固法评论 | 《互联网应用程序个人信息收集使用规定（征求意见稿）》要点解读

2026年1月10日，国家互联网信息办公室发布《互联网应用程序个人信息收集使用规定（征求意见稿）》（以下简称“《规定》”），向社会公开征求意见。《规定》旨在细化落实《个人信息保护法》等法律法规，系统构建了涵盖应用程序（APP）、软件开发工具包（SDK）、分发平台及智能终端全链条的个人信息保护合规框架，直击当前行业中存在的过度收集、强制授权、频繁骚扰等突出问题，其核心要点解读如下：

《规定》对用户规模超五千万或月活超千万的大型复杂业务APP，增设了修订隐私政策前必须公开征求意见的特殊义务。而且，《规定》强制推行“场景驱动”的授权模式，要求运营者必须仅在用户使用具体功能时方能索要对应权限，并对位置、相机、麦克风等敏感权限的调用频次、后台静默访问等情形作了严格限制。

对于长期处于责任模糊地带的SDK提供者，《规定》以专章形式确立了其独立的合规主体地位，要求其必须向接入的APP提供可配置的收集接口，并建立直接响应用户权利请求的通道。这一变革将促使SDK行业从纯粹的技术组件供应商，转向必须自负其责的合规实体。

《规定》要求应用分发平台需要建立并动态维护每一个上架应用程序的个人信息收集使用规范性档案，并将是否存在合规的隐私政策与注销功能作为上架的前置门槛。此外，《规定》强制要求在下载页面明示应用程序的权限清单、隐私政策链接及安全风险历史。

《规定》要求终端操作系统必须提供基于时间、频次和精度的精细化授权选项，在屏幕显著位置实时、醒目地提示麦克风、摄像头等敏感权限的调用状态，并将所有应用程序的权限调用、自启动等行为集中记录并展示给用户。

《规定》是我国个人信息保护立法从构建原则框架到夯实具体规则的关键一步，意味着个人信息保护的合规要求已从零散的整改点，变为一场需要多方协同、贯穿产品全生命周期的系统工程。具体而言，对于APP运营者，尤其是大型平台，应重视合规审计与产品重构；对于SDK提供者，应加强构建独立的合规体系；而对于分发平台与终端厂商，需强化技术能力与管理流程控制。