• 中文版
  • English

    • 数据月报 | 互联网应用程序个人信息收集使用新规征求意见

    路盛

    2026/03/06

    ————路盛提示————

    • 国家网信办发布《互联网应用程序个人信息收集使用规定(征求意见稿)》,《规定》围绕互联网应用程序收集使用个人信息,尤其明确了软件开发工具包(SDK)、分发平台、智能终端等多方主体责任,后两者应尽到一定审核、信息存档义务。此外,大型互联网平台更新、修改个人信息收集使用规则应至少提前7个工作日公开征求意见。
    • 国家网信办在政策法规问答中明确,未达到数据出境安全评估申报门槛,但主动申报安全评估的公司,评估结果仍然具有约束力,公司应当依照评估结果开展出境活动。
    • 公安部拟制定《网络犯罪防治法》,对网络犯罪进行全链条、事前事中防治。《征求意见稿》覆盖人工智能生成内容的识别、标识义务,应用分发平台对违法应用的监控义务,重要数据处理者的数据标签义务等多个数据合规热点问题,最高可能导致500万元或违法所得10倍罚款,还可能面临吊销业务许可、营业执照的处罚。

     

    ————监管要闻————

    国家网信办发布《互联网应用程序个人信息收集使用规定(征求意见稿)》

    2026年1月10日,国家网信办正式发布《互联网应用程序个人信息收集使用规定(征求意见稿)》,面向社会公开征求意见。《规定》以互联网应用程序为管理对象,同时围绕互联网应用程序收集使用个人信息,针对软件开发工具包(SDK)、分发平台、智能终端等不同服务商明确了主体责任。《规定》总体遵循《个人信息保护法》设立的法律框架,如个人信息的收集使用应遵循合法、正当、必要和诚信原则、知情同意原则、最小必要原则等,并在此基础上提出了一些新要求:

    1. 明确不同主体之间的责任划分:应用程序、SDK运营者承担个人信息安全保护责任,同时应用程序运营者对嵌入的SDK、分发平台运营者对其分发的应用程序、智能终端厂商对预置的应用程序承担审核义务。
    2. 细化互联网应用程序个人信息收集使用的具体规则:互联网应用程序运营安全管理要求是《规定》最核心的部分,共15条内容,针对个人信息收集使用规则的提示方式、更新规则、同意方式,通讯录、相机相册、定位信息等特殊权限的调用规则(如原则上禁止调用通讯录、通话记录、短信权限收集第三人个人信息),人脸、指纹等生物识别信息的必要性原则,以及个性化推荐的关闭选项等实务中常见问题逐一进行具体规定,为运营方提供了细致的合规参照。
    3. 大型互联网平台个人信息使用规则公示义务:注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂的互联网应用程序更新个人信息收集使用规则,应当至少提前7个工作日公开征求意见。
    4. 其他主体责任:如分发平台应对上架APP进行审核,记录并披露APP历史违规情况,智能终端配合应用程序调用日历、通话记录等权限时应通过弹窗形式取得同意,且应当提供基于时间、频度、精度等精细化授权模式的选项。

     

    国家网信办发布数据出境安全管理政策法规问答(20261月)

    2026年1月30日,国家网信办针对近期收到的有关数据出境的高频问题作出官方答复,主要包括两项内容:

    1. 不同数据出境合规路径的衔接规则:对根据《促进和规范数据跨境流动规定》无需申报安全评估即可通过标准合同或出境认证方式开展出境活动的数据处理者,如主动申报安全评估,仍应按评估结果执行。已通过标准合同或认证出境的数据处理者,如当年累计出境量后续达到安全评估申报门槛,申报时应覆盖当年全部个人信息出境情况,包括原通过标准合同或认证出境的部分。
    2. 粤港澳大湾区数据跨境流动标准合同适用范围:前述标准合同仅适用于粤港澳大湾区内的数据跨境活动,向其他境外组织、个人提供个人信息仍应依照出境情况履行定义标准合同、个人信息出境认证、数据出境安全评估申报等合规义务。

     

    公安部就《网络犯罪防治法(征求意见稿)》向社会公开征求意见

    2026年1月13日,公安部发布《征求意见稿》。针对数据保护相关内容,《征求意见稿》以网络犯罪生态防治为核心,要求建立以实名身份认证为基础的网络基础资源管理制度,打击技术支持、资金结算、信息获取、引流推广等黑灰产业链的生态治理制度,规定了网络运营者、互联网信息服务提供者、移动智能终端生产者等应履行相应的数据安全、人工智能监管、未成年人保护、网络暴力防治等义务,并提出建立跨境犯罪防治机制。违者最高可处以五百万元或违法所得10倍的罚款,并吊销业务许可、营业执照。

     

    ————数据标准————

    2026年,中国计划在智能体、具智能等前沿方向布局30余项数据领域国家标准同时,加快出台公共数据、数据基础设施等一批急需标准,并建立工业、电信、种业、航天等重要数据识别目录。

    16日,国家标准化管理委员会下达6项网络安全推荐性国家标准计划包括网络安全预警指南、移动终端安全管理平台技术要求、数据安全能力成熟度模型等,应报批日期为2027年4月30日。

     

    ————数据出境————

    130日,工业和信息化部等八部门印发《汽车数据出境安全指引(2026版)》详细界定研发设计、生产制造、驾驶自动化等六大场景下汽车重要数据的判定规则。

    127日,深港数据跨境安全便捷通道正式面向公众开通服务,目前首批运用在医疗领域,香港居民在港大深圳医院等2家指定医疗机构就诊后的检查影像与报告可通过安全通道传回香港“医健通”平台,2026年预计惠及超30万人次在深就医的香港居民。

     

    ————人工智能————

    112日,国家工业信息安全发展研究中心牵头起草的《人工智能数据集 质量评价指标》6项人工智能与数据要素领域团体标准正式发布标准涵盖人工智能数据集质量评价、工业数据集构建、数据治理、智能体、大模型知识库、AI管理能力成熟度等方向,已于1月正式实施。

    126日,杭州互联网法院审结全国首例因生成式AI“幻觉引发的侵权纠纷案明确人工智能服务提供者对AI生成信息不准确而造成的侵权应适用一般过错责任原则,服务提供者的注意义务限于对法律禁止的信息尽严格审查义务,以显著方式向用户提示AI生成内容可能不准确的固有局限性,并通过同行业通行技术措施提高生成内容准确性。本案所涉生成式人工智能服务已尽相应注意义务,不构成侵权。

    19日,国家网信办发布2025年生成式人工智能服务已备案信息。截至2025年12月31日,累计有748款生成式人工智能服务完成备案,435款生成式人工智能应用或功能完成登记。

    17日,国家网信办公开发布第十五批境内深度合成服务算法备案信息,1月共有572款深度合成服务算法完成了备案。

     

    ————数据执法————

    116日,上海网信办发布2025年网络数据安全执法8件典型案例8件案例的处罚决定均依据《网络数据安全管理条例》作出案例涵盖物流运输网络科技企业、档案查询系统、酒店服务、咖啡企业、SDK网络科技等领域,其中未依法履行网络数据安全主体责任,导致发生数据泄露案例三件,未落实网络数据跨境安全管理要求,导致数据违法违规出境两件,未有效履行个人信息安全保护义务,导致个人信息权益受到侵害三件。

    122日,最高检发布6个人信息保护检察公益诉讼典型案例,涉及智慧停车缴费系统过度使用个人信息、小区人脸识别信息管理不规范、虚假招聘广告骗取求职者信息、网络开盒、医护工作人员非法贩卖逝者信息用于殡葬行业商业营销,以及“黄牛”违法使用第三人信息预约热门景区并转售等。

     

    ————移动应用监管————

    19日,国家网信办发布《个人信息保护政策法规问答(20261月)》,明确个人信息、敏感个人信息范围,人脸识别技术个人信息保护影响评估内容,以及个人信息保护负责人指定、报送的条件。

    16日,工信部通报20261(总第54批)侵害用户权益行为的APPSDK此次通报涉及22款存在侵害用户权益的APP及SDK,所涉问题包括:违规收集个人信息、超范围收集个人信息、违规使用个人信息、未明示收集个人信息清单、APP/SDK强制/频繁/过度索取权限、强制自动续费、信息窗口点击乱跳转、SDK信息公示不到位。

    15日,国家计算机病毒应急处理中心检测发布71款违规收集使用个人信息的移动应用。此次通报共涉及十三项违法违规行为,其中有三项均涉及超过二十个移动应用,具体包括:隐私政策未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等;未向用户提供撤回同意收集个人信息的途径、方式;未采取相应的加密、去标识化等安全技术措施。

     

    ————域外新闻————

    127日,欧盟依据《数字市场法案》对谷歌启动两项规范程序旨在明确安卓操作系统应如何向第三方人工智能服务商开放与谷歌自身AI服务相同的功能,实现有效交互操作;同时规范谷歌以公平条件向第三方搜索引擎开放搜索数据的范围、条件和数据匿名处理程序。

    人工智能合规问题在欧盟受到广泛关注。继2023年欧盟针对X平台的通知删除机制、非法内容限制措施及个性化推荐等问题展开调查后,126日,欧盟委员会再次依据《数字服务法案针对X上部署AI工具Grok所带来的非法内容传播、性别暴力等风险启动正式调查在此之前,意大利数据保护机构针对广泛存在的Deepfake合成内容GrokGeminiAI平台发出警意大利正与爱尔兰数据保护会合作,未来可能对X采取进一步执法行动。法国国家信息自由委员会则在15发布声明,明确人工智能开发者在《通用数据保护条例》项下的告知义务,要求所有开发者在获取个人信息后最迟一个月内,以通俗易懂的方式告知数据主体有关数据用途、处理方式等信息。

    114日,欧洲药品管理局与美国食品药品监督管理局共同确立了在医药领域使用人工智能的10项核心原则,包括以人为本、基于风险治理、全生命流程管理、数据管理与存档等。

    114日,美国联邦贸易委员会FTC与通用汽车达成和解2025年1月,FTC指控通用在推广 OnStar 车联网及智能驾驶服务时误导消费者,并在未告知情况下收集精准位置和驾驶行为数据,甚至将相关信息出售给第三方。根据和解协议,通用未来5年不得向消费者报告机构披露消费者位置和驾驶行为数据,并在20年内须履行取得明确同意、提供个人信息请求机制,及允许消费者禁用或撤回对位置和驾驶行为数据的授权等义务。

    17日,新加坡个人数据保护委员作出4份处罚决定中欧航旅、珠宝品牌Goldheart、人力资源软件People Central、网站邮件托管服务商Singapore Data Hub等四家公司因缺乏漏洞修复流程、未定期开展安全审查、使用过期软件等原因总计造成100万人次个人信息泄露,受到金额不等的罚款。