近期,移动互联网应用程序在提升服务效率、拓展生活场景的同时,过度索取权限、超范围收集信息、后台持续调用等问题仍有发生,既影响用户体验,也埋下数据泄露、滥用风险。
围绕社会关注度较高的权限调用边界,国家互联网信息办公室近日起草《互联网应用程序个人信息收集使用规定(征求意见稿)》,并向社会公开征求意见。
征求意见稿以网络安全、个人信息保护等法律法规为依据,进一步将“合法、正当、必要”要求落到具体产品和具体场景,推动形成可执行、可检查的合规标准。
一是直面问题:权限泛化与“暗中调用”成为个人信息保护痛点。
现实中,一些应用在用户未开启相关功能时调用相机、麦克风,或在无明确必要的情况下持续获取位置,甚至以“提升体验”“推荐内容”为由扩大采集范围,导致用户难以判断信息如何被收集、何时被使用。
更有个别应用在上传图片、发送文件等简单操作中额外索要相册、通讯录、短信、存储等权限,使个人信息暴露面被动扩大。
上述现象不仅触及合规底线,也削弱公众对数字服务的信任基础。
二是剖析原因:技术便利与商业激励叠加,规则颗粒度不足易诱发“越界”。
从技术层面看,智能终端传感器和系统接口能力增强,使权限调用更容易、更隐蔽;从商业层面看,精准推荐、广告投放、风控画像等需求推动数据要素被过度使用;从治理层面看,虽然上位法明确了原则,但在“何时可调用、调用到什么程度、后台能否持续”等细节上,行业长期缺少统一且可落地的操作规范,给了“打擦边球”的空间。
征求意见稿的意义,就在于将原则转化为可衡量的边界,把模糊地带尽可能清晰化。
三是评估影响:规则细化将改变产品设计逻辑,推动合规与体验“双提升”。
征求意见稿提出,相机、麦克风等权限应当在用户主动选择使用拍照、语音、录音录像等功能时才可调用,并要求在用户停止使用相关功能或无关场景不得调用。
这一安排有助于减少“被监听”“被拍摄”等疑虑,降低敏感信息在后台流转的概率。
在位置权限方面,新规区分“需要实时定位”和“单次定位”两类场景:前者如地图导航、路径记录、外卖闪送、位置共享等,可持续调用但频率应控制在实现功能的最低必要;后者如添加地点、内容搜索、内容推荐、广告营销等,原则上仅在进入功能界面或用户主动刷新时调用一次,并明确除非法律法规另有规定或业务确需后台持续获取位置,否则不应索要后台位置权限。
该分类治理思路将促使平台以更低频、更精确的方式满足业务需求,减少“无感定位”带来的隐私焦虑与安全风险。
同时,征求意见稿对存储相关权限提出更严格要求:用户在上传或发送图片、文件等功能中,应用可通过智能终端提供的存储访问框架实现,不得额外索要相册、通讯录、短信、存储等权限;若因文件编辑、备份等功能确需存储权限,也不得访问用户主动选择之外的文件。
这有利于从源头减少“全盘读取”的可能,推动应用采用更安全的系统能力与更精细的访问控制。
四是提出对策:形成“应用约束+系统协同+用户可控”的闭环治理。
征求意见稿不仅对应用端提出要求,也强调智能终端操作系统的协同责任:当应用索要日历、通话记录、相机、通讯录、位置、麦克风、电话、短信、存储、身体活动等权限时,系统应弹窗征得用户同意,并结合权限特点提供基于时间、频度、精度等精细化授权模式选项;同时,智能终端应在屏幕顶部等显著位置,以易于理解的图标等方式提示当前正在调用的麦克风、摄像头、位置等权限。
通过把“知情同意”从一次性勾选升级为更可控、更可追踪的动态管理,能够提高用户真实选择能力,压缩违规调用空间,也便于监管部门、平台企业开展核查和整改。
对企业而言,合规将更多体现为产品能力与治理能力:要围绕“最小必要”重新梳理业务链路,建立权限申请的场景清单与证据留存机制,优化默认设置,减少对敏感权限的依赖;对系统和平台方而言,需要持续完善权限管理接口与提示机制,提升对异常调用的识别与拦截能力;对用户而言,应增强权限管理意识,善用系统提供的精细化授权选项,及时关闭不必要的后台权限。
五是前景判断:个人信息治理将迈向“精细化、工程化、常态化”。
随着数字经济深入发展,个人信息保护正从“原则宣示”转向“场景落地”。
此次征求意见稿以具体功能和典型场景为抓手,对权限调用时机、频度、范围作出更可操作的规定,释放出强化制度供给、压实平台责任、提升技术约束的明确信号。
预计下一步,相关规则将与应用分发平台审核、企业合规评估、执法检查等环节更紧密衔接,推动行业形成“能不用就不用、要用就讲清、使用可追踪、越界可追责”的治理生态。
在此过程中,合规成本短期可能上升,但长期将促进行业竞争回到产品质量与服务能力,进一步夯实公众对数字服务的信任。
个人信息保护是数字时代的重要课题,也是保障用户权益、促进产业健康发展的必然要求。
国家网信办发布的这一征求意见稿,以问题为导向,以用户权益为中心,建立了系统的权限管理规范体系。
这既是对用户隐私权的有力保护,也是对互联网产业规范发展的明确指引。
随着这一规定的逐步完善和实施,我国个人信息保护的制度框架将更加健全,用户在享受互联网便利的同时,也将获得更加坚实的隐私保障。