震惊！某零信任厂商SDK超范围收集个人信息

2025年6月26日，工业和信息化部信息通信管理局发布了2025年第3批（总第48批）关于侵害用户权益行为的APP（SDK）通报，其中某零信任厂商的零信任安全接入SDK超范围收集个人信息，强制、频繁、过度索取权限，SDK 信息公示不到位的问题。详细信息请“查看原文”。

相比智能手机刚问世的年代，如今国家对智能手机及其应用程序（APP）的管控确实日益严格，特别是在用户隐私保护和数据安全方面，整体呈现出不断增强的趋势。以Android系统为例，曾经的开放性让无数技术爱好者和开发者可以自由探索，但也留下了诸多安全隐患。早期的Android手机可以轻易获得ROOT权限，用户甚至无需太多技术知识即可对系统底层进行操作，这为恶意软件和数据窃取打开了方便之门。比如，只要ROOT权限被获取，一些工具或木马程序便能轻松读取微信、短信等敏感信息，严重威胁用户隐私。

随着监管体系的不断完善以及国家对数据安全重视程度的提升，这种情况已经有了显著改观。首先，从系统层面看，国内的Android手机厂商纷纷加强了安全策略。例如，华为、小米、OPPO、vivo等厂商在ROM中增加了多重安全机制，对ROOT行为进行了严格限制，ROOT权限默认关闭，普通用户很难接触到底层系统，进一步防止恶意应用提权操作。同时，各厂商还内置安全中心、应用权限控制、支付保护、恶意行为监测等功能，从用户端增强了对手机的整体安全控制力。

其次，从国家层面来看，政策法规也在不断推进移动互联网应用的规范化管理。近年来出台的《个人信息保护法》《数据安全法》《网络安全法》等一系列法律法规，为手机应用的权限使用、数据收集、传输和存储提供了法律依据，并对违法违规行为施加更高成本。例如，APP收集与其服务无关的个人信息、强制捆绑授权、无法删除账户等行为都被列入重点整治范围。一些知名企业也曾因此受到通报、下架、整改甚至处罚。

此外，应用市场的监管也越来越严格。各大安卓应用商店（如华为应用市场、小米应用商店、腾讯应用宝等）均配备内容审核机制和安全检测引擎，对APP的权限申请、SDK调用、行为追踪等进行全面审查。新上线应用需提供完整的信息合规说明、权限申请逻辑，甚至还需经过人工复核，极大提升了“上线门槛”。一些存在过度收集、静默安装、恶意捆绑的APP很难通过审核并进入市场。

当然，尽管整体形势已经改善不少，但问题仍然存在。一些APP厂商在合规性与盈利之间始终存在博弈心理，表面上遵守法律法规，实际上却通过技术手段“揣着明白装糊涂”，在灰色地带获取更多用户权限。他们往往利用“默认勾选”“模糊表达”“强制更新”“权限诱导”等方式诱导用户授权，借助用户行为数据进行画像建模、精准营销甚至数据出售，获取商业利益。这种行为虽隐蔽，但仍具有较大危害。

值得一提的是，当前国内智能手机环境相对封闭、安全，相比早期流行的手机木马、钓鱼软件、扣费短信等问题，如今的安卓手机几乎很少中毒。大部分木马传播都需要用户主动绕过系统安装限制，从非官方渠道下载安装未经验证的APK包，才可能带来风险。因此，“乱安装”依旧是当前手机安全问题的主要来源之一。用户安全意识的提升，依旧是防范个人信息泄露的重要环节。

总的来说，当前国内智能手机的整体安全水平与监管强度已今非昔比，但面对数据经济驱动下的利益诱惑，一些APP厂商仍然在边缘试探，挑战规则底线。未来，仍需进一步加强技术监管手段、丰富法律配套细则、提高用户识别能力，才能构建更加健康、公正、安全的移动互联网生态环境。

对于普通用户来说，保障手机使用过程中的信息安全和隐私保护至关重要。

首先，建议始终通过官方应用市场（如华为应用市场、应用宝、App Store等）下载安装APP，这些平台一般会对应用进行安全检测，能够有效避免恶意软件。

其次，不要随意ROOT手机，ROOT虽然带来自由度，但也会关闭系统的安全保护机制，极易被恶意程序利用，导致隐私数据泄露。

第三，避免使用来路不明的手机，尤其是二手或非正规渠道购入的设备，可能预装后门程序或存在硬件风险。

第四，尽量避免连接公共场所的免费Wi-Fi，这类网络可能存在中间人攻击、流量劫持等安全隐患，尤其在进行支付、网银操作时更应避免。

第五，定期检查手机中各个APP的权限设置，像位置、存储、麦克风等敏感权限建议按需开启，不使用时应关闭。

最后，在使用APP过程中，要留意其权限请求是否合理，例如一个手电筒应用申请访问通讯录、位置等权限，就需提高警惕，防止个人数据被滥用。养成良好的安全使用习惯，是保护个人隐私最有效的方式之一。