1月10日,国家互联网信息办公室就《互联网应用程序个人信息收集使用规定》征求意见稿,把应用程序个人信息收集边界问题推到了台前。在这背后,是数字经济深扎的背景,还有公众对隐私安全越来越重的关切。这个新规打算用专项立法的手段,把应用程序权限调用的混乱局面给理清楚。 征求意见稿的制定依据的是《网络安全法》还有《个人信息保护法》这些上位法的精神。它瞄准了几个公众意见最大的点:比如过分索要权限、强制授权、偷偷采集信息这些突出问题。国家网信办这么做,其实是想筑牢个人信息的安全防线。 规定里首次提出了“场景化授权”的原则,要求技术权限必须和具体使用场景绑在一起。拿音频视频采集来说,只有用户自己点开了相关功能,相机和麦克风权限才会被调用;功能一关,调用也就立马停止了。这一招就是为了治那种“一次性授权、一辈子采集”的行业规矩。 对位置信息这个高敏感度的数据,新规搞了个差异化的规定。像地图导航和即时配送这种需要一直定位的服务,调用频率得限制在最低限度;地点标注和内容推荐这种单次定位的场景,只能在进界面或者主动刷新的时候调用一次。专家觉得这种按需提供、量身定做的思路,既保住了基本服务体验,又把数据过度采集的口子给堵上了。 后台权限调用的门槛也被提高了。除了法律规定必须要或者核心功能确实需要持续获取位置外,大部分应用程序都不能偷偷索要后台位置权限。以前有些社交和购物类的应用打着提升体验的幌子在后台偷摸追踪轨迹的事儿就会被管得严严实实。 文件访问方面也有创新。上传图片或者发文件的时候,系统得先调用操作系统自带的安全存储框架;不能直接索要通讯录这些完整存储权限。通过文件编辑拿了存储权限的程序,访问范围也不能超过用户自己选的那些文件。中国网络安全研究院的专家表示,这样在应用和数据之间建立一个缓冲带,能大大降低数据被偷的风险。 系统级的弹窗机制也被引进来了。索要日历、通讯录这些敏感权限的时候,智能终端必须得让用户点弹窗明确同意才行。更绝的是弹窗里还得有时间、频率、精度这些细枝末节的选项,让用户能像调音量那样自己控制开放多少权限。 屏幕上还得把当前调用的麦克风、摄像头、位置等权限状态给亮出来。这就是“实时权限状态可视化”制度。清华大学公共管理学院数字治理研究中心说,这种全程亮灯式的监管能把以前权限调用像黑箱一样的情况给改过来。 北京大学法学院互联网法律中心主任指出,这个新规最突破的地方在于实现了三个转变:从形式上同意变成了真正的控制;从靠企业自觉变成了系统的约束;从事后处罚变成了事先预防。这种治理思路和国际上提倡的“隐私嵌入设计”理念很搭调。 这个征求意见稿出台的时间点正好赶在数字经济从高速增长转向高质量发展的关口上。统计显示目前我国的移动应用程序总数超过了350万款。权限规则哪怕改一点点,影响都会很大。国家网信办用征求意见的方式推进立法,既表现了科学审慎的态度,也展现了愿意和社会一起共治的开放姿态。 不管是保障基本服务还是保护隐私安全都得找个平衡。未来数字社会治理就会一直围绕这个动态平衡转。随着意见征求的深入进行,这项规定有望催生一种新生态:企业合规经营、用户自己说了算、监管也精准有效。这能为数字经济走得稳当打下法治的地基。