精细化监管：《互联网应用程序个人信息收集使用规定（征）》实务要点解读

2026年1月10日，国家网信办发布《互联网应用程序个人信息收集使用规定（征求意见稿）》（以下简称“新规”），进一步明确了APP个人信息处理相关责任和义务，重点对个人信息处理告知及同意获取、SDK监督管理、权限调用等方面提出了更加严格和细化的合规要求，同时加重了APP隐私违规的影响后果。

本文将结合当前我国APP隐私合规的监管现状，对新规相关要点进行深度解析，旨在帮助相关APP运营主体（以下简称“运营主体”）完善内部隐私合规措施，合理防范潜在违规风险。

我国APP隐私合规监管现状

1. 法规及相关监管要求

当前我国针对APP隐私合规已出台多项法规规章及标准指南，如《APP违法违规收集使用个人信息行为认定方法》从违规角度明确了APP应当杜绝的处理行为，工业和信息化部亦发布若干APP专项整治通知文件强化隐私合规监管力度，重点规范性文件如下表：

文件类别	文件名称	发布时间
部门规章及相关规范性文件	《互联网应用程序个人信息收集使用规定（征求意见稿）》	2026年1月10日
	工业和信息化部关于进一步提升移动互联网应用服务能力的通知（工信部信管函〔2023〕26号）	2023年2月27日
	工业和信息化部关于开展信息通信服务感知提升行动的通知（工信部信管函〔2021〕292号）	2021年11月1日
	工业和信息化部关于开展互联网行业市场秩序专项整治行动的通知（工信部信管函〔2021〕165号）	2021年7月1日
	工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知（工信部信管函〔2020〕164号）	2020年07月22日
	工业和信息化部关于开展APP侵害用户权益专项整治工作的通知（工信部信管函〔2019〕337号）	2019年10月31日
	《APP违法违规收集使用个人信息行为认定方法》	2019年11月28日
	《电信和互联网用户个人信息保护规定》	2013年7月16日
相关标准及实施指南	《数据安全技术敏感个人信息处理安全要求》	2025年6月17日
	《信息安全技术个人信息处理中告知和同意的实施指南》	2023年5月23日
	《信息安全技术移动互联网应用程序（APP）个人信息安全测评规范》	2023年5月23日
	《信息安全技术移动互联网应用程序（APP）收集个人信息基本要求》）	2022年4月15日
	网络安全标准实践指南—移动互联网应用程序（App）使用软件开发工具包（SDK）安全指引	2020年11月27日
	《移动互联网应用程序（APP）个人信息保护常见问题及处置指南》	2020 年9月
	《信息安全技术 个人信息安全规范》	2020年3月6日

2. APP违规通报形势

近年来，中央网信办、工信部、公安部及市场监管总局等多个相关部门逐渐加强对APP违法违规处理个人信息等问题的监管力度，违规行为通报频率及违规APP下架数量陡增，我们就2025年度涉及的高频、重点通报问题进行了梳理汇总，主要集中在隐私政策披露不充分、单独同意获取缺失、撤回同意机制不完善等，具体问题如下表：

序号	问题	四部委通报次数
1	隐私政策未逐一列出APP（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围等	247
2	未向用户提供撤回同意收集个人信息的途径、方式	208
3	未采取相应的加密、去标识化等安全技术措施	86
4	实际收集的个人信息超出用户授权范围	61
5	个人信息处理者向其他个人信息处理者提供其处理的个人信息的，未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意	61
6	个人信息处理者处理不满十四周岁未成年人个人信息的，未制定专门的个人信息处理规则；收集未成年人信息未取得监护人单独同意	45
7	在APP首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则；隐私政策难以访问；个人信息处理者在处理个人信息前，未以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名、联系方式、个人信息的保存期限等	36
8	无隐私政策	36
9	实际收集个人信息的频率超出相关功能的必要范围	29
10	其他：DSR不合规、广告误导欺骗用户等	380

新规需关注的合规重点要求

以上法规标准的不断更新和监管力度的逐渐增强，体现出我国在APP个人信息保护领域，正从“立规矩”向“严执行”纵深推进的趋势。而本次新规的发布，既延续并细化了此前相关法规标准中的相关规定又将近期的合规监管重点规章化，其中需要运营主体特别关注的主要包括以下几个方面。

1. 个人信息处理告知及同意获取义务精细化

新规明确了运营主体应以结构化清单的形式，分功能、分场景向用户告知个人信息的处理的目的、方式、种类等情况，并在APP中配置相关功能，保障用户可按需同意仅在部分功能场景下处理其个人信息。

针对“以结构化清单，分功能场景告知”这一要求，此前工信部《关于开展信息通信服务感知提升行动的通知》中已提出需建立个人信息保护“双清单”，目前实践做法多为通过表格形式呈现，我们建议在无新补充要求前，运营主体仍可延续表格形式，按照APP主要功能场景类别，逐一列明各功能下需要处理的个人信息种类、处理方式及目的。而对于“配置功能，保障部分场景同意获取”这一要求，目前实践中各运营主体多在需调用权限或处理敏感个人信息时配置单独勾选框等功能，但分场景的同意获取功能仍较为罕见，且该功能有可能严重影响APP交互体验，较难实现，故我们认为运营主体可等待相关部门对此项要求进行进一步详细说明再做具体调整。

此外，还值得注意的是，新规一定程度上同步了《网络数据安全管理条例》对于大型网络平台的特别监管要求。提出了注册用户5000万以上或者月活跃用户1000万以上，业务类型复杂的APP修订、更新个人信息收集使用规则时应当公开征求意见，应通过APP首页、官网、公众号等途径公开征求意见不少于7个工作日。

2. 权限调用时间、范围、频次合规

新规同步了目前各部门监管要求，对APP的权限调用进行了严格规范。

在调用时间方面，当APP相关功能确需某权限才可实现时方能调用，禁止提前调用。在调用范围方面，权限调用的同意获取仅限于当前场景，即同样的权限在不同功能场景下需要再次获取用户同意，例如在扫描二维码功能和上传身份证功能中调取相机权限，需分别获取用户同意（如图1），不可“打包”同意。在调用频次方面，运营主体应当注意禁止在用户拒绝授权后，频繁弹窗强制索权。

图1

3. 明确对SDK的监管责任

新规重点加强了运营主体对嵌入的软件开发工具包（以下简称“SDK”）的监管职责，明确运营主体应对SDK开展审核工作，如未有效履行审核义务导致侵害个人信息权益事件发生，运营者则或需承担相应法律责任。

首先，运营主体需履行SDK情况告知义务，以结构化清单（列表格形式）披露嵌入的SDK名称、版本、主要功能、运营者名称、处理个人信息的种类和SDK隐私政策链接。

其次，需特别注意的是，运营主体应当明确与SDK合作方的个人信息保护责任义务分配情况，建议尽可能通过签订协议等方式，约定各方处理个人信息的目的、方式、种类、安全保护责任及违约责任，并定期自行部署工具或委托第三方检测SDK处理个人信息情况是否合规。

此外，运营主体还需妥善处理SDK相关的个人信息主体权利请求及问题举报，应将相关请求及时同步SDK运营方并督促其及时响应；对于用户举报应当先进行核实，如属实，则需监督SDK运营方进行整改。

4. 加强账号注销及个人信息删除权保障

新规进一步强调了用户账号注销和个人信息删除权的保障要求，运营主体需切实将用户“退出权”落到实处。

一方面，新规已明确将“无账号注销功能或者删除个人信息途径”列入不予上架应用商店的重点违规项之一，故运营主体应首先APP确保已配置账号注销功能（当前实践中仍有较多小程序未配置账号注销功能，我们建议运营主体对其小程序开展全面摸排自查），且注销流程应当便捷、易操作。

另一方面，新规特别提出了对“多应用程序统一账号”的删除权保障要求，明确了对于同企业主体或集团旗下多款APP采用统一账号的，应当保证各APP的账号注销及个人信息删除分隔化，允许用户选择只注销其中某一款或多款APP的账号并删除相关个人信息。

5. APP隐私违规影响范围和后果更加严重

新规将APP隐私违规（被通报或处罚）影响范围和后果进一步扩大，明确了对违规APP的公开性风险披露及提示要求。

新规提出需要对因违法违规收集使用个人信息而被省级以上相关部门通报或行政处罚的APP进行公开的风险披露，要求应用商店等分发平台在APP被通报或处罚起6个月内，在下载页面发布、标识个人信息安全风险提示。值得注意的是，新规暂未明确以上风险提示的持续时间，由于该项要求对企业声誉或产生较大影响，我们建议运营主体特别关注后续相关部门的进一步详细说明。

结语

新规的发布表明我国APP个人信息保护已逐渐进入以“精细治理”与“穿透式监管”为核心的新阶段。面对日益完善的法规体系与不断增强的监管力度，APP运营主体需持续完善内部隐私合规管理机制，合规不仅是“成本”，更是业务生存与发展的底线与基石，唯有将个人信息保护内化为企业的核心能力与价值观，方能在数字时代的浪潮中行稳致远。