5月中旬，公安部计算机信息系统安全产品质量监督检验中心在国家网络安全通报中心公布41款违法违规收集使用个人信息的移动应用。

　　《中国经营报》记者注意到，国家网络安全通报中心在今年3月、4月，连续通报了71款、37款违法违规收集使用个人信息的移动应用。

　　其中，小程序“优品商城”被指“在征得用户同意前就开始收集个人信息”。该小程序的运营主体为宁波青年优品共享科技有限公司（以下简称“优品商城”）。

　　记者进一步查询发现，优品商城以联合商户提供“信用购销”服务为由，在《个人信息授权书》中要求用户“同意并不可撤销”地授权多家担保公司查询、留存、提供、使用其相关信用信息。

　　“在信用购销服务个人信息处理场景中，个人信息处理者无权要求用户作出不可撤销授权承诺。”中伦律师事务所合伙人刘新宇律师向记者表示。

　　多款“商城”“分期”小程序被点名

　　在今年4月公安部计算机信息系统安全产品质量监督检验中心通报对37款移动应用作出检测，相关应用检测时间为今年1月23日至3月4日。从被点名的应用看，多数为各类“商城”“分期”小程序，这恰是“信用购销”等信用消费业态的集中地带。

　　通报将问题归纳为九类，包括未公开收集使用规则，未逐一列出收集、使用个人信息的目的、方式、范围，征得用户同意前就开始收集个人信息，实际收集的个人信息超出用户授权范围，未向用户提供删除其个人信息的具体途径、注销账户的途径和方式等。优品商城所涉的，正是其中的“征得用户同意前就开始收集个人信息”，与之同列该项的还有“悦享商城”“多点”“富宝袋”“中芒商城”等共5款应用。

　　围绕优品商城授权书中“同意并不可撤销”的表述，受访从业者均向记者表示，相关条款存在显著的合规瑕疵。

　　“在信用购销服务个人信息处理场景中，个人信息处理者无权要求用户作出不可撤销授权承诺。”刘新宇向记者表示。

　　《个人信息保护法》第十五条第一款明确规定，基于个人同意处理个人信息的，个人有权撤回其同意，个人信息处理者应当提供便捷的撤回同意的方式。

　　“协议约定授权不可撤销，实质是变相排除、限制用户法定撤回同意的权利，因此不具备收集个人信息的合法性基础。”刘新宇表示。

　　北京大成（上海）律师事务所合伙人彭凯亦向记者指出，处理者通过格式条款约定“不可撤销”授权，“实质是以合同安排限制个人法定权利，存在明显合规风险”。

　　此类通报并非孤例。今年以来，根据中央网信办、工业和信息化部、公安部联合发布的《关于开展2026年个人信息保护系列专项行动的公告》，相关检测通报持续展开：4月30日，国家网络安全通报中心通报国家计算机病毒应急处理中心检测发现的67款违法违规移动应用；5月14日，又通报公安部计算机信息系统安全产品质量监督检验中心检测发现的41款违法违规移动应用。其中5月14日的通报还显示，上述37款应用经复测仍有10款存在问题，相关应用分发平台已予以下架。

　　由信用消费、融资担保、征信查询等环节构成的“信用购销”场景，正是上述检测交汇的“重灾区”。一边是平台、担保公司、征信机构之间多方数据流转的客观需要，一边是用户在“一次性勾选”中难以辨别的多重授权安排。优品商城所反映的，正是这一场景下个人信息保护边界的现实问题。

　　除“不可撤销”问题外，记者还发现优品商城在个人信息授权书项下，不同合作主体对同一项权利的表述存在差异。例如对咸阳华瑞融资担保有限公司、深圳市华通泰融资担保有限公司、陕西经济协作担保有限公司的相关授权表述中均出现了“不可撤销”字样。

　　其中深圳华通泰融担还要求用户同意并不可撤销地授权中还含有授权“查询、使用、打印、报送本人及配偶、共同借款人、共同借款人配偶的信息”用于审核用户本人的融资担保业务办理。

　　与之相对，其他个人征信机构在优品商城的个人信息相关条款并未使用“不可撤销”的限定词。

　　“个人信息授权具有人身依附性，仅本人可有效授权。”刘新宇向记者表示， “替代他人同意，应有被替代第三方对替代单独作出同意的意思表示。”

　　在彭凯看来：“实务中较为稳妥的做法是要求相关主体本人单独签署授权文件，或通过其本人持有的账户、手机号完成独立的同意流程。”而仅以借款人单方勾选作为依据处理第三方信息，处理者难以举证已取得合法、有效的同意，“存在被认定为无合法性基础的风险”。

　　从立法成型到监管常态化

　　常态化整治的背后，是个人信息保护法律体系的逐步成型。近年来，我国已基本搭建起以《网络安全法》《数据安全法》《个人信息保护法》为框架、以《民法典》人格权编为兜底的法律体系。其中，2017年6月1日施行的《网络安全法》率先将个人信息保护写入网络治理基本法；2021年内施行的《民法典》《数据安全法》《个人信息保护法》进一步把个人信息处理的合法性基础、个人权利与处理者义务系统化。

　　在执法层面，监管部门对违法违规收集使用个人信息的常态化通报机制已经成型。早在2019年12月，国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局四部门联合印发《App违法违规收集使用个人信息行为认定方法》，明确将“未向用户提供撤回同意收集个人信息的途径、方式”列入“未经用户同意收集使用个人信息”的认定情形。此后，网信办“清朗”系列专项行动、工信部对App违规行为的专项整治及公安、市场监管部门的执法持续展开，App及小程序的合规水平加强。

　　从近期动态看，公安部计算机信息系统安全产品质量监督检验中心、国家计算机病毒应急处理中心等技术检测机构持续对移动应用进行抽检并向社会公布问题清单。本次将优品商城列入名单的通报，即来源于公安部计算机信息系统安全产品质量监督检验中心。

　　截至发稿，记者尚未收到优品商城运营主体宁波青年优品共享科技有限公司，以及咸阳华瑞融资担保有限公司、深圳市华通泰融资担保有限公司、陕西经济协作担保有限公司就上述问题的回复。

　　截至5月22日，上述主体对于“不可撤销”表述也未作出修改。对于上述主体涉及的个人信息处理条款，记者将持续关注。