摘要:2026年1月10日,中国国家互联网信息办公室起草了《互联网应用程序个人信息收集使用规定(征求意见稿)》,并公开征求意见至2026年2月9日。该规定旨在收紧对互联网应用程序收集和使用个人信息的监管,核心要求包括:收集信息需遵循最小必要原则并取得用户明确同意;首次启动须显著告知规则;严格限制在非相关场景下调用相机、麦克风等权限;向第三方提供信息需取得用户单独同意;须在15个工作日内完成用户账号注销及个人信息删除或匿名化处理。此外,规定还对敏感信息处理、未成年人保护、自动化决策关闭选项以及软件开发工具包、应用程序分发平台、智能终端厂商的责任提出了具体管理要求。
线索:此次拟出台的新规标志着个人信息保护监管的进一步细化和收紧,将对互联网行业产生深远影响。从风险角度看,互联网企业,尤其是严重依赖数据驱动的平台,其数据获取成本和合规成本将显著上升,商业模式可能面临调整压力。应用程序分发平台和智能终端厂商需加强审核与提示功能,责任加重。从机会角度看,新规将系统性提升全社会对数据安全和隐私保护的重视程度,直接利好隐私计算、数据加密、去标识化、合规审计、身份认证(如网证)等相关技术和服务提供商。同时,规定中鼓励行业自律和认证,也为专业的第三方测评、认证机构创造了市场空间。对投资者而言,需重新评估互联网企业估值模型中的数据资产假设,并关注在合规科技赛道布局公司的成长潜力。
正文:为规范互联网应用程序个人信息收集使用活动,保护个人信息权益,促进个人信息合理利用,中国国家互联网信息办公室根据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规,起草了《互联网应用程序个人信息收集使用规定(征求意见稿)》,并于2026年1月10日起向社会公开征求意见,意见反馈截止时间为2026年2月9日。
规定征求意见稿明确了多项核心管理要求。收集使用个人信息应当遵循合法、正当、必要和诚信原则,采取对个人信息主体权益影响最小的方式,限于提供产品或者服务所必需,不得超范围收集。互联网应用程序在首次启动时,须通过弹窗等显著方式告知个人信息收集使用规则,并在用户充分知情的前提下,取得其明确同意。收集使用敏感个人信息需取得单独同意。
在具体权限调用方面,规定提出了严格限制。互联网应用程序不得在用户停止使用相关功能或无关场景下调用相机、麦克风权限。除非用于满足通讯联系、添加好友、数据备份等特定目的,不得通过调用通讯录、通话记录、短信权限收集用户以外其他人的个人信息。应用程序向第三方提供个人信息,应当取得用户的单独同意。
规定强调了用户的权利保障。互联网应用程序应当为用户提供便捷的账号注销功能,用户注销账号后,运营者应在15个工作日内完成注销,并删除相关个人信息或进行匿名化处理。对于同一企业旗下多款应用采用统一账号管理的,应允许用户选择注销单一应用账号。此外,应用程序通过自动化决策进行信息推送或商业营销时,应当提供易于操作的个性化推荐关闭选项。
规定还对特定类型的个人信息处理作出规范。收集人脸、指纹、声纹等生物识别信息应具有特定目的和充分必要性,并采取严格保护措施;原则上此类信息应存储于设备本地,不得通过互联网对外传输。收集使用不满十四周岁未成年人个人信息的,应当制定专门规则并取得监护人同意。
规定将监管责任延伸至互联网应用程序生态的各个环节。互联网应用程序运营者需对嵌入的软件开发工具包(SDK)进行审核和管理。软件开发工具包自身也需公开规则、最小化收集信息。应用程序分发平台(如应用商店)需加强上架审核,对应用的真实身份、权限列表、收集规则等信息进行清晰展示,并对违规应用采取处置措施。智能终端厂商需在操作系统层面提供权限调用的实时提示、精细化授权选项及调用行为记录功能。
规定要求,注册用户5000万以上或月活跃用户1000万以上的复杂业务应用程序,在修订个人信息收集使用规则时,应公开征求意见不少于7个工作日。互联网应用程序、分发平台运营者和智能终端厂商需建立投诉举报渠道,并在15个工作日内受理处置。
国家及地方网信部门将负责统筹协调和监督管理工作,电信主管部门、公安部门等将在各自职责范围内进行监管。违反规定的,将依照相关法律法规进行处理;构成犯罪的,依法追究刑事责任。
发布时间:2026年01月10日 16:07:08
评论 ( 0 )