近期,部分应用程序在用户尚未使用相关功能时即要求开通通讯录、位置、相机、麦克风等权限,或在用户拒绝后反复弹窗干扰正常使用,引发社会关注。
国家网信办此次公开征求意见的规定,聚焦“收集什么、何时收集、如何告知、如何调用、如何退出”等关键环节,旨在以更细化、可操作的制度安排,推动个人信息处理活动在法治轨道上运行。
问题——“过度索权”与“暗中调用”损害用户知情与选择。
征求意见稿提出,应用程序应在首次启动时以弹窗等显著方式告知个人信息收集使用规则,并在设置页面等醒目位置提供一键访问功能,方便用户查阅与保存。
对权限获取时点,意见稿强调“用到再要、要必告知”:应用程序仅可在用户使用具体功能时索要对应的必要权限,并同步说明目的,不得提前索要。
对于用户拒绝授权的情形,意见稿明确不得以频繁索要等方式影响用户正常使用其他功能,以减少“被迫同意”的变相强制。
原因——商业驱动与技术便利叠加,导致边界模糊、责任分散。
一些应用出于画像营销、业务扩张或风控等考虑,倾向于“一次性”获取更多权限,以降低后续再申请的成本;同时,权限体系长期存在“授权颗粒度粗、场景约束弱、调用不透明”等问题,用户难以判断权限是否与当前操作相关。
再加之产业链条中应用运营者、平台分发渠道、终端与操作系统等主体责任边界不够清晰,导致“谁来提示、谁来限制、谁来审查”的执行标准不一,客观上给了不规范行为以空间。
影响——既关乎个人信息安全,也影响数字经济的信任基础。
相机、麦克风、位置等权限一旦被不当调用,可能带来超范围收集、行为轨迹暴露等风险,侵害用户隐私与人格权益;同时,频繁弹窗与强制索权也会降低用户体验,抬高公众对数字服务的戒备心理,影响线上消费、移动办公等场景的普及。
更重要的是,数据要素价值释放需要建立在透明、可控、可追溯的规则之上,治理“过度索权”有助于形成更稳定的预期,推动企业在合规框架内创新。
对策——以“最小必要、场景调用、显著提示、精细授权”构建闭环治理。
对敏感权限调用边界,意见稿提出应用程序仅在用户主动选择使用拍照、发送语音、录音录像等功能时方可调用相机、麦克风权限,且不得在用户停止使用相关功能或无关场景下继续调用。
对实时定位等高频场景,意见稿明确地图导航、路径记录、外卖闪送、位置共享等业务需要持续定位时,调用频率应限于实现功能的最低频度,强调“能少则少、能短则短”。
在终端侧,意见稿要求智能终端操作系统在应用索要日历、通话记录、相机、通讯录、位置、麦克风、短信、存储、身体活动等权限时弹窗征得同意,并可根据权限特点提供基于时间、频度、精度等精细化授权模式选项,增强用户控制能力。
同时,智能终端应在屏幕顶部等显著位置以易于理解的图标等方式提示当前正在调用的麦克风、摄像头、位置等权限,提升透明度与可感知性。
针对预置应用管理,意见稿提出终端厂商受理预置申请时应登记并核验运营者真实身份和联系方式等信息,对未提供或提供虚假信息、无个人信息收集使用规则、无账号注销功能或缺乏删除个人信息途径的应用不予预置,以压实前端“入口关”。
前景——规则更细、责任更明,有望推动形成良性生态。
随着意见稿公开征求意见并进一步完善,预计应用权限管理将从“事后纠偏”转向“事前可控”,操作系统的精细化授权与显著提示将成为提升用户信任的重要抓手,预置审核机制也将倒逼运营者提升合规水平。
下一步,关键在于配套标准与执法衔接:一方面需要细化“必要性”与“最低频度”等判断尺度,便于企业对标整改、监管部门统一执法;另一方面也需强化对违规调用、反复弹窗等行为的监管处置与公开透明的社会监督,推动形成可持续、可验证的合规机制。
对于企业而言,合规不仅是底线要求,更是竞争力来源,通过减少无关权限、优化授权路径、强化隐私保护设计,有助于在存量竞争中赢得用户口碑。
个人信息保护是数字时代的重要课题,关系亿万用户的切身利益。
此次征求意见稿的发布,体现了监管部门坚持以人民为中心、依法治网的鲜明态度。
从制度设计到落地实施,还需要政府部门加强监督执法,企业切实履行主体责任,用户提高安全意识,多方协同形成保护合力。
唯有如此,才能在促进数字经济健康发展的同时,真正筑牢个人信息安全防线,让广大人民群众在网络空间拥有更多获得感、幸福感、安全感。