新法背景：2021年11月1日，《个人信息保护法》正式实施，确立"告知-同意"核心规则与"最小必要"收集原则，赋予个人撤回同意权、可携带权等新型权利。法律第6条明确要求，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。

案件事实：2022年3月，国家网信办对某头部金融APP开展专项检查，发现其存在多项违规：用户注册时强制要求提供通讯录权限，否则无法使用基本功能；收集用户精准定位信息用于营销推送，但隐私政策未明确说明该用途；用户申请撤回同意删除个人信息，APP设置30天审核期且未实际删除；未建立个人信息保护负责人制度。

经调查，该APP累计收集用户通讯录信息超5000万条，精准定位信息超2亿条，用于构建用户画像并向第三方共享。网信办认定其行为违反《个人信息保护法》第5条、第13条、第15条、第52条，构成超范围收集、未保障撤回同意权、未履行保护职责。

裁判要旨：网信办依据《个人信息保护法》第66条作出行政处罚：责令改正，给予警告，没收违法所得3200万元，并处罚款1000万元；对直接负责的主管人员罚款50万元。处罚决定书明确三项执法标准：第一，基本功能与必要个人信息严格对应，强制收集非必要信息即违法；第二，撤回同意机制应当便捷，设置不合理障碍属违规；第三，大型平台须设个人信息保护负责人，落实组织保障。

制度展望：本案系《个人信息保护法》实施后首例大额处罚案，确立"合规即底线"的执法态度。对"十五五"法治建设而言，启示在于：数字经济发展需法治护航，个人信息保护应成为企业合规核心；执法机关需建立常态化检查机制，从技术检测、用户举报、专项审计多维度监管；未来可探索"合规激励"制度，对主动整改企业给予政策优惠，形成"处罚-整改-提升"良性循环。