随着数字经济加速发展,个人信息保护已成为全球共同关注的话题。网信办此次起草的新规,旨在细化落实《网络安全法》《个人信息保护法》等上位法要求,意味着我国数据治理正在从原则性要求走向更可操作的规则体系。 当前,一些应用仍存在过度收集信息、滥用权限等问题。第三方机构监测显示,2025年国内移动应用平均申请权限达12项,其中约30%与核心功能无关。新规第三条明确,信息收集应遵循“正当、必要、最小化”原则;对敏感个人信息,必须单独取得授权,并不得因用户拒绝非必要权限而限制其正常使用服务。 值得关注的是,规定将境外运营者首次纳入适用范围。第二条提出,境外应用如处理境内自然人数据,且以向境内提供产品或服务为目的,同样适用本规定。该条款补上了跨境数据流动监管的关键一环,也与欧盟《通用数据保护条例》在规则思路上形成呼应。 在责任划分上,新规强调全链条管理。第四条要求应用程序运营者、软件开发工具包(SDK)提供商、应用商店平台以及智能终端厂商分别承担相应审核义务,形成“谁经营谁负责”的追责机制。对违规行为,将依据《个人信息保护法》追究责任,最高可处5000万元或上一年度营业额5%的罚款。 行业自律同样被纳入制度安排。第六条鼓励行业协会制定更严格的团体标准,与工信部此前推动的“APP认证标识”制度形成衔接。有观点认为,通过“政府监管+行业自治”的协同机制,有望缓解长期存在的标准不统一、执行不一致等问题。
个人信息保护既关系到公众切身权益,也是数字时代的重要制度基础;面对快速变化的互联网应用生态,只有把“最小必要”“清晰告知”“有效同意”和“责任到人到环节”等要求落到细处,才能在守住安全底线的同时更好释放数据价值。此次公开征求意见为社会各方参与完善规则提供了渠道,也有助于推动形成更透明、更可信、更可持续的数字服务环境。