摘要：2025年3月28日，中央网信办、工业和信息化部、公安部、市场监管总局发布《关于开展2025年个人信息保护系列专项行动的公告》，该专项行动启动后，国家计算机病毒应急处理中心加大了对违法违规收集使用个人信息的移动应用的检测和通报频率。

更可获得定期分享干货，时刻把握连锁经营最新动态，为您的企业合规发展保驾护航！

2025年3月28日，中央网信办、工业和信息化部、公安部、市场监管总局发布《关于开展2025年个人信息保护系列专项行动的公告》，该专项行动启动后，国家计算机病毒应急处理中心加大了对违法违规收集使用个人信息的移动应用的检测和通报频率。

2025年5月起，公安部也调动“公安部计算机信息系统安全产品质量监督检验中心”参与应用检测，二者的检测结果不定期通过国家网络安全通报中心发布。

截至目前，国家计算机病毒应急处理中心在2025年已发布5期检测通报：第一季度仅2月发布一期，涉及应用14款；自4月开始，每月稳定发布一期，单期涉及违法违规移动应用均超过60款。公安部计算机信息系统安全产品质量监督检验中心也在5月、6月各发布一期，分别涉及应用35款、45款。

检测机构通报的问题集中于《2025年个人信息保护系列专项行动的公告》明确的六类重点问题，同时参考了《App违法违规收集使用个人信息行为认定方法》。

其中，餐饮行业应用虽然从6月才开始出现在通报范围内，但涉及的应用和违法违规行为占比不低，推测之后还会持续受到检测机构的关注。

行业问题集中点

根据《2025年个人信息保护系列专项行动的公告》指出的当前6个方面监管重点，餐饮企业问题高发区为第1和第5类，即“App（含小程序、公众号、快应用）违法违规收集使用个人信息”“线下消费场景违法违规收集使用个人信息”。

近期两起通报中涉及餐饮企业（微信小程序）的高频违规行为如下：

国家计算机病毒应急处理中心检测发现64款违法违规收集使用个人信息的移动应用

2025年6月18日，国家网络安全中心通报，经国家计算机病毒应急处理中心检测，共64款移动应用存在违法违规收集使用个人信息行为。本次通报涉及应用范围广泛，其中咖啡、饮品点单类应用占比明显，主要问题包括以下类型：

（1）首次运行未提示用户阅读隐私政策，未以显著方式告知处理者信息、联系方式及保存期限，如《古茗茶饮点单》等；

（2）隐私政策未逐一列出App及其第三方收集使用个人信息的目的、方式、范围，如《霸王茶姬》《库迪咖啡》等；

（3）未征得用户同意即开始收集信息或开启权限，如《太平洋咖啡会员》等；

（4）更正、删除或注销功能缺失或实际响应不及时，未在承诺期限内完成人工处理，如《霸王茶姬》等；

（5）未提供便捷撤回同意方式，或撤回路径不合理，如《库迪咖啡》等；

（6）使用自动化决策进行推送营销，未提供非个性化选项或便捷拒绝机制，如《NOWWA挪瓦咖啡》等；

（7）未采取加密、去标识化等安全技术措施，如《霸王茶姬》《太平洋咖啡会员》《喜茶GO》等；

国家计算机病毒应急处理中心检测发现68款违法违规收集使用个人信息的移动应用

2025年7月11日，国家网络安全中心通报，经国家计算机病毒应急处理中心检测，68款移动应用存在违法违规收集使用个人信息情况。其中餐饮微信小程序占比较多，且该类行业所呈现的问题较为集中，主要包括：

1、首次运行时未提示用户阅读隐私政策；未以显著方式告知个人信息处理者的名称或者姓名、联系方式、个人信息保存期限，如《1点点 alittleTea+》《甜啦啦》《五谷鱼粉点餐》《吉祥混沌 Wonton》；

2、隐私政策未列出APP收集使用个人信息的目的、方式、范围等，如《1点点 alittleTea+》《老乡鸡》《甜啦啦》；

3、未在征得用户同意后才开始收集个人信息或打开可收集个人信息的权限，如《老乡鸡》；

4、未向用户提供撤回同意收集个人信息的途径、方式；个人信息处理者未提供便捷的撤回同意的方式，如《杨国福》；

5、通过自动化决策方式进行推销的，未提供不针对其个人特征的选项，或者未向个人提供便捷的拒绝方式，如《杨国福》；

6、未制定专门的未成年人个人信息处理规则，如《虎牙炒鸡官方》《吉祥混沌 Wonton》《老乡鸡》《塔斯汀+》《甜啦啦》《五谷鱼粉点餐》；

7、未采取相应的加密、去标识化等安全技术措施，涉及《1点点 alittleTea+》《虎牙炒鸡官方》《杨国福》《老乡鸡》《甜啦啦》《塔斯汀+》；

上下左右滑动查看更多

结合近两期通报中涉及餐饮企业（微信小程序）的高频违规行为，建议企业重点自查以下问题：

1、基础告知和同意机制不合规：如应用首次运行时未以弹窗等显著方式提示用户阅读隐私政策，隐私政策默认勾选同意、隐私政策难以访问。

2、隐私政策内容不实或不完整：未清晰展示运营方的名称、联系方式、信息保存期限等要素；未按业务功能逐一列明收集使用信息的目的、方式、范围等（含SDK）。

3、未提供或未提供便捷的用户撤回同意的方式。

4、处理未成年人信息不规范：涉及不满十四周岁未成年人个人信息，未制定专门处理规则，或未取得监护人单独同意。

5、未采取相应的加密、去标识化等安全技术措施。

6、权限调用违规：如提前开始收集个人信息或打开权限（位置、媒体文件、通讯录、设备、相机、相册等），无相关功能、未使用相关功能时调用非必要权限或收集非必要信息。

7、权利保障机制未落实：未提供有效的更正、删除信息、投诉渠道及注销账号功能。

8、个性化推送未提供退出渠道：通过自动化决策进行个性化信息推送、营销，但未同步提供非个性化选项或便捷的拒绝方式。

目前，企业通过微信小程序收集和处理消费者个人信息的使用场景普遍集中在线上点单、充值购券、会员积分、参与营销活动等环节。这些功能背后涉及的信息收集和处理逻辑大致趋同，监管机构倾向于要求企业形成统一、系统的个保管理机制。

随着互联网技术架构和品牌运营策略的日益发展，加之监管强化，企业需长期保持对产品开发、信息处理行为的合规审视，确保隐私政策同步更新并有效执行。考虑业务侧在收集调用字段、方式、插件接入等方面存在高频微调的可能，落实更新时建议结合变更的实质性，在合规框架内灵活应对、动态管理。

主要参考链接

国家计算机病毒应急处理中心检测发现64款违法违规收集使用个人信息的移动应用

国家计算机病毒应急处理中心检测发现68款违法违规收集使用个人信息的移动应用

四部门联合印发《App违法违规收集使用个人信息行为认定方法》

中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告

【中申律师】：上海中申律师事务所，成立于2007年。聚焦连锁法务领域18年，正在为全球200多个连锁品牌提供专业服务。近20年深耕，围绕连锁品牌法务需求，提供从战略到日常运营的个性化常法服务。

来源：中申律师事务所