围绕移动互联网服务快速普及、应用功能不断叠加带来的个人信息保护新挑战,国家互联网信息办公室起草《互联网应用程序个人信息收集使用规定(征求意见稿)》,并面向社会公开征求意见。
征求意见稿以网络安全法、个人信息保护法以及网络数据安全管理相关制度为依据,聚焦“收什么、为何收、怎么收、谁来管、如何担责”等关键环节,意在进一步压实互联网应用程序个人信息收集使用的合规底线,维护用户知情权、选择权等合法权益,同时推动个人信息在合规框架内的合理利用。
问题:部分应用过度收集与“默认授权”现象仍需治理。
实践中,一些互联网应用程序在提供服务过程中存在与功能无关的信息收集、以复杂条款弱化告知、以频繁弹窗诱导授权、将敏感信息与一般信息混同处理等问题;还有个别主体通过嵌入第三方工具组件等方式扩大数据调用范围,导致用户难以分辨信息去向与用途。
征求意见稿将“合法、正当、必要和诚信”作为基本原则,强调不得以误导、欺诈、胁迫等方式收集使用个人信息,并提出应当以对个人权益影响最小的方式开展处理活动,信息处理范围限于提供产品或服务所必需,直指行业痛点。
原因:产业链条复杂、责任边界模糊与合规成本外部化并存。
当前应用生态由运营者、工具组件提供方、分发平台、终端厂商等多主体共同构成,数据链路长、调用接口多,容易出现“责任分散、审核缺位”的治理盲区。
部分运营主体在追求增长与商业变现过程中,将数据视为关键资源,倾向于以“多收集、广调用”换取推荐、广告、风控等效果;而用户在信息不对称下常被迫接受“一揽子授权”。
针对上述结构性因素,征求意见稿明确互联网应用程序运营者、软件开发工具包运营者分别对自身个人信息收集使用及安全保护承担主体责任,同时提出应用运营者对嵌入的工具组件、分发平台对分发的应用、智能终端厂商对预置应用依法履行审核义务,未能有效审核并造成损害的依法承担相应责任,突出“全链条可追责”的制度导向。
影响:规则进一步细化,有助于稳定预期、促进数字经济健康发展。
一方面,征求意见稿强调充分告知与同意机制,提出收集使用规则应以清晰易懂语言真实、准确、完整、逐项列明相关事项,并对敏感个人信息处理强调“单独同意”等更严格条件,将推动运营者优化权限申请、弹窗交互和隐私政策呈现方式,减少“被动同意”“模糊同意”。
另一方面,征求意见稿提出不得因用户不同意或撤回同意而拒绝提供产品或服务(个人信息确属必需的除外),有利于遏制“强制授权、捆绑同意”,倒逼企业回归“以功能为中心”的数据最小化设计。
对行业而言,清晰的合规标准与可执行要求有助于降低企业合规的不确定性,推动形成公平竞争环境,促进数据要素在合规边界内流通与利用。
对策:以透明规则、有效审核与分类保护构建治理闭环。
征求意见稿提出公开、透明原则,要求制定并公开个人信息收集使用规则;强调对国家秘密事项相关信息应依规加强管理,对属于通信秘密的信息不得检查内容、不得向第三方提供,凸显对重点领域、重点信息的安全要求。
与此同时,文件还提出鼓励行业组织建立自律机制,制定行业规范和自律公约,接受社会监督。
这意味着治理路径将从单一的事后处罚,进一步向“制度约束+行业自律+社会监督”的综合治理拓展。
对企业而言,应尽快梳理“功能—信息—权限—用途”清单,建立第三方组件准入与持续审计机制,完善内部合规评估、敏感信息处理的单独同意流程与撤回同意的服务保障方案,实现“能证明合规、可追溯责任”。
对平台与终端侧,则需提升应用上架、分发与预置环节的审核能力,通过技术检测、抽查复核、风险提示等方式把关,防止违规应用在生态内扩散。
前景:从“治乱”走向“提质”,个人信息保护与创新发展将更趋协同。
随着个人信息保护法等制度持续落地,监管要求正从原则性规定逐步转向可操作、可量化、可核验的细则。
征求意见稿将治理触角延伸到工具组件、分发平台与终端厂商,有望提高行业整体合规水平,推动形成“谁处理、谁负责;谁提供服务、谁尽审核义务”的清晰格局。
下一步,随着社会各界意见汇聚并推动文本完善,相关规则在实施层面可能更强调标准化的告知模板、权限调用的必要性论证、敏感信息处理的场景化边界以及违规行为的认定尺度,从而进一步提升执行一致性与可预期性。
可以预见,围绕个人信息合规治理的竞争将从“规则套利”转向“隐私友好型产品与安全能力”的比拼,促使企业以更高质量的服务赢得用户信任。
个人信息保护已成为数字时代的核心议题,此次立法征求意见既是法治建设的必然要求,也是回应群众关切的务实之举。
在保障数据安全与促进数字经济发展之间寻求平衡,需要监管机构、企业主体和用户三方协同发力。
随着新规落地,我国有望构建起更加规范、透明的个人信息处理生态,为全球数据治理贡献中国方案。