围绕移动互联网快速发展带来的个人信息安全新课题,国家互联网信息办公室近日发布消息称,为规范互联网应用程序个人信息收集使用活动、维护个人信息权益、促进个人信息在合法合规前提下的合理利用,已起草《互联网应用程序个人信息收集使用规定(征求意见稿)》,并向社会公开征求意见。
公众可通过中国网信网、电子邮件或信函等方式提交意见建议,反馈截至2026年2月9日。
一段时期以来,互联网应用程序在便利生活、推动数字经济发展的同时,也暴露出“过度索权、超范围收集、强制授权、告知不充分”等突出问题:一些应用以“不开权限就不能用”为由变相捆绑授权,部分服务在与核心功能关联度不高的情况下频繁调用通讯录、位置、相册等权限;还有个别主体在隐私政策设置上条款冗长、表述模糊,用户难以真正理解信息去向与使用方式。
这类现象不仅侵害个人信息权益,也削弱公众对数字服务的信任基础,影响行业健康发展。
从原因看,一方面,数据要素在商业模式中扮演越来越关键的角色,个别经营者在流量和变现压力下出现“多收多用”的冲动;另一方面,应用生态链条长、参与主体多,除应用运营者外,软件开发工具包、分发平台、智能终端厂商等均可能在数据采集、权限调用、传播分发等环节发挥作用,一旦缺乏清晰、可执行的责任划分,就容易形成监管盲区。
此外,部分用户维权成本较高、取证难度较大,也使不规范行为更具隐蔽性。
此次征求意见稿在总体思路上强调依法治理、底线约束与可持续发展相统一,依据网络安全法、个人信息保护法以及网络数据安全管理条例等有关规定,围绕“谁能收、收什么、怎么收、怎么用、谁负责”作出更具针对性的制度安排。
征求意见稿明确适用范围,不仅涵盖在境内运营互联网应用程序过程中收集使用个人信息的活动,也将为相关活动提供服务的主体纳入规范视野,包括软件开发工具包运营者、分发平台运营者、智能终端等。
同时,对境外收集处理境内自然人个人信息、符合相关法律规定情形的活动,也提出相应适用要求,回应跨境场景下个人信息保护的现实需求。
在基本原则层面,征求意见稿强调收集使用个人信息应遵循合法、正当、必要和诚信原则,禁止通过误导、欺诈、胁迫等方式获取信息;要求充分告知收集使用规则并取得同意,对敏感个人信息应取得单独同意,并坚持对个人权益影响最小的方式,信息处理范围限于提供产品或服务所必需。
值得关注的是,征求意见稿对“不同意或撤回同意是否影响服务提供”作出明确导向:不得以用户不同意或撤回同意为由拒绝提供产品或服务,除非相关个人信息确属提供产品或服务所必需。
这一安排有助于遏制不当“二选一式”授权,推动服务供给回归功能本位。
在责任体系上,征求意见稿突出全链条合规要求:互联网应用程序运营者、软件开发工具包运营者分别对各自运营活动及安全保护承担主体责任;同时,应用运营者对嵌入的工具包、分发平台对所分发应用、智能终端厂商对预置应用依法履行审核义务。
未能进行有效审核并造成权益损害的,将依法承担相应责任。
此举意在推动各环节从“各管一段”转向“共同守门”,把合规压力传导至产业链关键节点,提升治理效能。
征求意见稿还对涉及国家秘密事项、通信秘密等特殊类别信息提出更严格要求,强调依法依规加强管理,不得对通信内容进行检查,不得向第三方提供,法律法规另有规定的从其规定。
这既体现对敏感领域的审慎态度,也为相关主体在合规边界上提供明确遵循。
从影响看,规则进一步细化后,一方面将提升用户对个人信息处理的可预期性,增强透明度与选择权,推动形成“明明白白授权、清清楚楚使用”的行业氛围;另一方面也将倒逼企业在产品设计、权限管理、第三方组件接入、分发审核等方面补齐短板,促使合规从“文档合规”走向“流程合规”“技术合规”。
短期内,部分企业可能面临整改成本上升,但从长远看,有利于重塑信任、减少安全事件与合规风险,推动数字经济在更稳固的规则框架下发展。
对策层面,征求意见阶段是完善制度的重要环节。
业内专家建议,运营者应围绕最小必要原则梳理功能与权限的对应关系,进一步提升告知的清晰度和可读性;对工具包等第三方组件建立准入评估与持续监测机制,完善数据调用日志与审计;分发平台与终端厂商则应强化上架、预置、更新等环节的审核把关,形成可追溯、可问责的管理闭环。
与此同时,行业组织可在主管部门指导下完善自律机制,推动形成可操作的行业规范与公约,接受社会监督,提升共治水平。
从前景判断看,随着个人信息保护制度体系不断健全,监管将更加重视规则可执行性与责任可追溯性,治理重点将从“发现问题”逐步转向“防止问题发生”,从单点整治走向生态治理。
未来,随着用户对隐私保护意识增强与企业合规能力提升,围绕权限管理、告知同意、敏感信息处理、第三方工具包治理等领域的标准化、精细化管理有望进一步落地,推动形成既能保障个人权益、又能促进数据合理利用的良性格局。
个人信息保护既是维护公民基本权利的必然要求,也是促进数字经济健康发展的重要保障。
此次征求意见稿的发布,标志着我国个人信息保护制度体系进一步完善,为规范互联网应用程序信息收集使用行为提供了更加明确的操作指引。
在数字化转型深入推进的今天,只有筑牢个人信息保护的制度防线,平衡好信息利用与权益保护的关系,才能真正实现数字经济发展成果由人民共享,让技术进步更好造福社会。