随着移动互联网深入社会生产生活,应用程序在提供便利的同时,个人信息收集使用不透明、权限索取过度、数据共享链条拉长等问题也引发公众关切。
针对上述现象,国家互联网信息办公室起草并发布《互联网应用程序个人信息收集使用规定(征求意见稿)》,明确个人信息收集使用边界与程序要求,体现出以规则促治理、以治理促发展的政策导向。
问题:部分应用在个人信息处理上仍存在“越界冲动”。
一些产品在与核心功能关联度不高的情况下索取通讯录、短信、通话记录等敏感权限,或以“不同意即无法使用”为前置条件,削弱用户选择权;还有的在告知环节“藏字少字”,用户难以了解收集范围、目的与共享对象,增加信息泄露与滥用风险。
征求意见稿聚焦“不得超范围”“显著告知”“明确同意”等关键环节,回应了社会对透明度与可控性的期待。
原因:一方面,数据要素价值日益凸显,部分经营者在流量与变现压力下倾向于扩大采集范围,以支撑画像、推荐、营销等业务;另一方面,权限体系复杂、第三方SDK嵌套广泛,导致数据流向难以清晰呈现,合规成本与治理难度同步上升。
与此同时,用户对个人信息权益的意识不断增强,社会对规范化、可预期的制度供给需求更为迫切。
征求意见稿提出“采取对权益影响最小的方式、限于提供产品或服务所必需”,旨在从源头压缩不必要的数据处理空间,推动行业回归以服务为中心的合规逻辑。
影响:从用户角度看,显著告知与明确同意的要求,有助于提升知情权与选择权,减少“被动授权”“被迫同意”的现象;对“不得通过调用通讯录、通话记录、短信权限收集使用用户以外其他个人信息主体信息”的规定,直指现实痛点,有利于保护未直接使用该应用的相关人员权益,降低“连带式采集”带来的外溢风险。
对企业而言,规范并非束缚创新,而是通过明确边界降低不确定性,促使企业在产品设计阶段嵌入合规要求,优化权限申请与数据最小化策略,提升安全投入与治理能力。
对行业生态而言,向第三方提供个人信息需取得单独同意,将推动数据共享链条透明化,倒逼第三方合作机制、合同约束与审计机制完善,进一步压实平台和服务提供者责任。
对策:征求意见稿提出的制度安排,强调“规则可见、授权可控、边界可查”。
在告知与同意方面,要求应用在首次启动时以弹窗等显著方式告知收集使用规则,并在充分知情基础上取得明确表示,这将促使企业优化隐私政策呈现方式,避免以复杂条款替代有效告知。
在权限与范围方面,坚持“最小必要”,并对通讯联系、添加好友、数据备份等确需情形作出例外安排,体现对合理需求的兼顾。
面向第三方共享,单独同意机制将成为重要“闸门”,有助于区分核心服务必需与扩展用途,减少未经授权的数据流转。
下一步,还需在执行层面形成更可操作的细化指引,例如明确“必要信息”的判断标准、不同场景的权限最小集合、第三方共享的告知要素与留痕要求,以及对违规行为的处置程序和责任衔接,以提升规则落地的可检验性。
前景:可以预期,随着征求意见与制度完善推进,App个人信息治理将从“事后纠偏”向“事前预防”延伸,监管与行业自律将更强调产品全生命周期合规管理。
未来,合规能力将成为企业竞争力的重要组成部分:谁能以更少数据实现更好服务、以更清晰规则赢得更高信任,谁就更可能在市场中占据优势。
同时,个人信息保护与数据合理利用并非对立,关键在于在合法、正当、必要框架下推进数据治理,形成“保护促利用、利用更规范”的良性循环。
个人信息保护是数字时代的重要命题。
此次新规的制定,既体现了国家对公民权益的高度重视,也为互联网行业健康发展指明了方向。
在数字经济快速发展的背景下,唯有坚持发展与规范并重,才能真正实现技术红利与个人权益的双赢。
未来,随着监管措施的持续完善,一个更加安全、有序的网络空间值得期待。