2026-01-20 01:04:29 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 2026年1月10日网信办发布《互联网应用程序个人信息收集使用规定（征）》，细化APP告知同意、权限调用、SDK审核、账号注销及违规公示六大合规要求，明确5000万注册或1000万月活APP修订规则须公开征求意见7日，违规应用商店需6个月内展示风险提示，运营主体应建结构化清单、分场景获同意、签SDK协议并保障分割删除权，否则面临下架与声誉损失。 综合评分： 88 文章分类： 政策法规,数据安全,应用安全,安全建设,解决方案

cover_image

精细化监管：《互联网应用程序个人信息收集使用规定（征）》实务要点解读

原创

王佳雯王佳雯

赛博研究院

2026年1月19日 20:14 上海

2026年1月10日，国家网信办发布《互联网应用程序个人信息收集使用规定（征求意见稿）》（以下简称“新规”），进一步明确了APP个人信息处理相关责任和义务，重点对个人信息处理告知及同意获取、SDK监督管理、权限调用等方面提出了更加严格和细化的合规要求，同时加重了APP隐私违规的影响后果。

本文将结合当前我国APP隐私合规的监管现状，对新规相关要点进行深度解析，旨在帮助相关APP运营主体（以下简称“运营主体”）完善内部隐私合规措施，合理防范潜在违规风险。

我国APP隐私合规监管现状

法规及相关监管要求

当前我国针对APP隐私合规已出台多项法规规章及标准指南，如《APP违法违规收集使用个人信息行为认定方法》从违规角度明确了APP应当杜绝的处理行为，工业和信息化部亦发布若干APP专项整治通知文件强化隐私合规监管力度，重点规范性文件如下表：

| | | | | — | — | — | | 文件类别 | 文件名称 | 发布时间 | | 部门规章及相关规范性文件 | 《互联网应用程序个人信息收集使用规定（征求意见稿）》 | 2026年1月10日 | | 工业和信息化部关于进一步提升移动互联网应用服务能力的通知（工信部信管函〔2023〕26号） | 2023年2月27日 | | 工业和信息化部关于开展信息通信服务感知提升行动的通知（工信部信管函〔2021〕292号） | 2021年11月1日 | | 工业和信息化部关于开展互联网行业市场秩序专项整治行动的通知（工信部信管函〔2021〕165号） | 2021年7月1日 | | 工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知（工信部信管函〔2020〕164号） | 2020年07月22日 | | 工业和信息化部关于开展APP侵害用户权益专项整治工作的通知（工信部信管函〔2019〕337号） | 2019年10月31日 | | 《APP违法违规收集使用个人信息行为认定方法》 | 2019年11月28日 | | 《电信和互联网用户个人信息保护规定》 | 2013年7月16日 | | 相关标准及实施指南 | 《数据安全技术敏感个人信息处理安全要求》 | 2025年6月17日 | | 《信息安全技术个人信息处理中告知和同意的实施指南》 | 2023年5月23日 | | 《信息安全技术移动互联网应用程序（APP）个人信息安全测评规范》 | 2023年5月23日 | | 《信息安全技术移动互联网应用程序（APP）收集个人信息基本要求》） | 2022年4月15日 | | 网络安全标准实践指南—移动互联网应用程序（App）使用软件开发工具包（SDK）安全指引 | 2020年11月27日 | | 《移动互联网应用程序（APP）个人信息保护常见问题及处置指南》 | 2020 年9月 | | 《信息安全技术个人信息安全规范》 | 2020年3月6日 |

APP违规通报形势

近年来，中央网信办、工信部、公安部及市场监管总局等多个相关部门逐渐加强对APP违法违规处理个人信息等问题的监管力度，违规行为通报频率及违规APP下架数量陡增，我们就2025年度涉及的高频、重点通报问题进行了梳理汇总，主要集中在隐私政策披露不充分、单独同意获取缺失、撤回同意机制不完善等，具体问题如下表：

| | | | | — | — | — | | 序号 | 问题 | 四部委通报次数 | | 1 | 隐私政策未逐一列出APP（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围等 | 247 | | 2 | 未向用户提供撤回同意收集个人信息的途径、方式 | 208 | | 3 | 未采取相应的加密、去标识化等安全技术措施 | 86 | | 4 | 实际收集的个人信息超出用户授权范围 | 61 | | 5 | 个人信息处理者向其他个人信息处理者提供其处理的个人信息的，未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意 | 61 | | 6 | 个人信息处理者处理不满十四周岁未成年人个人信息的，未制定专门的个人信息处理规则；收集未成年人信息未取得监护人单独同意 | 45 | | 7 | 在APP首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则；隐私政策难以访问；个人信息处理者在处理个人信息前，未以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名、联系方式、个人信息的保存期限等 | 36 | | 8 | 无隐私政策 | 36 | | 9 | 实际收集个人信息的频率超出相关功能的必要范围 | 29 | | 10 | 其他：DSR不合规、广告误导欺骗用户等 | 380 |

新规需关注的合规重点要求

以上法规标准的不断更新和监管力度的逐渐增强，体现出我国在APP个人信息保护领域，正从“立规矩”向“严执行”纵深推进的趋势。而本次新规的发布，既延续并细化了此前相关法规标准中的相关规定又将近期的合规监管重点规章化，其中需要运营主体特别关注的主要包括以下几个方面。

1. 个人信息处理告知及同意获取义务精细化

新规明确了运营主体应以结构化清单的形式，分功能、分场景向用户告知个人信息的处理的目的、方式、种类等情况，并在APP中配置相关功能，保障用户可按需同意仅在部分功能场景下处理其个人信息。

针对“以结构化清单，分功能场景告知”这一要求，此前工信部《关于开展信息通信服务感知提升行动的通知》中已提出需建立个人信息保护“双清单”，目前实践做法多为通过表格形式呈现，我们建议在无新补充要求前，运营主体仍可延续表格形式，按照APP主要功能场景类别，逐一列明各功能下需要处理的个人信息种类、处理方式及目的。而对于“配置功能，保障部分场景同意获取”这一要求，目前实践中各运营主体多在需调用权限或处理敏感个人信息时配置单独勾选框等功能，但分场景的同意获取功能仍较为罕见，且该功能有可能严重影响APP交互体验，较难实现，故我们认为运营主体可等待相关部门对此项要求进行进一步详细说明再做具体调整。

此外，还值得注意的是，新规一定程度上同步了《网络数据安全管理条例》对于大型网络平台的特别监管要求。提出了注册用户5000万以上或者月活跃用户1000万以上，业务类型复杂的APP修订、更新个人信息收集使用规则时应当公开征求意见，应通过APP首页、官网、公众号等途径公开征求意见不少于7个工作日。

权限调用时间、范围、频次合规

新规同步了目前各部门监管要求，对APP的权限调用进行了严格规范。

在调用时间方面，当APP相关功能确需某权限才可实现时方能调用，禁止提前调用。在调用范围方面，权限调用的同意获取仅限于当前场景，即同样的权限在不同功能场景下需要再次获取用户同意，例如在扫描二维码功能和上传身份证功能中调取相机权限，需分别获取用户同意（如图1），不可“打包”同意。在调用频次方面，运营主体应当注意禁止在用户拒绝授权后，频繁弹窗强制索权。

图1

明确对SDK的监管责任

新规重点加强了运营主体对嵌入的软件开发工具包（以下简称“SDK”）的监管职责，明确运营主体应对SDK开展审核工作，如未有效履行审核义务导致侵害个人信息权益事件发生，运营者则或需承担相应法律责任。

首先，运营主体需履行SDK情况告知义务，以结构化清单（列表格形式）披露嵌入的SDK名称、版本、主要功能、运营者名称、处理个人信息的种类和SDK隐私政策链接。

其次，需特别注意的是，运营主体应当明确与SDK合作方的个人信息保护责任义务分配情况，建议尽可能通过签订协议等方式，约定各方处理个人信息的目的、方式、种类、安全保护责任及违约责任，并定期自行部署工具或委托第三方检测SDK处理个人信息情况是否合规。

此外，运营主体还需妥善处理SDK相关的个人信息主体权利请求及问题举报，应将相关请求及时同步SDK运营方并督促其及时响应；对于用户举报应当先进行核实，如属实，则需监督SDK运营方进行整改。

加强账号注销及个人信息删除权保障

新规进一步强调了用户账号注销和个人信息删除权的保障要求，运营主体需切实将用户“退出权”落到实处。

一方面，新规已明确将“无账号注销功能或者删除个人信息途径”列入不予上架应用商店的重点违规项之一，故运营主体应首先APP确保已配置账号注销功能（当前实践中仍有较多小程序未配置账号注销功能，我们建议运营主体对其小程序开展全面摸排自查），且注销流程应当便捷、易操作。

另一方面，新规特别提出了对“多应用程序统一账号”的删除权保障要求，明确了对于同企业主体或集团旗下多款APP采用统一账号的，应当保证各APP的账号注销及个人信息删除分隔化，允许用户选择只注销其中某一款或多款APP的账号并删除相关个人信息。

APP隐私违规影响范围和后果更加严重

新规将APP隐私违规（被通报或处罚）影响范围和后果进一步扩大，明确了对违规APP的公开性风险披露及提示要求。

新规提出需要对因违法违规收集使用个人信息而被省级以上相关部门通报或行政处罚的APP进行公开的风险披露，要求应用商店等分发平台在APP被通报或处罚起6个月内，在下载页面发布、标识个人信息安全风险提示。值得注意的是，新规暂未明确以上风险提示的持续时间，由于该项要求对企业声誉或产生较大影响，我们建议运营主体特别关注后续相关部门的进一步详细说明。

结语

新规的发布表明我国APP个人信息保护已逐渐进入以“精细治理”与“穿透式监管”为核心的新阶段。面对日益完善的法规体系与不断增强的监管力度，APP运营主体需持续完善内部隐私合规管理机制，合规不仅是“成本”，更是业务生存与发展的底线与基石，唯有将个人信息保护内化为企业的核心能力与价值观，方能在数字时代的浪潮中行稳致远。

文章作者：

关于赛博研究院

上海赛博网络安全产业创新研究院（简称赛博研究院），是上海市级民办非企业机构，成立至今，赛博研究院秉持战略、管理和技术的综合服务模式、致力于成为面向数字经济时代的战略科技智库、服务数据要素市场的专业咨询机构和汇聚数智安全技术的协同创新平台。

赛博研究院立足上海服务全国，是包括上海市委网信办、上海市通管局、上海市经信委、上海市数据局等单位的专业支撑机构，同时承担上海人工智能产业安全专家委员会秘书长单位、上海“浦江护航”数据安全工作委员会秘书长单位、上海数据安全协同创新实验室发起单位等重要功能，并组织“浦江护航”数据安全上海论坛、世界人工智能大会安全高端对话等一系列重要专业会议。

欢迎联络咨询：

邮件：[email protected]；

电话：021-61432693。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：赛博研究院王佳雯王佳雯《精细化监管：《互联网应用程序个人信息收集使用规定（征）》实务要点解读》