一、新规速递
2026年1月10日,国家互联网信息办公室发布《互联网应用程序个人信息收集使用规定(征求意见稿)》(下称“征求意见稿”),向社会公开征求意见至同年2月9日。征求意见稿落地《中华人民共和国个人信息保护法》《网络数据安全管理条例》等上位法要求,围绕互联网应用程序(APP、小程序、快应用等)的具体场景进一步细化了主体责任,针对性地设定了更为全面、具体的规则。
二、新规解读
(一)责任主体分析
征求意见稿的首要目标是构建一个权责清晰、覆盖全链条的责任体系。新规不仅约束直接面向用户的互联网应用程序(App、小程序、快应用)运营者,还明确将为其提供技术或渠道服务的各类主体纳入监管范围,涉及主体如下:
1. 互联网应用程序运营者:指直接向用户提供服务并决定个人信息处理目的、方式的组织或个人,是个人信息保护的第一责任主体。
2. 软件开发工具包(SDK)提供者:指为应用程序提供功能模块(如支付)的技术服务提供方。新规要求其公开个人信息处理规则,并对自身行为独立负责。
3. 应用程序分发平台:如苹果App Store、各大安卓应用商店、微信小程序平台等,负有对上架应用进行审核、管理、监督的义务。
4. 智能终端操作系统提供者:如手机厂商,需为权限调用提供清晰提示和管理能力。
(二)合规性要求分析
连锁餐饮企业需重点关注的是对互联网应用程序运营者(即App运营者)提出的要求,这主要规定在征求意见稿第二章:
1. 强调透明化告知与动态同意(第七~九条):新规要求以清晰易懂的结构化清单形式,逐项列明每项功能收集个人信息的目的、方式种类及调用权限的名称、频度,收集使用个人信息的必要性以及对用户的影响。对于注册用户超5000万或月活跃用户超1000万,业务类型复杂的应用,当收集规则发生变更时,必须在应用程序首页、公众号等位置公开征求意见不少于7个工作日。每次规则更新,都需通过弹窗、推送等显著方式告知用户变更内容并重新获取同意。
2. “最小必要”原则的场景化落地(第十~十四条):新规严格禁止强制索权行为。特别要求,个人信息收集与权限调用必须与当前具体功能场景直接相关,并以实现功能所需的最低频度、最小范围进行。新规对相机、麦克风、位置权限以及相册/通讯录/短信/存储等访问权限设置了精细化管理规则。例如,在外卖、导航等需要实时定位的场景,调用频率须限制在最低频度;在添加地点、内容搜索等需单次定位场景,应仅在用户进入界面或主动刷新时调用一次;原则上,应用程序不应索取后台持续访问位置的权限。
3. 对敏感信息保护加强(第十五条):餐饮行业逐步应用的人脸识别支付、会员刷脸核验等,直接受到第十五条的约束。新规要求,除法定情形或取得用户单独同意外,人脸、指纹、声纹等生物识别信息应当存储在生物识别设备内,不得通过互联网对外传输。
4. 账号注销功能保障(第十八条):除了防范黑灰产、安全风控等必要情形,不应收集人脸、手持身份证照片等超出已收集范围的个人信息。同时,对于有多款应用程序、集团一体化管理的运营者,新规要求,应允许用户单独注销其中一款应用程序账号,或者允许关闭此应用程序中的该账号使用权限、并删除其中相应的个人信息。
5. 审慎管理第三方SDK(第四条、第十九条):新规明确,APP运营者需对嵌入的SDK进行审核和管理,确保SDK的行为与其声明的内容保持一致,否则,应用程序运营者需要承担相应责任。这意味着APP运营者必须对SDK进行严格的安全与合规评估,与其清晰划分权责,并在隐私政策中清晰告知用户SDK的处理规则,督促SDK及时响应用户的请求。
三、视点小结
总体来看,《互联网应用程序个人信息收集使用规定(征求意见稿)》是在既有个人信息保护框架下,对APP实际运行中的信息收集、权限调用和功能设计提出了更高、更具体的要求。结合此征求意见稿,接下来监管的重心可能会更加聚焦审查应用程序的实际运行行为。
征求意见稿中涉及的“大型互联网应用程序”“权限调用边界”等概念,以及技术核验、各主体责任分担的具体标准,目前仍存在不确定性,有待正式文本或后续执法实践进一步厘清。在此背景下,各类互联网应用程序运营者,包括广泛采用数字化服务的餐饮企业,应更稳妥地对APP产品与业务实践进行提前梳理与必要改造,并留出调整空间,以便在规则最终落地后,能够快速对齐监管要求,降低反复整改的成本。