近年来,移动互联网应用深度嵌入工作生活,围绕个人信息的采集、共享与使用场景不断扩展。
与此同时,过度索权、诱导同意、以“不同意即无法使用”为由变相强制授权等问题仍时有发生,成为社会关注焦点。
为进一步规范互联网应用程序个人信息收集使用活动、强化个人信息权益保护,国家互联网信息办公室起草《互联网应用程序个人信息收集使用规定(征求意见稿)》,并面向社会公开征求意见,释放出以制度细化推动治理落地的明确信号。
问题:个人信息收集使用链条长、主体多,治理仍需“可操作规则” 从实践看,互联网应用程序个人信息处理并非单一环节,而是由应用运营者、软件开发工具包(SDK)提供者、应用分发平台、智能终端厂商等多方共同参与,形成“开发—嵌入—分发—预置—运行”的复合链条。
部分环节存在边界模糊、责任交叉的问题:一些应用为了商业变现扩大采集范围,部分SDK在后台调取设备信息、位置等数据,分发平台与终端预置环节审核把关不够严格,导致用户“知情难、选择难、退出难”。
在此背景下,征求意见稿试图把法律原则转化为更具可执行性的规范要求,使“合法、正当、必要”在具体场景中有章可循。
原因:利益驱动叠加技术复杂性,促使规则向“全链条责任”延伸 个人信息被滥用的一个重要原因,在于以精准推荐、广告投放、用户画像等为代表的商业模式对数据依赖程度高,部分主体将“多收集”视为降低运营成本、提升转化效率的捷径。
另一原因是技术体系复杂,SDK、系统接口、权限管理等专业性强,普通用户难以识别数据流向,也难以判断哪些信息属于提供服务所必需。
征求意见稿在总则中强调诚信原则,明确不得通过误导、欺诈、胁迫等方式收集使用个人信息,并提出对敏感个人信息应取得单独同意;同时,提出运营者对自身行为承担主体责任,并强化对嵌入SDK、分发应用、预置应用的审核义务,意在以制度安排回应“多主体、长链条”的现实结构。
影响:提高合规门槛,推动行业从“规模扩张”转向“规范竞争” 征求意见稿若正式落地,将对互联网应用生态产生多重影响。
对用户而言,规则强调充分告知、最小必要、不同意或撤回同意原则上不应成为被拒绝服务的理由(必要信息除外),有望改善授权体验,降低个人信息被过度采集的风险。
对企业而言,合规要求将更细、更严,尤其是应用运营者与SDK运营者的责任边界更清晰,分发平台与智能终端厂商的审核义务更突出,意味着“只管上线、不管合规”的空间被进一步压缩。
对行业而言,规则趋严并非简单增加成本,而是通过统一标准减少劣币驱逐良币,促使企业在数据治理、隐私计算、安全防护、权限管理等方面加大投入,形成以合规能力和服务质量为基础的竞争格局。
对策:以“透明告知+必要性控制+责任闭环”完善治理工具箱 从征求意见稿释放的治理思路看,下一步关键在于把原则要求转化为可审计、可追责、可验证的闭环机制。
一是提升透明度与可理解性。
个人信息收集使用规则需要用清晰易懂的方式逐项列明要素,便于用户识别“谁在收集、收集什么、为何收集、如何使用、如何联系”。
透明不仅是形式合规,更是降低信息不对称、增强社会监督的重要基础。
二是突出“最小必要”边界。
规范强调采取对个人信息主体权益影响最小的方式,限于提供产品或服务所必需,直指过度索权顽疾。
对于确属必要的信息,应在业务逻辑上做到“必要即用、用后可控”,避免与无关场景绑定。
三是强化多主体责任与审核义务。
征求意见稿明确应用运营者、SDK运营者分别承担主体责任,并要求应用运营者对嵌入SDK履行审核义务,分发平台对上架应用、终端厂商对预置应用履行审核义务。
责任链条越清晰,治理越能从“事后追责”向“事前预防”转变。
四是兼顾国家安全与通信秘密保护。
对汇聚、关联后可能涉及国家秘密事项的个人信息,要求按安全保密规定加强管理;对属于通信秘密的信息,提出不得检查内容、不得向第三方提供的原则性要求,体现对数据安全与通信自由的双重保护导向。
五是鼓励行业自律与社会监督并重。
征求意见稿提出鼓励行业组织建立自律机制,通过行业规范和自律公约促进合规实践,有助于形成政府监管、企业自律、社会监督协同推进的治理格局。
前景:规则细化将促进数字经济高质量发展,公众参与有望提升制度可用性 公开征求意见本身体现了重大规则制定过程中的程序规范与社会参与。
随着个人信息保护制度体系不断完善,监管将更强调“可执行、可检查、可追溯”,也更重视对新业态、新技术带来的风险进行前置规制。
对企业而言,越早建立覆盖产品设计、权限管理、SDK治理、第三方合作、安全防护与内部审计的合规体系,越能在未来的规范竞争中占据主动。
对公众而言,通过法定渠道提出意见建议,有助于让规则更贴近使用场景,提高可操作性与可感知度。
个人信息保护既是技术命题,更是治理考题。
此次征求意见既是法治进程的必然一步,也折射出数字化时代公共利益与商业逻辑的深刻博弈。
唯有政府、企业与公众三方协同,方能织就一张既保障安全又促进发展的数据之网。