华炬数小合 | 告别“隐私刺客”!App收集个人信息新规来了!-夜雨聆风

华炬数小合 | 告别“隐私刺客”!App收集个人信息新规来了!

“刚在购物软件搜了件衣服，转头资讯App就给我推同款广告。”“一个停车软件，居然能随时查看绑定车辆的进出记录和轨迹。”“想注销个账号，比登天还难。”这些场景，你是否也深有同感？一份即将出台的新规，正试图将那些潜伏在手机里的“隐私刺客”关进制度的笼子。

2026年1月10日，国家互联网信息办公室发布《互联网应用程序个人信息收集使用规定（征求意见稿）》，向社会公开征求意见。这份被业界称为“App个人信息收集最严新规”的文件，直指上述乱象，旨在为我们的数字生活筑起一道坚实的“盾牌”。

一、核心原则与适用范围

（一）基本原则

新规重申并强化了收集使用个人信息应遵循合法、正当、必要和诚信原则。特别强调应采取对个人信息主体权益影响最小的方式，限于提供产品或者服务所必需，不得超范围收集。不得因用户不同意收集非必要信息或撤回同意而拒绝提供核心服务（除非该信息确属必需）。

（二）适用范围

新规不仅规范互联网应用程序（App、小程序）运营者，还延伸至为其提供服务的软件开发工具包（SDK）运营者、应用程序分发平台（应用商店）以及智能终端厂商，旨在构建全生态链条的监管体系。

（三）核心内容

新规的核心，可以用八个字概括：最小必要，用户自主。它并非凭空而来，而是对现有法律原则的细化和硬化。

新规再次明确并强化了“合法、正当、必要和诚信”这一处理个人信息的基本原则。这意味着，App收集信息必须有法可依、目的正当，且仅限于提供服务所必需，绝不能“狮子大开口”。何为“必要”？国家网信办等四部门早在2021年发布的《常见类型移动互联网应用程序必要个人信息范围规定》就已给出明确清单。例如，地图导航类App，必要信息仅为位置、出发地和到达地；网络支付类，需要手机号、姓名、证件号和银行卡号；而像拍摄美化、女性健康这类App，根本无需任何个人信息就能使用基本功能。

新规的突破在于，它将“最小必要”原则贯穿到了App运行的每一个毛细血管。它要求App必须在用户使用具体功能时，才能索要对应的权限，并同步告知目的，不得提前索要或频繁骚扰。想象一下，一个美颜相机在你刚打开时就要读取通讯录，这将被明确禁止。对于最敏感的生物识别信息（人脸、指纹、声纹），新规设置了最高级别的保护门槛：必须有特定目的和充分必要性，且原则上应存储在设备本地，不得随意外传。

二、关于用户权利：从“被迫同意”到“真正掌控”

过去，我们常常面对“不勾选同意就无法使用”的霸王条款。新规致力于扭转这种局面，将信息的控制权交还给用户本人。

最显著的变化是 “一揽子授权”的终结。新规要求App提供基于功能场景的配置选项，允许用户根据需要，只同意部分功能收集相关信息。这意味着，你可以放心使用一个App的核心功能，同时拒绝它读取你的相册或通讯录。

针对令人反感的“大数据杀熟”和精准广告推送，新规给出了关闭选项。App通过自动化决策进行信息推送或商业营销时，必须提供易于操作的个性化推荐关闭键。一旦关闭，App就应停止将你的个人信息用于此目的。

长期以来，“注册容易注销难”是用户的痛点。新规对此划出硬性时限：App必须在15个工作日内完成账号注销，并删除或匿名化处理相关个人信息。同时，注销时不得再强行索要人脸识别等额外信息，为用户的“被遗忘权”提供了有力保障。

此外，新规还特别强调了对未成年人的保护。要求App在收集14周岁以下未成年人信息时，必须制定专门规则，并取得监护人同意。此前，一些儿童教育类App的隐私政策完全忽略了未成年人的特殊权益，存在巨大风险。

三、关于深远影响：重塑行业生态与

监管格局

这份新规的影响，将如涟漪般扩散至整个数字生态。

对普通用户而言，最直接的感受将是“清净”与“安全”。弹窗索权会变少，莫名推送会收敛，个人信息被超范围采集、暗中交易的风险将大大降低。当用户对自己的数据有了真正的掌控感，数字消费的信任基础才会牢固。

对App运营者（企业）来说，这是一次深刻的合规洗礼。过去那种“先收集、再说”的粗放模式行不通了。企业必须重新审视自己的每一个功能，精确界定所需信息的范围和目的，并建立贯穿数据全生命周期的合规管理体系。隐私政策不再是一份冗长晦涩、只为规避责任的“免责声明”，而必须成为一份清晰、透明、真实的“数据契约”。

对应用商店（分发平台）和手机厂商（智能终端），新规赋予了更重的审核与管理责任。应用商店需加强上架审核，对违规App采取警示、下架等措施；手机厂商则需在系统层面提供更精细的权限管理选项，并如实记录和提示App的权限调用行为。这形成了从源头到终端的全链条治理。

对监管部门，新规提供了更具体、更具操作性的执法依据。自2019年起，中央网信办、工信部等部门持续开展App违法违规收集个人信息专项治理，成效显著。新规的出台，将使未来的监管更加常态化、精细化，对“超范围收集个人信息”等高频违规行为的打击将更加精准有力。

四、结语

新规的出台，标志着我国个人信息保护从“原则规定”进一步迈向 “精细规则”新阶段。它回应了公众长期以来的关切，也为数字经济的健康发展厘清了边界。

技术的进步不应以牺牲个人隐私为代价。一份好的规则，既能约束“隐私刺客”的利刃，也能为创新留下广阔空间。当企业学会在合规的轨道上奔跑，当用户能在便利与安全中安心漫步，我们迎来的，将是一个更值得信赖的数字未来。

国家网信办的征求意见已于2026年2月9日结束，正式规定指日可待。这一次，我们或许真的可以和那些过度索权、滥用数据的乱象，说再见了。

文 | 张帆

| 团队介绍

华炬数小合数据合规与隐私保护法律（咨询）服务团队，聚焦数据要素市场，服务范围包括数据合规体系建设、数据资产入表、数据产品交易、IPO及上市公司数据合规、公共数据授权运营合规、数据出境合规、重点行业数据与隐私保护等。主要成员包括：邵华、张帆、赵文龙、郝亚菲等，团队成员通过国际认证EXIN DPO（数据保护官）&DPO-PIPL（中国个人信息保护官）认证、中国行为法学会数据资产管理师认证。团队致力于构建“一站式”数据服务模式，协同整合数商生态圈上下游资源，不断在数据要素各应用场景上突破创新，携手合作伙伴共创佳绩。

联系方式：15003511463；13834665942