近年来,移动互联网应用深度嵌入社会生活与产业运行,个人信息在消费、出行、医疗、政务等场景中被频繁处理。
与此同时,过度收集、强制授权、隐蔽调用权限、向第三方不当共享等问题仍时有发生,社会对个人信息安全与权益保障的关注持续升温。
在此背景下,国家互联网信息办公室依据网络安全、个人信息保护、数据安全相关法律法规,起草互联网应用程序个人信息收集使用规定并向社会征求意见,旨在以更具体的规则提升治理的可操作性与一致性。
一是直面“问题”:个人信息处理链条长、参与主体多,责任边界需要进一步清晰。
App运营者在产品设计、权限调用、数据存储与共享环节承担主要责任,但实际运行中往往还涉及软件开发工具包(SDK)、分发平台、预置渠道以及终端系统能力等多方协同。
一些场景下,用户难以看清“谁在收、收什么、为何收、给谁用、保存多久”,同意的真实性与充分性不足,给权益保护带来挑战。
征求意见稿将治理对象延伸到为App收集使用个人信息提供服务的SDK、分发平台和智能终端等,回应了“生态化治理”的现实需求。
二是剖析“原因”:技术迭代与商业模式推动数据要素流动加速,但合规机制与用户认知存在滞后。
以个性化推荐、广告投放、反作弊风控等为代表的业务需求,往往依赖多维数据与跨主体协作;同时,SDK嵌入与接口调用让数据流转更隐蔽,用户难以逐项识别授权后果。
部分产品为追求转化率和增长,倾向于“多收集、先收集”,把非必要信息纳入默认权限;分发平台与终端预置环节如果审核不到位,容易放大风险。
征求意见稿提出合法、正当、必要和诚信原则,明确不得以误导、欺诈、胁迫方式收集使用个人信息,并强调“对权益影响最小”的处理方式,意在从源头纠偏“超范围”冲动。
三是评估“影响”:规则细化有助于提升透明度、压实责任、降低社会成本。
征求意见稿提出公开透明要求,强调以清晰易懂语言逐项列明收集使用规则,并以结构化清单形式说明功能与个人信息处理的对应关系,包括目的、方式、种类、权限名称与调用频度等。
同时对嵌入SDK的信息披露提出更细要求,如SDK名称(包名)、版本、主要功能、运营者信息、收集使用的个人信息种类以及完整规则链接等。
对用户而言,这将增强知情权与选择权;对企业而言,意味着合规从“概念性承诺”转向“清单化管理”,有助于减少纠纷与监管不确定性,也推动行业形成可对照、可审计、可追责的治理框架。
值得关注的是,征求意见稿明确提出:收集使用敏感个人信息应取得个人信息主体的单独同意;向第三方提供个人信息等涉及权益影响更大的情形,强调应取得单独同意并依法合规。
这一安排有利于遏制“默认勾选”“一揽子授权”等做法,推动同意机制回归“真实、自愿、充分告知”的本义。
同时,稿件提出不得以不同意或撤回同意为由拒绝提供产品或服务,除非相关个人信息属于提供服务所必需,意在平衡权益保护与基本服务供给,减少“不同意就无法使用”的变相强制。
四是提出“对策”:以主体责任和审核义务为抓手,推动全链条合规落地。
征求意见稿明确App运营者、SDK运营者分别对其个人信息收集使用活动及安全保护承担主体责任;同时要求App运营者对嵌入SDK、分发平台对分发App、智能终端厂商对预置App依法履行审核义务,未能有效审核并造成损害的依法承担相应责任。
这一制度设计强调“谁参与、谁负责”“谁把关、谁担责”,有助于促使分发渠道、终端预置与SDK供应链加强合规评估、权限最小化配置、版本更新管理与风险处置机制建设。
在信息安全与国家安全层面,征求意见稿对涉及国家秘密事项的个人信息汇聚关联后强化管理,对通信秘密相关个人信息提出不得检查内容、不得向第三方提供的要求,并明确依法依规处理,为特殊类型信息划定更严格边界,体现分类分级保护思路。
五是展望“前景”:制度细化将推动“数据可用不可滥用”,促进数字经济健康发展。
随着公众权利意识增强与监管体系完善,个人信息保护从单点整治走向常态化治理是大势所趋。
预计未来App合规将更加依赖产品设计阶段的“隐私保护内嵌”,包括权限调用精细化、SDK治理清单化、数据最小化与保存期限管理、用户权利响应流程标准化等。
行业组织建立自律机制、制定规范和公约并接受社会监督,也将成为监管之外的重要补充力量。
对企业而言,越早建立统一的合规与安全治理体系,越能在竞争中形成可持续的信任优势。
个人信息保护关乎每一个网民的切身利益,也关系到数字经济的健康发展。
国家网信办此次发布的规定征求意见稿,以更加细化、更加严格的要求,为广大用户筑起了一道有力的保护屏障。
接下来,各互联网企业应当认真研究规定内容,主动适应监管要求,切实担负起个人信息保护的社会责任。
社会各界也应积极参与意见征求,为这份关乎全民利益的重要规定贡献智慧。
只有政府、企业、用户形成合力,才能共同营造一个更加安全、更加规范的互联网生态。