文章核心观点 国家互联网信息办公室起草了《互联网应用程序个人信息收集使用规定（征求意见稿）》，旨在通过系统性的制度框架，全面规范互联网应用程序及其相关服务提供者（包括软件开发工具包、分发平台、智能终端）的个人信息收集使用活动，推动个人信息保护从立法完善走向实践深化 [1][4] 互联网应用程序运营安全管理要求 - 收集使用个人信息需遵循合法、正当、必要和诚信原则，并向个人信息主体充分告知规则、取得同意，使用敏感信息需取得单独同意 [6] - 不得以用户不同意或撤回同意为由拒绝提供产品或服务，除非该信息是提供服务所必需 [1][6] - 收集使用个人信息应采取对权益影响最小的方式，限于提供产品或服务所必需，不得超范围收集 [1][6] - 向第三方提供个人信息需取得用户单独同意 [2][9] - 不得通过调用通讯录、通话记录、短信权限收集用户以外其他人的信息，确需用于通讯联系、添加好友、数据备份的除外 [2][10] - 调用相机、麦克风权限仅限于用户主动使用相关功能时，不得在停止使用或无关场景下调用 [2][11] - 收集人脸、指纹、声纹等生物识别信息需有特定目的和充分必要性，采取影响最小的方式并严格保护，原则上应存储于设备内不得通过互联网传输 [2][12][13] - 注册用户5000万以上或月活跃用户1000万以上且业务复杂的应用程序，更新个人信息收集使用规则时应公开征求意见不少于7个工作日 [9] - 通过自动化决策进行信息推送或商业营销的，应提供易于操作的个性化推荐关闭选项，关闭后需停止将用户信息用于该目的 [2][13] - 用户注销账号应在15个工作日内完成，并删除或匿名化处理相关信息 [14] 软件开发工具包运营安全管理要求 - 软件开发工具包应制定并公开个人信息收集使用规则，列明不同版本的信息收集行为 [16] - 应提供基于功能的个人信息配置选项，允许应用程序按需管理其个人信息收集行为 [2][17] - 通过自动化决策进行信息推送或商业营销的，应向应用程序提供个性化推荐关闭选项 [2][17] - 应及时响应应用程序转达的用户个人信息相关请求 [17] 应用程序分发平台安全管理要求 - 分发平台应加强应用程序上架审核，建立个人信息收集使用规范性档案，记录运营者信息及违规被通报或处罚情况 [3][18] - 对未提供或提供虚假运营者信息、无个人信息收集使用规则、无账号注销功能的应用程序，不予上架 [18] - 平台需在本规定生效之日起6个月内，完成对在架存量应用程序的审核，审核不通过的予以清理下架 [3][18] - 对因违法违规收集使用个人信息被省级以上部门通报或处罚的应用程序，应在分发页面发布为期6个月的安全风险提示 [18] 智能终端安全管理要求 - 互联网应用程序索要日历、通话记录、相机、通讯录、位置、麦克风、电话、短信、存储、身体活动等权限时，智能终端操作系统应弹窗征得用户同意，并提供基于时间、频度、精度等的精细化授权选项 [3][20] - 智能终端应在屏幕顶部等显著位置，以易于理解的图标如实提示当前正在调用的麦克风、摄像头、位置等权限 [3][22] - 智能终端应如实记录并集中展示应用程序调用各类权限、后台自启动、关联启动以及收集剪切板、设备标识等信息的行为 [22] 各主体责任与审核义务 - 互联网应用程序、软件开发工具包运营者分别对其产品承担个人信息收集使用活动的主体责任 [6] - 互联网应用程序运营者对嵌入的软件开发工具包、分发平台运营者对分发的应用程序、智能终端厂商对预置的应用程序依法履行审核义务，未能有效审核造成损害的需承担相应责任 [3][7]