近年来,部分互联网应用程序在提供天气查询、点餐、出行等便民服务过程中,频繁出现“开屏就索要通讯录”“不同意授权就无法使用核心功能”“后台持续定位并与第三方同步”等现象。
对普通用户而言,这类过度、强制、隐蔽的信息收集不仅增加隐私泄露风险,也抬高了数字生活的安全成本,成为数字时代的民生痛点与治理难点。
问题的集中表现,归纳起来主要有三类:一是超出业务目的收集信息,将通讯录、精准定位、相册等与服务关联度不高的权限作为“必选项”;二是告知不充分、选择不对等,通过概括性条款、默认勾选、捆绑同意等方式弱化用户知情权与选择权;三是跨主体流转不透明,部分运营者将信息提供给第三方合作伙伴、广告平台或外包服务商,用户难以掌握信息去向与使用范围。
上述行为一旦与黑灰产链条结合,便可能引发骚扰营销、精准诈骗、账号盗用等连锁问题,直接影响社会信任与网络生态。
造成“越权索权”的原因,既有商业逻辑驱动,也有治理机制短板。
一方面,流量变现与精细化画像推动部分主体把个人信息视作低成本生产要素,通过“多拿一点、先拿再说”扩大数据池,以换取广告投放、推荐算法优化和交易转化提升;另一方面,移动互联网生态链条长、参与方多,从应用开发者、SDK服务商到应用商店、终端厂商,责任边界若不清晰,容易出现“谁收集谁负责”的空转与监管空白。
同时,部分中小开发者合规能力不足,隐私政策模板化、权限管理粗放,客观上加剧了违规风险。
从影响看,个人信息被过度收集不仅损害个体权益,更会扰动产业秩序。
对用户而言,授权被动化会削弱对数字服务的信任,进而影响公共服务、消费场景的线上化推进;对企业而言,无序收集带来的短期收益,可能转化为后续合规整改、法律风险与品牌损失;对行业而言,若边界长期模糊,黑灰产将伺机而入,侵蚀数字经济发展的安全底座。
治理“越权索权”,既是维护群众切身利益的现实需要,也是推动数据要素规范流通、提升数字治理能力的基础工程。
针对上述痛点,此次公开征求意见的规定,突出“可执行、可检查、可追责”的制度导向。
其核心在于以“服务所必需”为个人信息收集的边界,明确禁止超范围收集,并通过逐项列明规则、提供场景化配置等方式,推动授权从“一次性打包”转向“清晰可选、随时可调”。
同时,规定强调向第三方提供个人信息需取得用户单独同意,意在提高信息流转的透明度与可控性,减少“被共享”的灰色空间。
这些制度安排与个人信息保护法的基本精神相衔接,把原则要求进一步细化为可落地的操作标准,为监管执法与企业合规提供更明确的参照。
值得关注的是,规定并非简单否定数据利用,而是力求在保护与利用之间形成动态平衡。
一方面压实运营者的主体责任,另一方面将应用分发平台、智能终端厂商等关键节点纳入审核与治理链条,形成从上架审核、权限提示到运行管理的闭环约束,提升违规成本与发现效率。
与此同时,鼓励行业组织建立自律机制,通过标准制定、合规评估、培训指导等方式降低企业合规门槛,使规则从“纸面要求”转化为“行业共识”。
这种“制度约束+协同治理”的思路,有利于避免简单化治理对创新与中小主体造成冲击,也有助于在明确边界中引导技术和商业模式走向合规竞争。
面向未来,随着征求意见稿进一步完善并落地实施,App个人信息保护有望从“事后纠偏”更多转向“事前预防”。
可以预期,权限申请将更聚焦必要性与场景性,隐私政策与告知机制将更强调可读性与可选择性,第三方共享与SDK管理将成为合规重点。
同时,企业将更重视数据治理体系建设,通过最小化收集、分级分类管理、权限调用审计、第三方合作评估等措施提升内控能力。
监管层面,若能配套建立可量化的检查规则与典型案例指引,形成可复制的执法尺度,将进一步提升治理效能,促进数据在安全框架内释放价值。
在数字经济成为全球竞争新高地的今天,个人信息保护已超越个体权益范畴,直接关乎国家安全与发展主动权。
此次立法进程既是对群众急难愁盼的务实回应,更是构建数字治理中国方案的关键落子。
当技术红利与隐私保护实现动态平衡,我们方能真正筑牢数字时代的信任基石,让亿万网民在享受便捷服务的同时,拥有免于隐私裸奔的尊严与安全感。