新华社北京1月10日电 近年来,移动互联网应用与群众生活深度绑定,线上支付、出行、医疗、教育等场景持续扩展,个人信息在数字经济中的价值日益凸显。
与此同时,部分应用存在“过度索权”“默认勾选”“拒绝即退出”“捆绑授权”等问题,收集范围与业务需求不匹配,增加信息泄露、滥用与黑灰产流转风险,引发社会关注。
在此背景下,国家互联网信息办公室起草《互联网应用程序个人信息收集使用规定(征求意见稿)》,并于10日公开征求意见,释放出以制度规则进一步压实平台与开发者责任、规范行业秩序的明确信号。
问题:一些应用程序在提供服务过程中,存在个人信息收集使用边界不清、告知不充分、同意不规范等现象。
用户对个人信息将被收集哪些内容、用于何种目的、保存多长时间、是否向第三方提供等关键事项知情不足。
更有个别产品将非必要权限作为“入场券”,以调用通讯录、通话记录、短信等权限获取与服务无关的数据,甚至可能涉及用户以外其他个人信息主体的权益,形成“被动被收集”的隐性风险。
原因:一是商业模式驱动下的数据依赖仍然较强。
部分企业将用户画像、精准投放、交叉营销作为增长手段,对数据“多多益善”的惯性未有效纠偏。
二是权限管理与产品设计存在路径依赖,部分开发者为降低研发成本、追求快速迭代,将权限申请前置、范围扩大,忽视了必要性论证。
三是行业生态链条复杂,第三方SDK、外包与多方合作使个人信息流向更分散,责任边界不清导致合规成本外溢。
四是一些用户在信息不对称下缺乏有效选择,面对冗长条款和频繁弹窗往往只能“同意继续”,客观上弱化了同意的真实性与有效性。
影响:个人信息一旦被超范围收集、共享或泄露,可能引发骚扰电话、精准诈骗、账号盗用、财产损失等现实危害,并削弱公众对数字服务的信任。
对行业而言,失序竞争会形成“合规者吃亏、违规者获利”的逆向激励,扰乱市场环境,阻碍优质创新。
对治理层面而言,若缺乏统一、可操作的规则细化,监管与企业合规将面临尺度不一、执行成本高等问题。
此次征求意见稿的提出,有助于将个人信息保护要求进一步落到应用运行的关键环节与高风险场景,推动形成更可预期的治理框架。
对策:征求意见稿围绕“最小必要、充分告知、明确同意、单独同意、限制越界”作出针对性安排。
其一,明确收集使用个人信息应采取对个人信息主体权益影响最小的方式,限定在提供产品或服务所必需范围内,强调不得超范围收集使用,为“必要性”设置制度标尺。
其二,要求应用在首次启动时通过弹窗等显著方式向用户告知个人信息收集使用规则,并在用户充分知情基础上取得对规则的明确表示,指向提升告知的可见性和同意的可验证性。
其三,对通讯录、通话记录、短信等权限调用提出更严格约束,原则上不得借此收集用户以外其他个人信息主体信息,仅在确需满足通讯联系、添加好友、数据备份等功能时允许例外,意在压缩“借权限之名行扩张之实”的空间。
其四,规定向第三方提供个人信息应当取得用户单独同意,强化数据流转环节的用户控制权,推动企业在合作、SDK接入、联合运营等场景下完善分级授权和风险评估。
前景:从更大范围看,随着个人信息保护相关法律制度持续落地,App治理正在从专项整治走向常态化、制度化。
征求意见稿若进一步完善并实施,预计将推动三方面变化:一是产品设计更强调“隐私保护默认设置”和“按需授权”,倒逼企业把合规前置到研发与运营全流程;二是数据合作将更注重透明与可控,第三方服务接入、数据共享与委托处理的合规审查将更严格,行业生态有望从“粗放扩张”转向“规范协作”;三是用户权益救济与社会监督可能更具可操作性,企业在告知、同意、权限管理、对外提供等环节的责任链条将更清晰。
与此同时,治理也需兼顾创新与发展,在确保必要数据合理利用的同时,避免“一刀切”影响正常服务体验,推动形成权益保护与数字经济发展相互促进的良性格局。
个人信息保护事关每个人的切身利益,也关系到数字经济的健康发展。
征求意见稿的发布标志着我国个人信息保护制度建设迈出重要一步,但法规的生命力在于执行。
只有政府、企业、用户形成合力,共同构建个人信息保护的坚固防线,才能真正实现个人隐私安全与数字经济发展的良性平衡,为建设网络强国提供有力支撑。