33款App集体翻车：偷数据、难注销、无隐私政策！

2026年4月27日，中央网信办通报33款App存在个人信息收集使用违规。全能查询宝连隐私政策都没写，万达普惠收集与贷款无关的信息，零零汽等12款App想注销账号却找不到门。

这不是临时抽查，是定期检测的结果。表面看是企业违规，实际是三方在较劲：用户不想多给信息，平台想多收信息，监管想管住信息。这三方里，用户通常最弱势。

一、为什么连隐私政策都懒得写？

15款App没有收集规则，或者首次运行时没弹窗让用户看隐私政策。这是最基本的合规要求，相当于开店不亮营业执照、行医不挂执业证，门槛低到不能再低。

用户下载前看不到完整的隐私政策，安装后弹窗一闪而过，大多数人直接点同意。企业算准了这一点：反正你看不懂、懒得看、看了也退不了，那我还费劲写它干嘛？

违法成本太低了。不写隐私政策，最多被通报整改；写了但偷偷多收集，被抓到的概率更低。这就形成了一个怪现象：认真合规的企业反而吃亏，因为合规要花钱、要限制功能、要少收数据。规矩的企业成本高，违规的企业成本低，最后反而是不守规矩的把守规矩的挤走了。

但这种情况正在改变。《个人信息保护法》实施后，通报频次明显增加，从专项集中整治变成了常态化的检测抽查。监管在建立一种压力：企业不知道下次查谁，但知道一定会有人被查。这种"随时可能轮到我"的感觉，比一次罚个狠的更有用。

二、手机里看不见的收集者

SDK是什么？就是App里嵌进去的第三方工具包。一个App可能嵌了十几个，有的管推送广告，有的统计你点了哪里，有的负责分享到微信。问题是，这些工具包也在收集你的信息，但你不知道，App开发者自己也不一定管得住。

这涉及一个责任问题：App是用户直接面对的，SDK是藏在里面的，SDK要是乱收集信息，App要不要担责？法律规定，App作为个人信息处理者，必须向用户说明用了哪些SDK、它们在收集什么，出了问题App先担责。但现实中，很多开发者自己都不清楚SDK在后台干了什么，尤其是小团队直接买现成模板，SDK跟着代码一起打包，拿来就能用，隐患也跟着进来了。

更隐蔽的是SDK之间的数据互通。一个SDK知道你在哪里，另一个知道你搜了什么，两家数据一合并，就能拼出你的完整画像。单个App的隐私政策管不了这种跨平台的数据拼凑。

三、"必要原则"被架空

4款App违反必要原则，收集与服务无关的个人信息。

"必要原则"是个人信息保护的核心：收集的信息应当与提供的服务直接相关，且限于最小范围。但现实是，很多App把必要无限扩大。这次通报的万达普惠等金融类App，收集了超出金融服务需要的信息。类似的，市面上还有手电筒App要你的位置信息，说是优化服务。

这种越界背后是商业模式在推。数据对企业不是成本，是资产。多收一条信息，就多一个赚钱的路子。通讯录可以拿来催收，位置可以推送本地广告，浏览记录可以训练推荐算法。在平台眼里，不存在不需要的数据，只存在暂时没用上的数据。

但用户为此付出的代价是真实的。过去几年，多家招聘平台泄露用户简历，导致精准诈骗；一些金融App过度收集信息，被拿去暴力催收或卖给第三方做精准营销。这些案例说明，多收一点不是无害的，风险会越积越多。

四、注销比注册难

注册时一键登录，注销时要上传手持身份证照片、拨打客服电话、等上15个工作日，甚至根本找不到注销入口。进来只要几秒钟，出去可能要折腾半个月。

注销难本质是平台不想让你带走数据。你的账号里有你点了什么、买了什么、认识了谁，这些都是平台运营的基础。让你注销，等于让平台把自己能用的资源删掉。所以平台会故意设卡，把注销流程拖长、变复杂，让你知难而退。

法律其实写了用户有权删除自己的数据，也有权把数据转移到别处。但实际操作中，这两项权利很难落实。注销流程复杂、客服推诿、数据到底删没删你也查不了。很多人只能把App一删了事，以为这样就清干净了，其实数据可能还留在平台的服务器里。

五、15个工作日整改

通报要求运营者15个工作日内整改并上报。没有直接下架，没有顶格罚款，这种先给机会、后动真格的设计很有意思。

直接下架对企业是致命打击，但也可能伤到已经付费的用户。先让整改，是考虑到处罚要和过错相匹配，小错不急着用重手。

但整改不是终点。整改后还要核查，核查不过就依法依规处置，这句话后面跟着的是下架、罚款，情节严重的还要追究刑事责任。

通报本身就会让企业丢脸。被点过名的App，应用商店可能下架或标风险，媒体报道会贴标签，用户下载时会犹豫。这种市场层面的损失，有时候比罚款更疼。

六、弹窗

通报反复提到"弹窗提示""明示同意"，但问题是，用户真的在同意吗？

一个普通人手机里装着几十个App，每个首次打开都要弹窗，每次更新都要重新授权。点"同意"已经变成下意识动作，眼睛看到了，脑子没反应。选择太多，人就会放弃思考，直接选最省事的。天天被弹窗轰炸，谁还有精力一条条看？

这就形成了一个怪现象：法律越要求必须让用户知道，用户可能越不当回事；企业越按规定弹窗，用户越麻木地点确认。最后，法律要求的形式做到了，实际保护的效果却没了。

要解决这个问题，不能光靠把弹窗做得更大。可以分开处理：基础功能不额外收集信息也能用，增值服务再单独申请权限；要给用户随时反悔的入口，同意了一次不代表永远同意；更重要的是，不能把责任全推给用户。不是点了同意我就免责，而是我收了你的信息，我就要负责到底。

结语

33款App被通报，背后是33个关于谁说了算的问题。从懒得写隐私政策，到注销时故意设卡，企业每一步都在试探：用户能忍到什么程度，监管能管到什么程度。

但趋势是明确的。个人信息保护以前是企业想做就做，现在正在变成不做不行。过不了合规关的App，以后可能连应用商店都上不了。

对用户来说，真正的保护不是隐私政策写得更长，而是不同意也能用。当有一天，拒绝给通讯录照样能借钱，不开位置照样能叫外卖，那才算是把选择权真正交给了用户。