围绕移动互联网应用程序个人信息收集使用乱象与治理需求,国家互联网信息办公室近日起草《互联网应用程序个人信息收集使用规定(征求意见稿)》,并向社会公开征求意见。
征求意见稿以网络安全法、个人信息保护法、网络数据安全管理条例等为依据,对应用程序及相关生态环节的合规边界、告知同意、审核义务与安全保护责任作出更具操作性的细化安排,释放出强化个人信息保护、推动平台经济健康发展的政策信号。
问题:个人信息收集“过度化”“隐蔽化”仍是突出痛点。
近年来,部分应用程序在权限申请、功能调用、SDK嵌入等环节存在超范围采集、默认勾选、诱导授权、与服务无关却强行索取权限等现象。
一些用户在不充分知情的情况下完成授权,或在撤回同意后遭遇服务被限制、账号难以注销等情况,导致个人信息权益受损、信任成本上升。
与此同时,应用分发平台、终端预置应用、第三方SDK等环节链条较长,责任易“漂移”,也给监管与维权带来难度。
原因:技术生态复杂叠加商业激励驱动,是问题反复出现的重要背景。
一方面,移动应用依赖广告、推荐、统计、支付等第三方组件,SDK一旦嵌入便可能形成“隐形数据通道”,用户难以识别具体收集者与用途。
另一方面,数据要素价值提升,一些经营者倾向于以“多收集、再利用”获取商业收益,甚至以模糊告知、捆绑授权降低合规成本。
此外,不同主体之间审核标准不一、信息披露格式缺乏统一,也使“透明”原则在实践中难以落地。
影响:治理规则细化将对行业秩序与用户权益产生多重效应。
对个人而言,征求意见稿强调不得以拒绝或撤回同意为由拒绝提供服务(必要情形除外),并提出敏感个人信息需取得单独同意,有助于减少“被迫授权”和敏感数据滥用风险。
对企业而言,公开透明的清单式披露、保存期限与到期处理方式、用户权利行使路径等要求,将推动产品设计与合规治理前置,倒逼形成“最小必要”的数据处理闭环。
对市场环境而言,责任链条的明确有助于减少“甩锅”空间,促进公平竞争与规范创新。
对策:征求意见稿从原则、责任、流程三方面提出更可执行的治理路径。
其一,确立合法、正当、必要与诚信原则,明确不得通过误导、欺诈、胁迫等方式收集使用个人信息,并强调对用户充分告知、取得同意,敏感个人信息须单独同意。
其二,压实主体责任,规定应用程序与SDK运营者分别对各自个人信息处理与安全保护承担责任,同时明确应用程序运营者对嵌入SDK、分发平台对上架应用、智能终端厂商对预置应用依法履行审核义务,未有效审核造成损害的依法承担相应责任。
其三,强化“可读、可比、可核”的透明机制,要求以清晰易懂语言逐项列明运营者信息、各功能收集目的方式种类、权限调用名称与频度、敏感信息必要性及对用户权益影响、SDK清单及其规则链接、保存期限与到期处置、用户查阅复制更正删除限制处理与注销撤回同意的方式等,为监管抽查、社会监督与用户选择提供明确依据。
其四,在特殊信息边界方面,对汇聚关联后可能涉及国家秘密事项的信息提出加强管理要求,对属于通信秘密的个人信息提出不得检查内容、不得向第三方提供的规定,突出安全保密底线。
前景:从长远看,此次征求意见有望推动个人信息保护从“原则要求”走向“细则落地”。
随着规则进一步完善,应用程序生态将逐步形成以清单化披露、权限最小化调用、数据全生命周期管理为特征的合规框架。
预计行业将出现三方面变化:一是合规能力成为竞争要素,更多企业通过隐私工程、合规审计与风险评估提升治理水平;二是分发平台与终端厂商的审核责任强化,应用上架、预置与更新环节可能引入更严格的标准化校验;三是行业组织自律机制的作用增强,通过规范与公约推动“同标同责”,提升社会监督效果。
与此同时,如何在用户体验、创新效率与合规成本之间实现更优平衡,也将成为制度实施过程中的重点议题。
个人信息保护既是技术命题,更是治理考题。
此次立法征求意见不仅是对具体行为规范的完善,更是对国家治理能力现代化的生动实践。
当技术发展与权益保障形成动态平衡,数字经济的航船方能行稳致远。
正如网络安全法奠基者所言:"数据治理的终极目标,是让每个字节都流淌着文明的温度。
"