监管政策核心原则 - 收集使用个人信息需遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式进行 [1] - 收集使用个人信息应采取对个人信息主体权益影响最小的方式，限于提供产品或者服务所必需，不得超范围收集 [1] - 不得以用户不同意或撤回同意为由拒绝提供产品或服务，除非该信息为提供服务所必需 [1] 用户告知与同意机制 - 互联网应用程序应在首次启动时，通过弹窗等显著方式告知个人信息收集使用规则，并取得用户明确同意 [2] - 向第三方提供个人信息，应取得用户的单独同意 [1][2] - 应用程序应在设置页面等醒目位置提供个人信息收集使用规则一键访问功能 [2] - 更新个人信息收集使用规则时，若涉及特定情形，需通过弹窗、消息推送等方式显著告知用户更新内容，并重新征得同意 [2] 特定信息收集与保护要求 - 收集人脸、指纹、声纹等生物识别信息需具有特定目的和充分必要性，采取对个人权益影响最小的方式，并实施严格保护措施 [3] - 生物识别信息原则上应存储于设备本地，不得通过互联网对外传输，除非法律另有规定或取得用户单独同意 [3] - 生物识别信息的保存期限不得超过实现处理目的所必需的最短时间 [3] - 应用程序不得通过调用通讯录、通话记录、短信权限收集使用用户以外其他个人信息主体的个人信息，确需用于通讯联系、添加好友、数据备份的除外 [2] 未成年人信息保护 - 应用程序运营者应采取充分管理和技术措施，严格落实未成年人个人信息保护要求，防范信息泄露、篡改、丢失 [3] - 收集使用不满十四周岁未成年人个人信息的，应制定专门规则，并取得其父母或其他监护人的同意 [3] 规则更新与公开征求意见 - 当收集使用个人信息的目的、方式、种类、保存期限或确定方法，以及调用权限、SDK行为等情况发生变化时，应用程序应及时修订更新个人信息收集使用规则 [4] - 注册用户达5000万以上或月活跃用户达1000万以上的复杂业务应用程序，在修订更新规则时，应同步通过首页、官网、公众号等途径公开征求意见，征求意见期限不少于7个工作日 [4] 智能终端操作系统责任 - 应用程序索要日历、通话记录、相机、通讯录、位置、麦克风、电话、短信、存储、身体活动等权限时，智能终端操作系统应弹窗征得用户同意，并提供基于时间、频度、精度等的精细化授权选项 [4] - 智能终端应在屏幕顶部等显著位置，以易于理解的图标等标识，如实提示当前正在调用的麦克风、摄像头、位置等权限 [4] - 智能终端应如实记录并集中展示应用程序调用各类权限的情况、后台静默期间自启动与关联启动情况，以及收集剪切板、设备唯一标识、应用程序列表等个人信息的行为，记录规则应予公开 [5]