监管政策动向 - 国家互联网信息办公室起草了《互联网应用程序个人信息收集使用规定（征求意见稿）》，旨在规范个人信息收集使用活动，保护个人信息权益并促进其合理利用 [1] - 该规定目前处于向社会公开征求意见阶段 [1] 应用程序合规要求 - 互联网应用程序应在首次启动时，通过弹窗等显著方式向用户告知个人信息收集使用规则 [1] - 应用程序应在设置页面等醒目位置提供个人信息收集使用规则的一键访问功能，以方便用户查阅和保存 [1] - 应用程序应在用户使用具体功能时方可索要对应的必要个人信息权限，并需同步告知使用目的，不得提前索要 [1] - 若用户拒绝授权，应用程序不得频繁索要权限以致影响用户正常使用其他功能 [1]

监管政策动向 - 国家互联网信息办公室起草了《互联网应用程序个人信息收集使用规定（征求意见稿）》，旨在规范App个人信息收集使用活动，保护个人信息权益并促进其合理利用 [1] 权限调用规范 - 应用程序仅在用户主动使用拍照、发送语音、录音录像等功能时才能调用相机、麦克风权限，不得在用户停止使用或无关场景下调用 [3] - 地图导航、路径记录、外卖闪送、位置共享等需要实时定位的场景，调用位置权限的频率应限于实现业务功能的最低频度 [3] - 添加地点、内容搜索、内容推荐、广告营销等需单次定位的场景，应仅在用户进入功能界面或主动刷新时调用一次位置权限 [3] - 除法律另有规定或业务功能确需外，应用程序不应索要后台持续访问用户位置的权限 [3] - 用户使用上传或发送图片、文件功能时，若可通过智能终端存储访问框架实现，则不得索要手机相册、通讯录、短信、存储等权限 [3] - 应用程序通过提供文件编辑、备份等功能获得存储权限后，不得访问用户主动选择以外的文件 [3] 用户授权与提示 - 应用程序索要日历、通话记录、相机、通讯录、位置、麦克风、电话、短信、存储、身体活动等权限时，操作系统应弹窗征得用户同意，并提供基于时间、频度、精度等的精细化授权选项 [3] - 智能终端需在屏幕顶部等显著位置，以易于理解的图标等显著标识，如实向用户提示当前正在调用的麦克风、摄像头、位置等权限 [4]

文章核心观点 国家互联网信息办公室起草了《互联网应用程序个人信息收集使用规定（征求意见稿）》，旨在通过系统性的制度框架，全面规范互联网应用程序及其相关服务提供者（包括软件开发工具包、分发平台、智能终端）的个人信息收集使用活动，推动个人信息保护从立法完善走向实践深化 [1][4] 互联网应用程序运营安全管理要求 - 收集使用个人信息需遵循合法、正当、必要和诚信原则，并向个人信息主体充分告知规则、取得同意，使用敏感信息需取得单独同意 [6] - 不得以用户不同意或撤回同意为由拒绝提供产品或服务，除非该信息是提供服务所必需 [1][6] - 收集使用个人信息应采取对权益影响最小的方式，限于提供产品或服务所必需，不得超范围收集 [1][6] - 向第三方提供个人信息需取得用户单独同意 [2][9] - 不得通过调用通讯录、通话记录、短信权限收集用户以外其他人的信息，确需用于通讯联系、添加好友、数据备份的除外 [2][10] - 调用相机、麦克风权限仅限于用户主动使用相关功能时，不得在停止使用或无关场景下调用 [2][11] - 收集人脸、指纹、声纹等生物识别信息需有特定目的和充分必要性，采取影响最小的方式并严格保护，原则上应存储于设备内不得通过互联网传输 [2][12][13] - 注册用户5000万以上或月活跃用户1000万以上且业务复杂的应用程序，更新个人信息收集使用规则时应公开征求意见不少于7个工作日 [9] - 通过自动化决策进行信息推送或商业营销的，应提供易于操作的个性化推荐关闭选项，关闭后需停止将用户信息用于该目的 [2][13] - 用户注销账号应在15个工作日内完成，并删除或匿名化处理相关信息 [14] 软件开发工具包运营安全管理要求 - 软件开发工具包应制定并公开个人信息收集使用规则，列明不同版本的信息收集行为 [16] - 应提供基于功能的个人信息配置选项，允许应用程序按需管理其个人信息收集行为 [2][17] - 通过自动化决策进行信息推送或商业营销的，应向应用程序提供个性化推荐关闭选项 [2][17] - 应及时响应应用程序转达的用户个人信息相关请求 [17] 应用程序分发平台安全管理要求 - 分发平台应加强应用程序上架审核，建立个人信息收集使用规范性档案，记录运营者信息及违规被通报或处罚情况 [3][18] - 对未提供或提供虚假运营者信息、无个人信息收集使用规则、无账号注销功能的应用程序，不予上架 [18] - 平台需在本规定生效之日起6个月内，完成对在架存量应用程序的审核，审核不通过的予以清理下架 [3][18] - 对因违法违规收集使用个人信息被省级以上部门通报或处罚的应用程序，应在分发页面发布为期6个月的安全风险提示 [18] 智能终端安全管理要求 - 互联网应用程序索要日历、通话记录、相机、通讯录、位置、麦克风、电话、短信、存储、身体活动等权限时，智能终端操作系统应弹窗征得用户同意，并提供基于时间、频度、精度等的精细化授权选项 [3][20] - 智能终端应在屏幕顶部等显著位置，以易于理解的图标如实提示当前正在调用的麦克风、摄像头、位置等权限 [3][22] - 智能终端应如实记录并集中展示应用程序调用各类权限、后台自启动、关联启动以及收集剪切板、设备标识等信息的行为 [22] 各主体责任与审核义务 - 互联网应用程序、软件开发工具包运营者分别对其产品承担个人信息收集使用活动的主体责任 [6] - 互联网应用程序运营者对嵌入的软件开发工具包、分发平台运营者对分发的应用程序、智能终端厂商对预置的应用程序依法履行审核义务，未能有效审核造成损害的需承担相应责任 [3][7]

监管政策动向 - 中国国家互联网信息办公室发布《互联网应用程序个人信息收集使用规定（征求意见稿）》，旨在规范个人信息收集使用活动，保护个人信息权益，促进个人信息合理利用 [1] - 征求意见稿要求互联网应用程序仅在用户主动选择使用拍照、发送语音、录音录像等功能时调用相机、麦克风权限，不得在用户停止使用或无关场景调用 [1] - 收集使用个人信息应采取对个人信息主体权益影响最小的方式，限于提供产品或服务所必需，不得超范围收集使用个人信息 [1] 用户同意与告知规则 - 互联网应用程序应在首次启动时，通过弹窗等显著方式向用户告知个人信息收集使用规则，并在用户充分知情的前提下，取得用户同意规则的明确表示 [1] - 互联网应用程序向第三方提供个人信息的，应当取得用户的单独同意 [1] 权限调用与数据收集限制 - 互联网应用程序不得通过调用通讯录、通话记录、短信权限收集使用用户以外其他个人信息主体的个人信息，确需用于满足通讯联系、添加好友、数据备份的除外 [1] 用户权利保障 - 互联网应用程序应当为用户提供注销账号的便捷功能 [2] - 用户注销账号后，互联网应用程序应在15个工作日内完成账号注销，删除已收集的相关个人信息或进行匿名化处理 [2] 政策制定进程 - 意见反馈截止时间为2026年2月9日 [3]

互联网应用程序个人信息收集使用新规草案要点 - 国家网信办起草《互联网应用程序个人信息收集使用规定（征求意见稿）》，旨在规范个人信息收集使用活动，保护个人信息权益，促进个人信息合理利用 [1] - 新规草案向社会公开征求意见，意见反馈截止时间为2026年2月9日 [3] 针对互联网应用程序的具体规定 - 应用程序应在首次启动时，通过弹窗等显著方式向用户告知个人信息收集使用规则 [1] - 应用程序应在设置页面等醒目位置提供个人信息收集使用规则一键访问功能，方便用户查阅和保存 [1] - 应用程序应在用户使用具体功能时方可索要对应的必要个人信息权限，并同步告知使用目的，不得提前索要 [1] - 用户拒绝授权后，应用程序不得频繁索要影响用户正常使用其他功能 [1] - 应用程序仅在用户主动选择使用拍照、发送语音、录音录像等功能时调用相机、麦克风权限，不得在用户停止使用相关功能或无关场景调用 [1] - 在地图导航、路径记录、外卖闪送、位置共享等需要实时定位的场景，持续调用位置权限的频率应限于实现业务功能的最低频度 [1] 针对智能终端操作系统的规定 - 当应用程序索要日历、通话记录、相机、通讯录、位置、麦克风、电话、短信、存储、身体活动等权限时，智能终端操作系统应弹窗征得用户同意 [2] - 操作系统应根据权限特点提供可基于时间、频度、精度等精细化授权模式选项 [2] - 智能终端应在屏幕顶部等显著位置，以易于理解的图标等显著标识，如实地向用户提示当前正在调用的麦克风、摄像头、位置等权限 [2] - 智能终端厂商在受理应用程序预置申请时，应登记并核验应用程序运营者的真实身份、联系方式等信息 [2] - 对未提供上述信息或提供虚假信息，应用程序无个人信息收集使用规则、无账号注销功能或无删除个人信息途径的，不予预置 [2]

法规发布与目的 - 国家网信办起草《互联网应用程序个人信息收集使用规定（征求意见稿）》，旨在规范App个人信息收集使用活动，保护个人信息权益并促进合理利用，意见反馈截止时间为2026年2月9日 [1] 适用范围与基本原则 - 规定适用于在中国境内运营App过程中收集使用个人信息，以及为App提供服务的SDK、分发平台、智能终端等，境外处理境内自然人个人信息符合特定情形的也适用 [3] - 收集使用个人信息必须遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式进行 [3] - 必须向个人信息主体充分告知规则并取得同意，收集敏感个人信息需取得单独同意，并采取对权益影响最小的方式，限于提供产品或服务所必需 [3] - 不得以用户不同意或撤回同意为由拒绝提供产品或服务，除非该个人信息是提供服务所必需的 [4] 运营者主体责任与审核义务 - App、SDK运营者对其运营实体的个人信息收集使用活动及安全保护承担主体责任 [4] - App运营者对嵌入的SDK、分发平台对分发的App、智能终端厂商对预置的App依法履行审核义务，未能有效审核并造成损害的需承担相应责任 [4] - 鼓励行业组织建立自律机制，制定行业规范和自律公约 [6] App运营安全管理要求 - 必须制定公开、透明、清晰易懂的个人信息收集使用规则，以结构化清单列明运营者信息、每项功能收集目的/方式/种类/权限/频度、嵌入SDK详情、保存期限、用户权利行使方法等，并对重点内容进行显著提示 [6] - 规则发生变更时需及时更新，对于注册用户超5000万或月活用户超1000万且业务类型复杂的App，更新规则时需公开征求意见不少于7个工作日 [7] - 首次启动时应通过弹窗等显著方式告知规则并取得用户同意，向第三方提供个人信息需取得单独同意，并提供规则一键访问功能 [7] - 规则更新若涉及收集目的、方式、种类、保存期限、权限频度或SDK行为变化，需显著告知用户并重新征得同意 [7] - 原则上不得通过调用通讯录、通话记录、短信权限收集使用非用户本人的个人信息，确需用于通讯联系、添加好友、数据备份的除外 [8] - 应提供基于功能场景的个人信息收集配置选项，允许用户同意部分功能场景收集信息 [9] - 应在用户使用具体功能时方可索要对应的必要权限并同步告知目的，不得提前索要，用户拒绝后不得频繁索要影响正常使用 [12] - 不得在用户同意规则前收集信息，不得超范围收集，调用权限需与当前功能场景直接相关，并以最低频度、最小范围收集，功能场景结束后停止调用 [13] - 仅在用户主动使用拍照、录音等功能时调用相机、麦克风权限，不得在停止使用或无关场景调用 [14] - 实时定位场景（如导航）调用位置权限频率限于实现功能的最低频度，单次定位场景（如搜索）仅在用户进入界面或主动刷新时调用一次，原则上不应索要后台持续获取位置权限 [14] - 用户上传图片/文件时，若可通过智能终端存储访问框架实现，则不得索要手机相册、通讯录等权限，通过文件编辑等功能获得存储权限后不得访问用户未选择的文件 [14] - 收集人脸、指纹、声纹等生物识别信息需有特定目的和充分必要性，采取影响最小的方式并严格保护，原则上应存储于设备内不得通过互联网传输，保存期限不得超过实现目的所必需的最短时间 [15] - 需严格落实未成年人保护要求，收集使用不满十四周岁未成年人信息的，需制定专门规则并取得监护人同意 [16] - 通过自动化决策进行信息推送、商业营销的，应提供易于操作的个性化推荐关闭选项，用户关闭后应停止将相关信息用于该目的 [17] - 应为用户提供便捷的账号注销功能，用户注销时原则上不得要求新增提供超出已收集范围的人脸、手持身份证照片等信息 [18] - 用户注销账号后，应在15个工作日内完成注销，删除或匿名化处理相关信息，法律另有规定的除外 [18] - 对于同一企业或集团下多款App统一账号管理的，应允许用户选择注销单款App账号或关闭其使用权限，并删除仅用于该App的个人信息 [18] - 应与嵌入的SDK约定收集使用目的、方式、种类和安全责任，并采取技术措施审核确保SDK实际行为与声明一致 [19] - 用户行使查阅、复制、删除等权利涉及SDK时，App应及时通知并督促SDK响应用户请求 [13] - 发布或更新版本后，应采取有效方式提醒用户升级，并对所有授权发布渠道的旧版本App进行更新替换 [20] - 鼓励接入国家网络身份认证公共服务，用户使用网号、网证验证身份后，不得强制要求用户另行提供明文身份信息 [21] SDK运营安全管理要求 - 收集使用个人信息的SDK应制定并公开个人信息收集使用规则，列明不同版本的行为差异，规则变化时需同步更新 [16] - 不得超出规则声明范围、实现业务功能的最小范围以及最低频度收集使用个人信息和调用权限 [23] - 应提供基于功能的个人信息配置选项，允许App按需管理SDK收集行为 [24] - 通过自动化决策进行信息推送、营销的，应向App提供个性化推荐关闭选项，关闭后停止将相关信息用于该目的 [24] - 应及时响应App通知的用户个人信息权利请求 [24] - 应建立有效方式和途径，直接响应用户查阅、复制、删除等个人信息权利请求，相关途径需在规则中列明 [17] 应用程序分发平台安全管理要求 - 分发平台应加强App上架审核，建立规范性档案，登记核验运营者真实身份等信息，记录其个人信息问题及被省级以上部门通报或处罚的情况，对信息不全、虚假、无规则、无注销功能的App不予上架 [19] - 上架审核中应根据App获得个人信息保护认证和安全认证的结果予以优先展示推荐 [19] - 应在本规定生效之日起6个月内完成对在架存量App的审核，审核不通过的予以清理下架 [19] - 应在App分发、下载页面清晰展示运营者信息、主要功能、所需权限列表、规则文本或链接，对被省级以上部门通报或处罚的App，需自通报处罚之日起6个月内在页面发布安全风险提示 [20][21] - 对履行职责部门认定存在违法违规收集行为的App，应积极配合采取警示、不予分发、暂停或终止分发等处置措施 [28] 智能终端安全管理要求 - 智能终端厂商在受理App预置申请时，应登记核验运营者真实身份等信息，对信息不全、虚假、无规则、无注销功能的App不予预置 [23] - 当App索要日历、通话记录、相机等权限时，操作系统应弹窗征得用户同意，并提供基于时间、频度、精度等的精细化授权模式选项 [30] - 应在屏幕顶部等显著位置，以易于理解的图标如实提示当前正在调用的麦克风、摄像头、位置等权限 [31] - 应如实记录并集中展示App调用各类权限情况、后台自启动/关联启动情况、以及收集剪切板、设备标识、应用列表等行为，记录规则应公开，并应准确提示调用权限可能带来的安全风险 [32][24] 监督管理机制 - 国家网信部门负责统筹协调和监督管理工作，国务院电信主管部门、公安部门等依职责在各自范围内负责 [26] - 地方网信部门负责本行政区域内统筹协调和监督管理工作，地方电信管理、公安等部门依职责做好相关工作 [26] - App、SDK运营者需提供有效且易于访问的投诉举报渠道，健全受理、处置、反馈机制，承诺时限内（不超过15个工作日）受理并处置投诉 [34] - App运营者应同时受理关于嵌入SDK的举报，核实后督促SDK整改，分发平台和智能终端厂商应同时受理关于分发和预置App的举报，核实后督促App整改 [27] - 各运营者和厂商应制定内部管理制度和操作规程，建立合规体系和问责机制，防止个人信息用于电信诈骗等犯罪活动 [35] - 应配合履行个人信息保护职责部门的监督检查，并提供必要技术支持和协助 [28] - 应强化对个人信息操作的权限管理，采取加密、去标识化等安全措施，发生泄露、丢失时应及时告知用户可能造成的危害及补救措施，并向主管部门报告 [36] - 违反本规定的，将依照《网络安全法》《个人信息保护法》《网络数据安全管理条例》等相关法律法规处理，构成犯罪的依法追究刑事责任 [37] 术语定义 - 互联网应用程序（App）指智能终端预置、下载安装的应用软件，以及无需安装的小程序、快应用等 [30] - 互联网应用程序运营者指App的开发者、所有者、管理者或提供者 [31] - 软件开发工具包（SDK）指协助软件开发的软件库 [32] - 软件开发工具包运营者指SDK的开发者、所有者、管理者或提供者 [33] - 分发平台指通过互联网提供App发布、下载、动态加载等服务提供者，包括应用商店、应用市场、快应用中心、小程序平台等 [35] - 智能终端指能够接入公众网络、有操作系统、可由用户自行安装卸载应用软件的移动通信终端产品 [35] - 必要个人信息指保障基本功能或用户选择功能正常运行所必需的信息，缺少则无法提供服务 [35] - 可收集个人信息权限指智能终端操作系统向App开放的具有收集信息功能的系统权限，包括日历、通话记录、相机、通讯录、位置、麦克风等 [35]

宏观动态 - 国家网信办就《互联网应用程序个人信息收集使用规定（征求意见稿）》公开征求意见，旨在规范APP个人信息收集使用，规定APP应在用户使用具体功能时方可索要对应的必要个人信息权限，不得提前索要，用户拒绝后不得频繁索要影响正常使用 [2] - 市场监管总局修订发布《市场监督管理投诉举报处理办法》，新增6个条款，修改22个条款，重点包括强化权益保护、优化投诉管辖、优化举报程序及规制恶意索赔 [3] - 中国2025年12月官方综合PMI为50.7，环比上升1个百分点，经济景气水平总体回升，其中制造业产需两端明显回升，为2025年4月以来首次升至扩张区间 [4] - 上海航运交易所1月9日发布的上海出口集装箱综合运价指数为1647.39点，较上期下跌0.5% [4] 金融机构 - 广西安委会办公室集体约谈9家安责险重点保险公司，要求其制定2026年度安责险事故预防服务费用预算时，严格按照不低于本年度实际收取安责险保费总额的20%进行计提和投入，并确保专款专用 [6] 市场数据 - 1月9日美股三大指数集体收涨，纳指涨0.81%，标普500指数涨0.65%，道指涨0.48%，其中道指与标普500指数均创历史收盘新高 [7] - 美股个股方面，英特尔涨超10%，创2024年3月以来新高，拉姆研究涨超8%，特斯拉涨超2%，Meta涨逾1%，苹果、微软、谷歌、亚马逊小幅上涨，奈飞跌超1%，英伟达小幅下跌 [7] 公司动态 - 纳斯达克宣布沃尔玛公司将于2026年1月20日开盘前纳入纳斯达克100指数、纳斯达克100同等权重指数及纳斯达克100非科技板块指数，取代阿斯利康公司 [9] - OpenAI和软银集团共同向SB Energy投资10亿美元，双方各投资5亿美元，作为“星门”计划的一部分，OpenAI选定SB Energy建设并运营其位于得克萨斯州的1.2GW数据中心，SB Energy首批设施预计2026年开始运营 [10]

政策法规动态 - 国家互联网信息办公室于1月10日发布《互联网应用程序个人信息收集使用规定（征求意见稿）》，现向社会公开征求意见 [1] - 规定要求收集使用个人信息需向主体充分告知规则并取得同意，收集使用敏感个人信息需取得单独同意 [1] - 互联网应用程序向第三方提供个人信息，需取得用户的单独同意 [1] - 应用程序需在设置页面等醒目位置提供个人信息收集使用规则一键访问功能，方便用户查阅和保存 [1] - 应用程序需通过清晰易懂的语言，真实、准确、完整、逐项列明用户查阅、复制、转移、更正、补充、删除、限制处理个人信息以及注销账号、撤回同意的方法和途径 [1] - 智能终端厂商受理应用程序预置申请时，需登记并核验运营者真实身份、联系方式等信息，对信息不全、虚假、无个人信息收集使用规则、无账号注销功能或删除个人信息途径的应用程序不予预置 [1]

政策监管动态 - 国家互联网信息办公室起草《互联网应用程序个人信息收集使用规定（征求意见稿）》，并于1月10日向社会公开征求意见，旨在规范个人信息收集使用活动、保护个人信息权益并促进合理利用 [1] - 规定要求收集使用个人信息应采取对个人信息主体权益影响最小的方式，限于提供产品或服务所必需，不得超范围收集使用 [1] - 规定要求互联网应用程序在首次启动时，需通过弹窗等显著方式告知用户个人信息收集使用规则，并在用户充分知情的前提下取得其明确同意 [1] 应用程序运营要求 - 规定要求互联网应用程序不得通过调用通讯录、通话记录、短信权限来收集使用用户以外其他个人信息主体的个人信息，确需用于满足通讯联系、添加好友、数据备份等目的的除外 [1] - 规定要求互联网应用程序向第三方提供个人信息时，应当取得用户的单独同意 [1] - 规定要求互联网应用程序应当为用户提供注销账号的便捷功能，并在用户注销账号后的15个工作日内完成账号注销，删除已收集的相关个人信息或进行匿名化处理 [1]

文章核心观点 国家互联网信息办公室发布《互联网应用程序个人信息收集使用规定（征求意见稿）》，旨在通过制定详细、可操作的管理要求，全面规范App、SDK、分发平台及智能终端的个人信息收集使用活动，强化对用户权益的保护，并明确了各相关运营主体的责任与义务 [1][2] 总则与基本原则 - 规定适用于境内运营App、SDK、分发平台及智能终端的个人信息处理活动，并对特定境外活动具有管辖权 [2] - 收集使用个人信息必须遵循合法、正当、必要和诚信原则，禁止通过误导、欺诈、胁迫等方式进行 [2] - 运营者需向用户充分告知规则并取得同意，处理敏感个人信息需取得单独同意 [2] - 不得因用户不同意或撤回同意而拒绝提供核心服务 [3] - App与SDK运营者分别承担其产品个人信息处理活动的主体责任 [4] 互联网应用程序运营安全管理要求 - App需制定公开、透明的个人信息收集使用规则，并以清晰易懂的语言和显著方式（如加粗、放大字号）向用户提示关键内容 [5] - 注册用户超5000万或月活用户超1000万的复杂业务App，在更新规则时需公开征求意见不少于7个工作日 [6] - App首次启动时需通过弹窗等显著方式告知规则并取得用户同意，向第三方提供信息需取得单独同意 [6] - 原则上禁止通过调用通讯录等权限收集非用户本人的信息，确需使用的例外情形受到严格限制 [7] - 需提供基于功能场景的配置选项，允许用户按需同意，并仅在用户使用具体功能时索要对应权限 [7] - 禁止提前索要权限、频繁索要，以及超出同意范围收集信息，权限调用需与当前场景直接相关并以最低频度、最小范围进行 [7] - 对相机、麦克风、位置等敏感权限的调用场景、频度和方式做出了具体且严格的限制 [8] - 收集人脸等生物识别信息需具有特定目的和充分必要性，原则上应存储在设备本地且不得对外传输，保存期限不得超过实现目的的最短时间 [8] - 需加强未成年人信息保护，收集未满14周岁未成年人信息需制定专门规则并取得监护人同意 [9] - 通过自动化决策进行信息推送或营销时，必须提供易于操作的个性化推荐关闭选项 [9] - 应为用户提供便捷的账号注销功能，注销后应在15个工作日内删除或匿名化处理个人信息 [10] - App运营者需对嵌入的SDK进行审核并约定责任，确保其行为与声明一致，并需督促SDK响应用户请求 [10] - 鼓励App接入国家网络身份认证公共服务，验证后不得强制要求用户另行提供明文身份信息 [11] 软件开发工具包运营安全管理要求 - SDK需制定并公开个人信息收集使用规则，列明不同版本的行为差异，规则变化时需同步更新 [12] - SDK不得超出声明范围或实现业务功能所需的最小范围、最低频度收集个人信息或调用权限 [12] - SDK应提供基于功能的配置选项，允许App进行管理，并提供个性化推荐关闭选项 [12] - SDK需建立有效途径，直接响应用户关于个人信息的各项请求 [13] 应用程序分发平台安全管理要求 - 分发平台需加强上架审核，建立App个人信息规范性档案，对不符合要求（如无规则、无注销功能）的App不予上架 [14] - 平台应自规定生效之日起6个月内完成存量App审核，审核不通过的予以清理下架 [14] - 对因违规被省级以上部门通报或处罚的App，需在分发页面发布为期6个月的安全风险提示 [14] - 平台应配合监管部门，对违规App采取警示、暂停分发或终止分发等措施 [15] 智能终端安全管理要求 - 智能终端厂商在预置App时需核验运营者信息，对不符合要求的App不予预置 [16] - 操作系统应在App索要敏感权限时弹窗征得用户同意，并提供基于时间、频度、精度等的精细化授权选项 [16] - 需在屏幕显著位置以图标实时提示正在调用的麦克风、摄像头、位置等权限 [16] - 需集中展示并记录App的权限调用、后台自启动、关联启动及收集剪切板等信息的行为，并准确提示安全风险 [16] 监督管理与法律责任 - 国家及地方网信部门负责统筹协调和监督管理工作，其他相关部门在职责范围内配合 [18] - 各运营者需提供有效的投诉举报渠道，并承诺在15个工作日内受理处置 [18] - 各运营者需制定内部管理制度，建立合规体系，配合监管部门监督检查 [19] - 运营者需采取加密、去标识化等技术措施保护个人信息，发生泄露时需及时告知用户并报告主管部门 [20] - 违反规定的，将依据《网络安全法》《个人信息保护法》等相关法律法规处理，构成犯罪的依法追究刑事责任 [20]