2026年《互联网应用程序个人信息收集使用规定(征求意见稿)》要点解读:对品牌营销、AdTech 与 DSP 的影响
- See Qian
- Jan 13
- 5 min read
本系列文章旨在介绍中国的最新监管政策更新、报告和广告法律。如果您错过了本系列中的任何文章,可以点击以下标题阅读更多内容:反垄断行动、《个人信息保护法》、《广告法》 、十月更新、十一月更新、十二月更新、一月更新(小红书禁用39个品牌)、医疗广告、三月更新、IP属地法规、滴滴12亿美元罚款、《数据出境安全评估办法》、《互联网弹窗信息推送服务管理规定》、《未成年人互联网保护》、《中华人民共和国保守国家秘密法》(第二次修订)、中国加强数据隐私保护
2026年1月10日,国家互联网信息办公室发布通知,就《互联网应用程序个人信息收集使用规定(征求意见稿)》公开征求意见,反馈截止至2026年2月9日。该规定旨在规范互联网应用程序个人信息收集使用活动,并以《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等为依据。
征求意见稿核心目的
这份文件的核心目的,是把个人信息保护的原则性要求,进一步落地为可执行、可检查的“操作规则”,覆盖的不只是 App 本身,还包括:
• App(含小程序、快应用)
• 嵌入 App 的 SDK 运营者
• 应用分发平台(应用商店、小程序平台等)
• 智能终端/操作系统(权限弹窗、提示标识、日志记录等)
它与原有的制度框架一脉相承:以《个人信息保护法》(PIPL)为基础,同时呼应 2025 年生效的《网络数据安全管理条例》,并延续对“过度收集、未充分告知、规则不清晰”的持续治理导向。换句话说,新规更像是把“原则”变成“清单”,让监管与平台审核都更容易落到细处。
草案重点:用“白话”拆解 6 个最影响商业化的变化
披露从“隐私政策”升级为“功能级结构化清单”
草案要求制定公开的个人信息收集使用规则,并以结构化清单逐项列明:每项功能收集使用个人信息的目的、方式、种类,调用权限名称与频度,敏感个人信息的必要性及对用户权益影响等,并对重点内容作显著提示。
商业含义:“笼统的、一次性隐私政策”会越来越不够用;合规将更接近“可审计的产品说明书”。
SDK透明化不再是可选项目
对嵌入SDK的App,草案要求在规则中结构化列明SDK名称(包名)、版本、主要功能、运营者信息、收集使用的个人信息种类及SDK规则链接。
同时,SDK章节提出SDK应公开规则、不得超范围收集,并在通过自动化决策用于信息推送/商业营销时,需向App提供个性化推荐关闭选项,关闭后停止使用相关个人信息。
商业含义:AdTech里“SDK即数据入口”的模式将被更强地审视;SDK治理将从法务条款走向产品与工程协作。
向第三方提供个人信息:进一步强调“单独同意”
草案明确提出:互联网应用程序向第三方提供个人信息的,应当取得用户的单独同意。
商业含义:涉及数据共享、联合建模、第三方数据补全、跨主体人群包等链路,必须把“同意与告知”做实、做清楚。
个性化推荐/商业营销:必须提供“可关闭”选项,且关闭后要“真正停用”
草案要求:App通过自动化决策进行信息推送、商业营销的,应当设置成“易理解、易访问、易操作”的个性化推荐关闭选项;用户关闭后,App应停止将相关个人信息用于个性化推荐目的。
商业含义:“默认个性化”会更敏感;投放效果将更依赖合规的同意管理与更稳健的替代方案(上下文、内容、人群分层的第一方运营等)。
分发平台为“把关人”:上架、展示、存量清理都要合规化
草案要求分发平台加强上架审核、建立规范性档案、核验运营者真实身份;对未提供必要信息、无规则、无注销功能或无删除途径的App,不予上架;并要求在规定生效后6个月内完成对存量App的审核,不通过的一律清理下架。
此外,分发/下载页面需清晰展示运营者信息、主要功能、所需权限列表、规则文本或链接等。
商业含义:合规不再只是“被抽检风险”,还会直接影响分发与触达的稳定性——投放链路可能因上架/更新受阻而波动。
智能终端/操作系统:权限提示更“显眼”,日志记录变成“可追溯”
草案提出:当App索要日历、相机、通讯录、位置、麦克风、短信、存储等权限时,操作系统应弹窗征得同意,并提供基于时间、频度、精度等精细化授权选项;同时,智能终端应在显著位置提示当前调用的麦克风、摄像头、位置等权限,并集中记录展示权限调用、后台静默自启动/关联启动,以及剪切板、设备唯一标识、应用列表等信息收集行为,且记录规则应公开。
商业含义:“隐形采集”和“过度权限”会变得更容易被用户与监管发现;数据使用的可见性上升,将倒逼营销技术栈做减法与做透明。
对中国营销、AdTech的影响
A. 第三方数据激活更难,优质合规数据更贵
当“结构化披露 + 单独同意 + 平台审核 + OS日志”叠加,第三方数据与跨主体共享链路的门槛将会提高。并非第三方数据消失,而是“来源、用途、同意、可撤回、可证明”变得更关键。
B. 定向策略更趋向“许可式”和“平台原生”
更可持续的路径将包括:会员/CRM第一方数据、平台内第一方人群能力、内容与场景驱动的上下文投放,以及责任边界清晰的合作模式。
C. 测量与归因更强调最小化与透明治理
当权限与设备级采集更可见,依赖不必要标识符或“灰色权限”的归因方式风险增加。更稳健的方向是:更强的SDK清单管理、更清晰的数据留存与用途限制、以及更偏聚合与安全的衡量方法。
D. 同意与隐私体验(Privacy UX)变成增长杠杆
草案要求显著提示、一键访问规则、可关闭个性化推荐等,本质上把“选择权”推到更前台。对品牌而言,隐私体验设计不再只是合规成本,而会直接影响可触达规模与转化效率。
品牌与营销团队现在就能做的 5 件事
设计你的中国数据供应链(端到端)
梳理每条投放链路:数据从哪里来、经过哪些SDK/平台/服务商、是否对外提供个人信息、同意与撤回机制在哪里落地。
对个性化能力做压力测试:如果更多用户关闭推荐会怎样?
把“关闭个性化后的投放与转化”作为情景推演,提前准备上下文、人群分层运营、内容驱动与平台原生人群等替代方案。
把“合作方合规”从口头承诺变成证据
向DSP、数据方、SDK、媒体伙伴要“可验证信息”:权限调用范围、数据种类与用途、单独同意的获取方式、撤回/删除响应路径等。
为数据与权限做“减法”:把不必要的数据变成风险敞口
草案强调“功能场景”与“最低频度/最小范围”,不必要的数据采集会成为商业稳定性的负担。
把隐私合规变成信任叙事
清晰表达“只用必要信息”“可关闭个性化”“合作伙伴可审计”,在中国的监管与舆论环境下,这也可能成为品牌资产的一部分。
结论
这份征求意见稿释放的方向非常明确:App、SDK、分发平台、智能终端共同承担责任,且要求更透明、更可核查、更可退出。对营销与AdTech来说,竞争优势将从“拿到更多数据”转为“用更干净、可解释、可持续的数据跑出稳定增长”。越早完成第一方数据底座、SDK治理与投放链路的合规加固,越能在2026年政策与平台执行力度提升时保持投放韧性与商业确定性。
联系我们,了解有关中国最新监管政策的更多更新信息。