理领域，网信、工信、公安、市监四大部委基于职能分工协同监管，在执法频率、覆盖范围及监管力度上呈现显著差异。

1) 网信体系：低频通报定调全年监管方向

自《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》（简称“2025年专项行动”）发布后，中央网信办本年度仅1次集中通报。虽通报频次低，但中央网信办已通过上述公告为全年度APP监管定调，其权威性与指导性为其他部门执法提供依据，发挥统筹规划作用。

2) 工信体系：常态化通报筑牢合规监管基本盘

工信体系延续按月通报的常态化监管模式，由工信部及地方通管局持续对APP个人信息收集使用合规性、数据安全等情况进行月度检查。2025年上半年，该体系已累计发布3次通报，是APP合规监管的基础力量。

3) 公安体系：“异军突起”的“最严监管”

公安体系执法力度在2025年显著增强，由公安部国家计算机病毒应急处理中心、公安部计算机信息系统安全产品质量监督检验中心、国家网络与信息安全信息通报中心等多部门协同参与。相较其他部门，公安体系通报频率快速提升，监管触角延伸至个人信息收集、提供、加工、删除的全生命周期，检测维度更加细致。这种全方位、深层次的监管态势，使公安体系成为本年度APP合规领域最大的变量与挑战，一定程度上倒逼企业强化数据安全内控机制。

4) 市监体系：隐蔽执法发力守护消费者权益

国家市监总局虽尚未进行公开检查结果通报，根据笔者了解，市监部门已通过315消费者权益保护事件介入APP个人信息保护执法工作，虽未形成公开通报机制，但已成为推动企业落实个人信息保护责任的潜在监管力量。

二、监管“红线”：APP运营者的合规大考

红线一：隐私政策——从“有就行”到“字斟句酌”

《隐私政策》系个人信息处理者获得个人信息主体同意的最重要的文件。自2019年《关于开展App违法违规收集使用个人信息专项治理的公告》以来至《关于开展2025年个人信息保护系列专项行动的公告》，针对《隐私政策》的监管颗粒度逐年增强，从最初的“对与民众生活密切相关的App隐私政策进行评估”到“聚焦APP个人信息收集使用规则”，无论是从监管文件对于隐私政策的关注程度的用语，还是从实践中相关机构的通报结果来看，隐私政策的监管已经迈入“字斟句酌”的阶段。

从通报结果可以看出，“未提供个人信息收集规则”、“未公开收集使用规则”的典型违规情形依然存在，是否制定处理不满十四周岁未成年人个人信息专门规则亦成为检测重点。在隐私政策内容上，“App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则”、“未以显著方式、清晰易懂的语言真实、准确、完整地向个人告知相关必要信息”、“隐私政策未逐一列出App（含委托/嵌入第三方SDK相关）收集使用个人信息的目的、方式、范围”、“未以结构化清单的方式逐一列出收集、使用个人信息规则”等违规情形亦被高频通报。此外，APP在申请用户个人信息前是否同步告知目的，亦被检测机构关注并被通报。在如此严格的检测标准下，部分互联网头部企业的APP亦未能通过“合规考试”，在隐私政策中存在不同程度的问题被监管机构通报。

自2025年专项行动以来关于隐私政策违规通报的数据统计[1]

红线二：单独同意——敏感场景的重要“通行证”

“单独同意”作为“同意”的一种增强表现形式，要求个人信息处理者在处理某些特定类型的个人信息或进行特定处理活动时，必须获得信息主体的明确、具体的同意。对于App运营者而言，实施单独同意不仅需要符合相关法律法规的规定，还需要考虑用户体验和流程效率等多方面因素。在App实施“单独同意”的过程中，如何找到一个既满足各方需求又合规的实施路径，一直是App治理的一个重要课题。

在近期通报中，在处理敏感个人信息、对外共享、跨境提供等敏感场景下，缺少告知、独立、明确的同意机制，是当前通报重灾区。可以看出，监管机构对于“单独同意”合规情况的监管已经全面覆盖到几乎全部敏感场景。通过笔者曾处理的APP合规案例观察，我们注意到部分APP运营者对于“单独同意”的理解仍存在较大的问题，认为隐私政策中已经告知并获得个人同意即满足了单独同意的要求，推进“单独同意”的合规整改落地在实践中亦存在较大的难度。本轮违规通报为APP运营者敲响了重要的合规警钟，在推进业务和效率的同时，“单独同意”的合规仍需保持高度关注。

自2025年专项行动以来关于“单独同意”违规通报的数据统计

红线三：最小必要——“放大镜”检视下的基本原则

“最小必要”原则是《个人信息保护法》明确的个人信息处理者应遵守的基本原则。在合规实践中，“个人信息处理者可能认为只要获得“同意”则可以无限制收集个人信息，而恰恰忽略了“最小必要”这一基本原则。在此前工信部门的常规通报中，“违规收集个人信息”“违规使用个人信息”“超范围收集个人信息”以及“强制索权”等违规行为已成为常态化的监管重点。

在近期的APP通报中，关于“最小必要”原则检测范围进一步扩大，延伸至收集个人信息的时间节点、频率以及关联性等，包括但不限于隐私政策中描述收集的个人信息与业务功能无直接关联、在配置文件中声明与移动应用的所有业务功能均没有直接关联的权限、申请的可收集个人信息的权限与业务功能没有直接关联、提前要求用户授权当前未使用的特定功能所需的权限/填写当前未使用的特定功能需要的个人信息以及实际收集的个人信息以及频率与业务功能没有直接关联等。

自2025年专项行动以来关于“最小必要”违规通报的数据统计

红线四：用户权益——从“可以注销”到“全面掌控”

自《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》（工信部信管函〔2019〕337号）》发布以来，用户权益保障持续是工信部门重点监管对象，“注销难”“强制用户使用定向推送功能”以及投诉举报处理期限等持续作为APP违规通报事项。

从近期的监管通报来看，用户权益保障的监管重点已几乎全面覆盖《个人信息保护法》所赋予个人信息主体的权利。除前述常见违规情形外，未建立便捷申请受理机制、未提供撤回同意收集个人信息的途径、方式、未提供自动化决策推送非个性化选项或便捷拒绝方式以及未向用户提供更正或补充其个人信息的具体途径等成为新的监管重点,APP运营者应持续高度关注个人信息主体的权利保障。其中，未提供撤回同意收集个人信息的途径或方式成为近期最高频通报的违规情形之一。

自2025年专项行动以来关于“用户权益保障”违规通报的数据统计

红线五：广告骚扰——游离于个保之外的“新雷区”

自2024年工信部发布的第一批侵犯用户权益行为的APP（SDK）起，信息窗口合规问题开始逐步成为监管部门监管执法重点，信息窗口无法关闭、点击误导下载以及乱跳转成为工信部常态化通报中的常见违规情形。针对信息窗口，《互联网弹窗信息推送服务管理规定》、《工业和信息化部关于开展信息通信服务感知提升行动的通知》（“524行动”）以及《关于进一步提升移动互联网应用服务能力的通知》（工信部信管函〔2023〕26号）均提出了细项的要求，不难看出监管部门对信息窗口合规的高度关注。

APP的信息窗口通常作为互联网广告的载体，广告与消费者权益保护息息相关，广告无法关闭、计时结束才能关闭、诱导欺骗用户点击等，已成为用户投诉和监管关注的新焦点。

自2025年专项行动以来关于“信息窗口/广告”违规通报的数据统计

红线六：车载APP——被忽视的“合规洼地”

2025年6月19日，车载APP首次出现在公安部国家计算机病毒应急处理中心公布的违法违规收集使用个人信息的移动应用通报中。从通报的车载APP违规情况来看，其存在的合规问题亦较为典型，包括在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则、隐私政策内容不完整、无隐私政策以及用户权益保障等。

一直以来，车载APP领域的数据合规问题并未引起相关监管机构的关注。随着智能网联汽车产业的不断发展，车载APP的用户量将愈来愈多，公安体系针对车载APP的检测，也预示着监管机构针对车载APP这一“合规洼地”开始关注，可能成为下一个集中整治的目标。

三、合规指南：APP运营者应转向“主动合规”

（一）被APP违规通报的企业的应对策略

1. 性质认定：通报≠行政处罚

在当前APP监管执法实践中，APP通报常与责令改正等行政措施协同实施，因此严格区分不同行政行为性质尤为关键。

依据《行政处罚法》第二十八条，责令改正属于行政命令，旨在恢复被违法行为扰乱的行政管理秩序，本身不具备制裁属性；而行政处罚则聚焦于对违法行为的惩戒。当监管部门发布APP通报并责令限期整改时，若企业及时响应、积极纠错，我们理解，此时通报仅起到警示与督促作用，不具备行政处罚的惩戒内核，不会构成“行政处罚”行为。

但企业若逾期未整改，监管部门后续采取的APP下架、罚款等措施，则构成独立的行政处罚行为。根据《行政处罚法》第九条第（四）项，APP下架实质是对企业特定经营活动的限制，属于“责令停产停业”这一行政处罚类别。

此外，如企业有IPO计划的，结合我们的IPO数据合规实践，该类APP违规通报及整改情况易成为监管问询重点之一，企业需关注该影响，并进行谨慎应对。

2. 应对“两步走”

1) 快速响应，及时整改

收到APP违规通报后，企业应第一时间成立专项整改小组，由合规、技术、法务等多部门协同，对照通报问题清单制定详细整改方案，明确责任人和整改期限。在整改过程中，留存整改证明材料，为后续工作提供依据。

2) 主动沟通，取得监管机构的整改确认

建议企业建立与监管机构的高效沟通机制，在整改初期主动汇报整改进度，通过书面报告、会议沟通等形式，清晰说明整改措施、预期效果及时间节点。在整改完成后，提交完整的整改证明材料，包括内部整改报告、第三方检测机构出具的合规证明、用户权益保障措施优化方案等，申请监管机构进行复查。

同时，密切关注监管机构的反馈意见，及时调整完善整改内容，直至获得监管机构出具的整改完成确认文件，如与本次违规所涉通报关联的通报（如“回头看”等）、邮件反馈、与监管部门的沟通记录、电话录音等。

（二）智能终端APP可能成为治理重点

《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》已明确将智能终端个人信息保护列为年度重点任务，重点核查“未提供个人信息收集使用规则，高频次、高精度、长时段超范围收集非必要个人信息，以及相关功能开启后需在后台持续收集个人信息或者需在云端计算和分析的，但未向用户进行显著提示等问题”。

虽然目前监管部门尚未启动针对“智能终端”的专项整治，但作为2025年度专项行动重点任务之一，将可能很快开展，已有的“智能手表、智能手环等穿戴产品，智能音箱、智能门锁、智能摄像头等家居产品，智能平板、智能学习机等学习终端”运营者应当对照重点予以核查。

（三）通过个保审计强化APP合规水位

随着APP监管趋严，建议企业从“被动整改”向“主动合规”转变，主动开展PIA、个人信息保护审计等工作。通过外部专业顾问或内部审计团队，对APP合规问题进行审查，准确识别合规漏洞，并根据审计结果进行整改，以符合现有监管要求。

结语

随着APP治理领域的监管力度不断加大，APP治理将走向更加精细化、专业化、系统化的监管路线。最初针对APP违法违规收集使用个人信息的专项治理行动，到如今对APP全生命周期的严格把控，监管触角愈发深入。在这样的监管趋势下，APP运营者稍有不慎，就可能面临APP下架、高额罚款，甚至承担法律责任等严重后果。企业应高度重视APP合规问题，积极主动开展自查自纠，确保在合法合规的轨道上运营APP，避免陷入法律风险的泥沼。

附录：自2025年个人信息保护系列专项行动（3月28日）开展以来的各监管部门APP通报总结

扫描二维码，可获取该附录。

[注] 

[1]截至2025年7月23日。

[2]数据统计截止至2025年7月23日。