《互联网应用程序个人信息收集使用规定（征求意见稿）》的主要亮点与完善建议

构建更完善的个人信息保护制度框架

　　随着互联网应用程序（App）的深度普及，个人信息保护已成为数字治理领域的核心议题。2026年1月10日，国家互联网信息办公室发布《互联网应用程序个人信息收集使用规定（征求意见稿）》（以下简称《征求意见稿》）面向社会公开征求意见。意见反馈截止时间为2026年2月9日。

　　《征求意见稿》以全链条规制、场景化管理、透明化告知为核心，构建了更为完善的个人信息保护制度框架，进一步规范互联网应用程序个人信息收集使用活动，保护个人信息权益，促进个人信息合理利用。总体来看，《征求意见稿》有三大核心亮点。此外，部分内容还存在进一步完善的空间。

　　主要亮点

　　构建全链条责任体系，明确多主体的合规义务。《征求意见稿》将个人信息保护纳入完整治理链条，覆盖App运营者、软件开发工具包（SDK）运营者、分发平台及智能终端厂商等多主体，从制度层面破解了以往单一主体监管的局限性。《征求意见稿》第二条明确规定，其适用范围包括“软件开发工具包、分发平台、智能终端等为互联网应用程序收集使用个人信息活动提供服务的”主体；第四条进一步划分责任：App运营者承担统筹性合规义务，SDK运营者需公开收集规则，分发平台负责准入审核，智能终端厂商提供权限管理支持；第二十六条要求分发平台对未提供个人信息收集使用规则、无账号注销功能的App不予上架；第二十九条规定智能终端厂商对预置App需核验运营者身份信息。这种全链条责任划分，使个人信息保护从单一产品的内部任务，扩展为涉及供应链、分发渠道、终端系统的协同性治理，可有效避免主体间的责任推诿。

　　细化场景化权限规则，规范个人信息收集行为。《征求意见稿》将“最小必要”原则转化为具体可落地的场景化权限规则，从技术层面限制App过度收集个人信息的行为。《征求意见稿》第十一条要求App提供基于功能场景的个人信息收集配置选项，允许用户同意部分功能场景的信息收集；第十二条明确App“应当在用户使用具体功能时方可索要对应的必要个人信息权限，并同步告知使用目的，不得提前索要”；第十四条对敏感权限调用作出严格限定，要求相机、麦克风仅在用户主动使用相关功能时调用，定位权限区分持续定位（如导航）与单次定位（如内容推荐），持续定位需按最低频率调用，单次定位仅在用户进入界面或主动刷新时调用。这些场景化规则，将权限合规从“授权与否”的抽象层次转变为可具体验收的工程指标，确保个人信息收集仅为实现功能所必需。

　　强化透明化告知机制，保障用户知情权与选择权。《征求意见稿》通过结构化规则、显著提示、一键访问等措施，解决了以往隐私政策“冗长难懂、形同虚设”的问题。《征求意见稿》第七条要求App以结构化清单形式列明每项功能收集个人信息的目的、方式、种类，以及嵌入SDK的相关信息，并对重点内容以加粗字体、放大字号等显著方式提示；第八条规定注册用户5000万以上或月活跃用户1000万以上的App，更新规则时需公开征求意见不少于7个工作日；第九条明确App首次启动时需通过弹窗告知规则，设置页面需提供规则一键访问功能。这些措施使个人信息收集规则从“被动接受”变为“主动可读”，用户能够在充分知情的前提下作出同意决定，切实保障知情权与选择权。

　　完善建议

　　细化跨主体责任划分标准，破解协同治理难题。针对多主体责任划分的原则性表述，建议进一步细化责任认定的具体标准，增强可操作性。一是制定多主体个人信息保护责任划分指引。明确在不同违规场景下各主体的责任比例。若SDK违规收集信息导致用户权益受损，需区分App运营者是否尽到审核义务、SDK运营者是否超出规则范围收集，合理划分责任。二是明确举证责任分配规则。规定App运营者需留存SDK接入的审核记录，分发平台需留存App上架的审核材料，智能终端厂商需留存权限调用的记录，在发生纠纷时由相关主体举证证明已履行合规义务，避免用户维权困难。三是建立跨主体合规协作机制。要求App运营者与SDK运营者签订合规协议，明确双方在个人信息保护中的权利义务，分发平台与智能终端厂商建立违规信息共享渠道，及时同步App违规情况。

　　制定权限调用技术规范，促进场景化规则落地。针对场景化权限规则的技术细节不足，建议出台配套的技术规范，明确权限调用的具体标准。一是制定App权限调用技术规范。细化敏感权限调用的触发条件与频率要求。例如，明确持续定位“最低频度”为每10秒一次，单次定位仅在用户进入功能界面时调用一次；规定相机权限仅在用户点击拍照按钮后启动，离开拍照界面后立即关闭。二是建立权限调用技术监测标准。要求App在调用权限时需记录调用时间、场景、目的等信息，智能终端厂商需提供权限调用的监测接口，以便于监管部门通过技术手段核查App是否合规调用权限。三是规范权限申请交互流程。要求App在索要权限时需以简洁易懂的语言说明具体用途，如“需要获取定位权限为您提供附近商家推荐”，避免使用“需要获取权限以提升用户体验”等模糊表述。

　　建立规则标准化模板，增强透明化告知实效。目前，《征求意见稿》中结构化规则的表述相对较为笼统，建议制定个人信息收集使用规则的标准化模板，提升规则的可读性与可比性。一是发布个人信息收集使用规则标准化模板，明确结构化清单的具体格式与内容要求。例如，要求模板包含“功能场景—权限调用—信息收集”对应表，清晰展示每项功能所需的权限与收集的信息种类；规定SDK相关信息需单独列示，包括SDK名称、版本、运营者、收集信息种类等。二是推行规则的可读性评估机制。要求App的个人信息收集使用规则需通过可读性测试，例如，采用阅读难度测试，适度降低规则的阅读难度；对未通过可读性测试的App，监管部门要求其限期整改。三是建立规则的统一查询平台。由监管部门搭建个人信息收集使用规则查询系统，用户可通过该平台查询任意App的规则内容，平台自动对规则进行结构化处理，以表格形式展示关键信息，方便用户快速对比不同App的信息收集情况。

　　通过规则的落地与完善，《征求建议稿》将更有效地规范互联网应用程序个人信息收集使用活动，保护个人信息权益，促进个人信息合理利用，推动我国数字经济健康有序发展。

　　本文系北京市法学会2025年市级法学研究重点课题“公安机关服务保障营商环境问题研究”〔项目批准号：BLS（2025）A008〕的阶段性研究成果。

　　（作者单位：中国人民公安大学法学院、数据法学研究院）