近日,国家互联网信息办公室对外发布消息,为规范互联网应用程序个人信息收集使用活动、维护个人信息权益、促进个人信息依法合理利用,依据相关法律法规,网信部门起草了《互联网应用程序个人信息收集使用规定(征求意见稿)》,并面向社会公开征求意见。
征求意见稿围绕“告知—授权—调用—管理—审核”等关键环节提出更细化要求,旨在回应社会对App过度索取权限、弹窗反复打扰、敏感权限被“常态化调用”等痛点关切。
问题:权限申请“越界”与用户体验受损并存。
近年来,部分互联网应用程序在功能尚未触发时提前索取通讯录、位置、麦克风、相机等权限,甚至在用户拒绝后仍频繁弹窗提示,造成“不同意就难用”“不授权就被打扰”的体验;也有应用在停止使用相关功能后仍调用摄像头、麦克风或持续定位,引发用户对隐私泄露、滥用数据的担忧。
征求意见稿直指这些现象,强调要把权限申请与具体功能绑定,限制无关场景调用,遏制以“默认同意”“反复索要”变相获取授权的做法。
原因:商业驱动与规则边界不清叠加,治理需要更精细工具。
一方面,个别平台出于精准推荐、广告投放、风控画像等目的,存在扩大数据采集范围的冲动;另一方面,不同应用对“必要性”“最小范围”的理解不一,用户面对复杂授权选项往往难以判断,导致“被动授权”。
此外,终端系统提示不够直观、预置应用审核尺度不一,也使得部分不规范应用更易进入用户设备。
征求意见稿将监管要求进一步落到可执行的产品机制上,体现出从“原则性要求”向“可验证、可追责的流程规则”延伸的思路。
影响:以制度明确边界,推动行业从“多要多得”转向“用到才要”。
根据征求意见稿,互联网应用程序应在首次启动时以弹窗等显著方式告知个人信息收集使用规则,并在设置页面等醒目位置提供一键访问,便于用户查阅和保存。
这将提升信息透明度,减少“看不见的收集”。
在权限申请上,规则强调仅在用户使用具体功能时方可索要相应必要权限,并同步说明使用目的,不得提前索要;用户拒绝后,不得频繁索要以致影响其他功能正常使用。
对相机、麦克风等敏感权限,要求仅在用户主动选择拍照、语音、录音录像等场景调用,且在停止使用或无关场景不得调用;对需要实时定位的导航、路径记录、外卖闪送、位置共享等场景,持续调用位置权限的频率应控制在实现业务功能所需的最低频度。
相关规定有助于降低敏感权限被滥用的空间,提升用户可感知的安全感与可控性,也将倒逼应用优化产品设计,以更少数据实现同等服务。
对策:应用“最小必要”与终端“精细化授权”双向发力。
征求意见稿不仅对应用提出义务,也对智能终端操作系统提出配套要求:当应用索要日历、通话记录、相机、通讯录、位置、麦克风、电话、短信、存储、身体活动等权限时,操作系统应以弹窗方式征得用户同意,并根据权限特点提供基于时间、频度、精度等维度的精细化授权模式选项,以提升授权的可控性和可理解性。
同时,智能终端应在屏幕顶部等显著位置,以清晰易懂的图标等方式如实提示当前正在调用的麦克风、摄像头、位置等权限,增强“正在发生”的可视化提醒,减少后台静默调用带来的风险。
在预置应用治理方面,征求意见稿提出,智能终端厂商受理互联网应用程序预置申请时,应登记并核验运营者真实身份、联系方式等信息;对未提供或提供虚假信息,以及缺少个人信息收集使用规则、缺少账号注销功能或删除个人信息途径的应用,不予预置。
这一安排有助于把合规门槛前移,从源头提高进入设备的应用质量,压实“谁运营、谁负责”“谁预置、谁把关”的责任链条。
前景:规则落地将推动数据治理走向规范化、精细化与可持续。
随着个人信息保护相关制度体系不断完善,应用合规不再是“可选项”,而将成为产品上线、运营迭代、商业合作的基础门槛。
预计新规实施后,行业将加快形成更清晰的权限最小化标准、更一致的弹窗与告知方式、更可审计的权限调用日志与风控策略;同时,终端系统的精细化授权能力和显著提示机制有望进一步普及,促使用户从“被动勾选”转向“按需授权”。
对企业而言,合规能力将成为竞争力的一部分;对社会而言,数字经济的信任基础将得到夯实。
在数字化生存成为常态的今天,个人信息安全已从技术问题升维至治理命题。
此次新规既是对公民权利的实质性捍卫,也为数字经济健康发展划定了清晰边界。
当技术应用与法治规范同频共振,我们方能真正实现"科技向善"的愿景。
公众意见征集通道的持续开放,更体现了立法过程对民意的尊重与吸纳,这或许正是中国式网络空间治理的鲜明注脚。