当前,互联网应用程序已成为广大用户获取信息、进行交互的重要渠道。
然而,伴随App产业的快速发展,个人信息被过度收集、非法使用、滥用共享等问题日益凸显,严重威胁用户隐私安全。
国家互联网信息办公室此次起草并公开征求意见的规定,正是对这一突出问题的有针对性回应,体现了国家加强个人信息保护的坚定决心。
从基本原则看,新规定明确了个人信息收集使用的核心要求。
首先,收集使用个人信息必须向用户充分告知规则并取得同意,对敏感个人信息则需获得单独同意。
其次,收集范围应严格限于提供产品或服务的必要范围,不得以用户拒绝同意为由拒绝提供基础服务。
这些规定确立了"知情同意""最小必要"等个人信息保护的基本准则,为用户权益保护奠定了制度基础。
针对App层面,规定提出了一系列具体禁止性要求。
最引人关注的是禁止App在用户不知情的情况下调用摄像头、麦克风权限,明确规定仅在用户主动使用相关功能时才能调用这些权限,有效防止了"偷拍偷听"现象。
同时,规定禁止App通过调用通讯录、通话记录等权限收集其他用户信息,保护了非目标用户的隐私。
对于人脸、指纹、声纹等生物识别信息,规定要求具有特定目的、充分必要性,并采取严格保护措施,防止敏感生物数据被滥用。
此外,向第三方提供个人信息也需获得用户单独同意,切断了个人信息被非法流转的通道。
从产业链角度看,规定建立了全方位的责任体系。
对于软件开发工具包,要求提供基于功能的个人信息配置选项,允许App按需管理工具包的数据收集行为。
同时,通过自动化决策进行信息推送和商业营销的工具包,必须提供关闭个性化推荐的选项。
这确保了App对其嵌入工具包行为的控制权。
对于应用分发平台,规定要求加强上架审核,建立App个人信息收集使用档案,记录违规情况,并在规定生效后6个月内完成存量应用审核,不通过的予以下架。
这使分发平台成为个人信息保护的重要把关者。
对于智能终端厂商,规定要求操作系统在App申请权限时弹窗征得用户同意,提供精细化授权模式,并在屏幕显著位置实时提示权限调用情况,让用户对自己的信息处于完全掌控状态。
从责任机制看,规定明确了各环节主体的法律责任。
App运营者对嵌入的工具包负责,分发平台对上架的应用负责,终端厂商对预置应用负责。
未能进行有效审核导致用户权益受损的,要依法承担相应责任。
这种纵向的责任链条确保了个人信息保护不存在"真空地带"。
业内人士指出,此次规定系统规定了App个人信息收集使用的制度框架,明确了多个关键环节的安全运营要求,推动个人信息保护工作从立法层面的完善走向实践层面的深化,标志着我国网络信息安全治理进入新阶段。
个人信息安全既关乎每个人的切身权益,也关乎数字经济的健康运行。
规则的价值在于可执行、可监督、可问责。
征求意见稿以“最小必要”为基本逻辑,压实应用、SDK、平台与终端多方责任,有望推动行业从“索权竞争”转向“合规竞争”。
在保护与利用之间建立稳固边界,才能让技术进步更可控、社会信任更稳固、数字化发展更可持续。