随着移动互联网快速发展，各类手机应用程序（APP）迅速普及，在促进经济社会发展、服务民生等方面发挥了重要作用。但APP强制索取个人信息授权的问题也愈发突出：使用一款移动教学软件，却被要求开通读取照片功能；下载输入法，却要求获取用户的电话记录……这不仅让消费者不胜其烦，也给个人信息保护带来较大的挑战。今年4月20日，国家计算机病毒应急处理中心通报了67款违法违规收集使用个人信息的APP，其中有多款APP涉及未经同意收集信息或开通权限等强制索权问题。4月21日，工业和信息化部通报了今年首批存在侵害用户权益行为的52款APP或软件开发工具包（SDK），其中有15款涉及强制、频繁、过度索取权限问题。APP强制索权问题已经成为个人信息保护领域群众反映强烈、亟待深化治理的顽疾。

APP强制索权是指APP在用户未明确同意或已拒绝授权的情况下，以拒绝或限制用户使用为手段，迫使用户接受其索取个人信息授权的行为。其典型样态包括：强制捆绑式索权，即在APP安装和运行时向用户索取非当前服务场景所必需的权限，若用户拒绝则无法继续使用；频繁干扰式索权，即在用户明确拒绝授权后，以频繁弹窗等方式反复申请非当前服务场景所必需的权限；过度无关式索权，即提前或超范围申请与用户当前所用业务功能无关的权限，如通讯录、定位等敏感权限。

我国高度重视APP个人信息保护领域工作，针对APP强制索权等问题不断完善立法和加强执法。网络安全法确立了个人信息处理的知情同意和合法正当必要原则。个人信息保护法进一步规定“收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息”，“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务；处理个人信息属于提供产品或者服务所必需的除外”。《网络数据安全管理条例》进一步明确，基于个人同意处理个人信息的，“收集个人信息为提供产品或者服务所必需，不得超范围收集个人信息”，“不得在个人明确表示不同意处理其个人信息后，频繁征求同意”。近年来，中央网信办会同有关部门持续开展APP违法违规收集使用个人信息的治理工作，建立健全工作机制，研究制定标准规范，查处各类违法违规行为，加强正面典型示范引领，着力整治强制索权等突出问题，取得了积极成效。

尽管如此，APP强制索权问题在实践中仍然较为多发，甚至在某些领域呈愈演愈烈之势。究其原因，主要在于以下方面。一是一些企业受利益驱动，对个人信息保护未能予以足够重视。为了利用用户个人信息进行精准营销、广告推送甚至从事黑灰产而牟利，部分企业铤而走险，通过强制索权获取和使用大量用户数据。二是移动互联网APP数量庞大，新形态新模式不断涌现给治理带来挑战。近年来，小程序、快应用、H5页面等新形态和SDK等新技术的出现，以及智能体APP强制调用手机系统无障碍权限等，导致治理强制索权更加困难。三是监管能力和监管方式在一定程度上滞后于治理需要。面对数量庞大和形态多样的APP，监管力量依然存在不足，“检测—通报—处置”的监管方式难以适应APP频繁迭代更新的特点，再加上处罚力度有限，违法成本不高，有的违法APP“换个马甲”就能“死灰复燃”。

鉴于APP强制索权问题仍较为突出，今年中央网信办会同有关部门开展的2025年个人信息保护系列专项行动，将APP和SDK无相关功能或未使用相关功能时调用非必要权限或收集非必要个人信息等强制索权问题作为治理的焦点问题。深化APP强制索权问题的治理，应该基于APP服务生态的特点，围绕移动互联网APP开发运营、应用分发、终端运行的全链条完善治理举措，协同共治破解这一顽疾。

加强监管执法，加大违法处罚力度。一是坚持全链条治理，强化重点环节监管。聚焦开发运营、应用分发和终端运行，细化对APP开发运营者、APP分发平台、APP第三方服务提供者、终端生产者等上下游主体监管要求，通过检测检查等加强日常监管。二是强化技术治理，加强监管能力建设。面对APP数量庞大、迭代更新快的监管挑战，切实提升APP监测检测、风险预警、溯源认证、数据挖掘等技术能力。目前，工业和信息化部建成的APP检测及认证公共服务平台就是很好的探索。三是加强协同治理，加大执法处罚力度。加强有关主管部门的统筹协同，强化信息共享和执法联动，形成监管合力。健全约谈提醒、责令整改、通报下架等长效机制，对“屡犯不改”的违法者要加大处罚力度，形成监管威慑。

夯实主体责任，健全内部合规管理。有关主体应当严格落实保护用户个人信息的法定要求，切实遵循知情同意和合法正当必要原则。对于APP开发运营者来说，一是不得以任何理由强制索取用户授权，不得因用户不同意提供非必要个人信息而拒绝用户使用其基本功能服务；二是健全内部合规管理机制，明确个人信息保护负责人，将法定要求落实到APP研发、推广和运营各环节，按照《个人信息保护合规审计管理办法》定期进行合规审计，不断提高合规水平。对于SDK服务提供者来说，应根据不同应用场景或用途，明确SDK功能和对应的个人信息收集范围，不得一揽子过度收集个人信息，并通过向APP开发运营者提供个人信息收集的配置选项和合规使用指南，促进SDK合规使用。

强化平台责任，完善应用分发管理。应用商店等分发平台是连接APP开发运营者与用户之间的桥梁，应发挥好“守门人”作用。《移动互联网应用程序信息服务管理规定》已要求APP分发平台建立完善上架审核、日常管理、应急处置等管理措施，发现在架APP违法违规收集使用个人信息的，不得为其提供服务。未来应进一步探索监管部门与分发平台的协作治理机制：一是明确APP上架审核需要提交和公示的信息，比如APP需要获取的用户终端权限及用途、个人信息处理规则等，分发平台经形式审查发现有强制索权等问题的，应不予上架；二是在监管部门支持下，分发平台对监管抽检发现的问题APP及时提示风险或下架，利用监管检测平台对拟上架APP或投诉较多的在架APP进行技术抽检，发现有强制索权等问题，应停止提供服务并及时通报监管部门。

增强终端防护，提升用户防范意识。智能手机等终端是APP安装运行的载体，应该增强终端的防护能力，切实保障用户的知情权和自主选择权。一是强化终端系统对APP权限调用行为的记录和提醒，为用户查询和管理权限调用提供技术支撑。系统应明确提示通讯录、定位、短信、麦克风、相机、剪切板等敏感权限的使用状态，保障用户实时准确了解APP个人信息收集状态，及时发现和处置强制索权问题。二是加强宣传教育，切实提升用户防范意识。通过媒体、线下宣讲等各种渠道，广泛宣传APP个人信息保护知识，增强用户对违法违规APP的辨别能力和防范能力，引导用户主动谨慎管理APP授权，在发现违法违规APP时及时通过12321等渠道进行举报和维权，促成APP强制索权全民共治的良好局面。