问题:移动互联网应用深度嵌入社会生活,围绕注册、登录、社交、支付、内容推荐等场景产生大量数据流转。
一段时期以来,部分应用在个人信息收集使用方面存在告知不充分、授权链条冗长且难以拒绝、权限调用与服务功能不匹配等现象,个别产品通过通讯录、通话记录、短信等敏感权限延伸收集范围,导致“过度采集”“强制索权”等问题时有发生。
与此同时,信息在平台、广告投放、数据分析等环节多次流转,用户对“信息去向”“使用边界”掌握不足,权益保护面临现实挑战。
原因:一是商业模式驱动带来的数据依赖。
部分应用将数据作为增长与变现的重要资源,通过精细化画像提升推荐效率与广告收益,容易诱发“多采一点更安全”的倾向。
二是技术与管理不对称。
用户面对复杂授权界面,难以准确判断收集范围与风险;一些企业内部合规制度、权限管理与第三方合作审查不够健全,导致责任链条拉长、追溯难度增加。
三是行业生态多主体协作。
应用开发者、SDK服务商、广告平台等多方参与,使得个人信息处理环节更为碎片化,若缺少统一、清晰、可操作的规则,容易出现边界模糊与监管盲区。
影响:个人信息是数字经济发展的关键要素,也是公民基本权益的重要组成。
若收集使用缺乏规范,不仅会增加泄露、滥用等风险,损害用户信任,也会抬高社会运行成本,影响互联网服务的公平与可持续发展。
从产业层面看,合规能力已成为平台竞争的重要指标。
规则明确、边界清晰,有利于推动企业从“以量取胜”转向“以质取胜”,通过最小必要、目的限定等方式提高数据治理水平,形成更健康的市场秩序。
对策:征求意见稿从关键环节提出更具针对性的制度安排。
其一,突出“显著告知、明示同意”。
要求互联网应用在首次启动时以弹窗等醒目方式向用户告知个人信息收集使用规则,并在用户充分知情前提下取得对规则的明确表示,有助于把“看得见、听得懂、可选择”落到启动环节,减少默认勾选、隐蔽提示等做法。
其二,强化对敏感权限的边界约束。
征求意见稿提出不得通过调用通讯录、通话记录、短信权限收集使用用户之外其他个人信息主体的信息,确需用于满足通讯联系、添加好友、数据备份等功能的除外,体现了对“必要性”与“功能匹配”的强调,有利于遏制以“社交关系链”为名扩张收集范围的行为。
其三,明确第三方提供信息的“单独同意”要求。
应用向第三方提供个人信息,应取得用户单独同意,有助于提升第三方合作透明度,推动企业在数据共享前进行风险评估、用途审查与安全保障,压实数据流转各方责任。
前景:随着征求意见的展开,相关规则有望进一步细化落地尺度,提升可执行性与可检验性。
业内预计,未来应用合规建设将更注重三方面:一是产品设计前置化,将权限申请、数据最小化、分级分类管理纳入研发流程;二是透明度机制常态化,围绕收集目的、范围、保存期限、共享对象等形成更易读的说明与可撤回的授权路径;三是第三方治理体系化,加强对SDK、合作伙伴的数据合规审计与安全评估,建立可追溯、可问责的闭环管理。
对用户而言,规则完善将带来更清晰的知情权与选择权;对行业而言,合规门槛的提升将推动竞争回归服务质量与创新能力,形成“守规则者受益、破底线者受限”的治理导向。
在数字经济与隐私保护的平衡木上,此次新规既划清了企业行为的红线,也为技术创新预留了弹性空间。
其背后折射的,是我国从"粗放式发展"向"精细化治理"的转型决心。
当每一个点击授权都变得透明可溯,互联网经济的可持续发展方能行稳致远。