围绕移动互联网应用程序个人信息收集使用行为的规范化治理,主管部门再出制度化安排。
国家互联网信息办公室起草的《互联网应用程序个人信息收集使用规定(征求意见稿)》向社会公开征求意见,明确在境内运营互联网应用程序过程中收集使用个人信息的相关活动,以及为此提供服务的软件开发工具包、分发平台、智能终端等,应当遵守规定;对在境外收集使用境内自然人个人信息且符合相关法律规定情形的,同样纳入规制框架。
问题:一些应用超范围、强制性或不透明收集使用个人信息,仍是用户权益保护的痛点。
近年来,移动应用服务渗透到生活消费、政务服务、社交出行等多个领域,个人信息成为支撑个性化服务、风险防控和商业运营的重要要素。
但在实际运行中,部分产品在权限调用、敏感信息处理、第三方组件接入等方面存在“看不见、说不清、退不掉”的问题:告知不充分、同意不明确;与功能无关的信息被采集;用户撤回同意后服务被“一刀切”限制。
此类现象不仅侵蚀用户信任,也容易诱发数据泄露、滥用等安全风险。
原因:移动互联网生态链条长、技术组件复杂、利益驱动强,是问题反复出现的重要背景。
应用常通过嵌入第三方软件开发工具包实现统计、推送、登录、支付等功能,数据流转主体多、边界不清,容易出现“应用知道但说不清”“平台分发但审不严”“终端预置但管不到”的责任断点。
同时,在部分商业模式中,数据要素价值被过度放大,推动个别主体将采集范围扩大化、将授权提示复杂化,导致用户在信息不对称下被动让渡权益。
再加上不同类型应用功能更新频繁,合规要求若缺乏细化操作标准,企业落实容易出现“只写在隐私政策里、未落到产品流程中”的执行偏差。
影响:新规的公开征求意见,释放出以规则细化推动个人信息保护落地的政策信号,有望促进形成更清晰的合规预期。
一方面,征求意见稿以“合法、正当、必要、诚信”为基本原则,强调不得以误导、欺诈、胁迫等方式处理个人信息,并提出应采用对个人权益影响最小的方式、限于提供产品或服务所必需,直指超范围收集与强制授权等突出问题。
另一方面,文本提出对敏感个人信息应取得单独同意,强调充分告知与取得同意的程序要求,并对撤回同意后的服务提供作出边界安排,促使“用户可感知、可选择、可退出”成为产品设计的硬要求。
更重要的是,征求意见稿将责任链条延伸至软件开发工具包、分发平台与智能终端厂商,要求各主体对相关活动及安全保护承担主体责任并履行审核义务,意味着治理对象从“单一应用”扩展为“生态协同”,有助于堵住第三方组件和分发环节的管理漏洞。
对策:从制度条款走向落地见效,关键在于把“透明化、最小必要、可核验”嵌入产品全生命周期管理。
对互联网应用程序运营者而言,需要围绕功能与数据的对应关系梳理清单,明确每项功能收集使用个人信息的目的、方式、种类与权限调用频度,推动告知内容从“概括性表述”转向“逐项列明、结构化呈现”,并建立敏感信息处理的分级管理与审计机制。
对软件开发工具包运营者,应加强接口、权限和数据使用边界的合规设计,降低对宿主应用的“过度索取”,并提供可追溯的调用记录与风险提示。
对分发平台和智能终端厂商,则需完善上架、分发、预置环节的审核规则与抽检机制,对高风险权限、异常调用、违规组件等设置拦截与处置措施,形成发现—整改—复核的闭环管理。
行业组织也可在主管部门指导下推动自律规范与评估机制建设,发挥标准化、认证与培训作用,降低合规成本,提高整体水平。
前景:随着《网络安全法》《个人信息保护法》以及相关行政法规体系持续完善,针对移动应用场景的具体规制将更加注重可操作性与可执行性。
此次征求意见稿在适用范围、原则要求、主体责任等方面作出更细致安排,有助于在执法监管、企业合规与社会监督之间形成统一尺度。
可以预期,未来治理将更强调“规则前置”和“责任到人”:将合规要求前置到产品设计、开发测试、版本迭代与第三方接入等环节;将审核义务压实到应用、工具包、平台、终端等关键节点。
对企业而言,合规将从“成本项”逐步转变为“竞争力”,透明、克制、可验证的数据使用实践将更容易赢得用户信任与市场认可。
个人信息保护关系到每个网民的切身利益,也关系到数字经济的健康发展。
国家网信办推进《互联网应用程序个人信息收集使用规定》的制定和完善,既是对人民群众隐私权的尊重和保护,也是对互联网产业规范发展的引导和促进。
随着该规定的逐步落地实施,我国个人信息保护的制度体系将更加完善,用户在数字空间中的权益保护将得到更加有力的保障,互联网应用生态也将朝着更加规范、更加健康的方向发展。