文章核心观点 国家互联网信息办公室发布《互联网应用程序个人信息收集使用规定（征求意见稿）》，旨在通过制定详细、可操作的管理要求，全面规范App、SDK、分发平台及智能终端的个人信息收集使用活动，强化对用户权益的保护，并明确了各相关运营主体的责任与义务 [1][2] 总则与基本原则 - 规定适用于境内运营App、SDK、分发平台及智能终端的个人信息处理活动，并对特定境外活动具有管辖权 [2] - 收集使用个人信息必须遵循合法、正当、必要和诚信原则，禁止通过误导、欺诈、胁迫等方式进行 [2] - 运营者需向用户充分告知规则并取得同意，处理敏感个人信息需取得单独同意 [2] - 不得因用户不同意或撤回同意而拒绝提供核心服务 [3] - App与SDK运营者分别承担其产品个人信息处理活动的主体责任 [4] 互联网应用程序运营安全管理要求 - App需制定公开、透明的个人信息收集使用规则，并以清晰易懂的语言和显著方式（如加粗、放大字号）向用户提示关键内容 [5] - 注册用户超5000万或月活用户超1000万的复杂业务App，在更新规则时需公开征求意见不少于7个工作日 [6] - App首次启动时需通过弹窗等显著方式告知规则并取得用户同意，向第三方提供信息需取得单独同意 [6] - 原则上禁止通过调用通讯录等权限收集非用户本人的信息，确需使用的例外情形受到严格限制 [7] - 需提供基于功能场景的配置选项，允许用户按需同意，并仅在用户使用具体功能时索要对应权限 [7] - 禁止提前索要权限、频繁索要，以及超出同意范围收集信息，权限调用需与当前场景直接相关并以最低频度、最小范围进行 [7] - 对相机、麦克风、位置等敏感权限的调用场景、频度和方式做出了具体且严格的限制 [8] - 收集人脸等生物识别信息需具有特定目的和充分必要性，原则上应存储在设备本地且不得对外传输，保存期限不得超过实现目的的最短时间 [8] - 需加强未成年人信息保护，收集未满14周岁未成年人信息需制定专门规则并取得监护人同意 [9] - 通过自动化决策进行信息推送或营销时，必须提供易于操作的个性化推荐关闭选项 [9] - 应为用户提供便捷的账号注销功能，注销后应在15个工作日内删除或匿名化处理个人信息 [10] - App运营者需对嵌入的SDK进行审核并约定责任，确保其行为与声明一致，并需督促SDK响应用户请求 [10] - 鼓励App接入国家网络身份认证公共服务，验证后不得强制要求用户另行提供明文身份信息 [11] 软件开发工具包运营安全管理要求 - SDK需制定并公开个人信息收集使用规则，列明不同版本的行为差异，规则变化时需同步更新 [12] - SDK不得超出声明范围或实现业务功能所需的最小范围、最低频度收集个人信息或调用权限 [12] - SDK应提供基于功能的配置选项，允许App进行管理，并提供个性化推荐关闭选项 [12] - SDK需建立有效途径，直接响应用户关于个人信息的各项请求 [13] 应用程序分发平台安全管理要求 - 分发平台需加强上架审核，建立App个人信息规范性档案，对不符合要求（如无规则、无注销功能）的App不予上架 [14] - 平台应自规定生效之日起6个月内完成存量App审核，审核不通过的予以清理下架 [14] - 对因违规被省级以上部门通报或处罚的App，需在分发页面发布为期6个月的安全风险提示 [14] - 平台应配合监管部门，对违规App采取警示、暂停分发或终止分发等措施 [15] 智能终端安全管理要求 - 智能终端厂商在预置App时需核验运营者信息，对不符合要求的App不予预置 [16] - 操作系统应在App索要敏感权限时弹窗征得用户同意，并提供基于时间、频度、精度等的精细化授权选项 [16] - 需在屏幕显著位置以图标实时提示正在调用的麦克风、摄像头、位置等权限 [16] - 需集中展示并记录App的权限调用、后台自启动、关联启动及收集剪切板等信息的行为，并准确提示安全风险 [16] 监督管理与法律责任 - 国家及地方网信部门负责统筹协调和监督管理工作，其他相关部门在职责范围内配合 [18] - 各运营者需提供有效的投诉举报渠道，并承诺在15个工作日内受理处置 [18] - 各运营者需制定内部管理制度，建立合规体系，配合监管部门监督检查 [19] - 运营者需采取加密、去标识化等技术措施保护个人信息，发生泄露时需及时告知用户并报告主管部门 [20] - 违反规定的，将依据《网络安全法》《个人信息保护法》等相关法律法规处理，构成犯罪的依法追究刑事责任 [20]