监管政策动向 - 国家互联网信息办公室起草《互联网应用程序个人信息收集使用规定（征求意见稿）》，并于1月10日起向社会公开征求意见 [1] - 该规定旨在规范互联网应用程序个人信息收集使用活动，保护个人信息权益，并促进个人信息合理利用 [1] 用户同意与告知规则 - 互联网应用程序应在首次启动时，通过弹窗等显著方式向用户告知个人信息收集使用规则 [1] - 必须在用户充分知情的前提下，取得用户对规则的明确同意 [1] 个人信息收集使用限制 - 互联网应用程序不得通过调用通讯录、通话记录、短信权限来收集使用用户以外其他个人信息主体的个人信息 [1] - 确需用于满足通讯联系、添加好友、数据备份目的的情况除外 [1] - 互联网应用程序向第三方提供个人信息的，应当取得用户的单独同意 [1] 用户权利保障措施 - 互联网应用程序应当为用户提供注销账号的便捷功能 [1] - 用户注销账号后，互联网应用程序应在15个工作日内完成账号注销 [1] - 在注销账号后，互联网应用程序应删除已收集的相关个人信息或进行匿名化处理 [1]

政策法规动态 - 国家互联网信息办公室起草了《互联网应用程序个人信息收集使用规定（征求意见稿）》，并已向社会公开征求意见 [1] - 规定旨在规范互联网应用程序个人信息收集使用活动，保护个人信息权益，促进个人信息合理利用 [1] 个人信息收集使用核心原则 - 收集使用个人信息应当采取对个人信息主体权益影响最小的方式 [1] - 收集使用个人信息应限于提供产品或者服务所必需，不得超范围收集使用 [1] - 互联网应用程序应在首次启动时，通过弹窗等显著方式向用户告知个人信息收集使用规则 [1] - 应在用户充分知情的前提下，取得用户同意规则的明确表示 [1] 特定权限与数据共享要求 - 互联网应用程序不得通过调用通讯录、通话记录、短信权限收集使用用户以外其他个人信息主体的个人信息 [1] - 确需用于满足通讯联系、添加好友、数据备份目的的情况除外 [1] - 互联网应用程序向第三方提供个人信息的，应当取得用户的单独同意 [1] 用户权利保障措施 - 互联网应用程序应当为用户提供注销账号的便捷功能 [1] - 用户注销账号后，互联网应用程序应当在15个工作日内完成账号注销 [1] - 用户注销账号后，互联网应用程序应删除已收集的相关个人信息或者进行匿名化处理 [1]

监管政策动向 - 国家互联网信息办公室于1月10日发布了《互联网应用程序个人信息收集使用规定（征求意见稿）》，并公开向社会征求意见 [1] - 该征求意见稿旨在规范互联网应用程序对用户个人信息，特别是敏感设备权限的收集与使用行为 [1] 核心监管要求 - 规定要求互联网应用程序仅在用户主动选择使用拍照、发送语音、录音录像等具体功能时，方可调用相机、麦克风等相应权限 [1] - 规定明确禁止在用户停止使用相关功能后，或在无关场景下调用相机、麦克风权限 [1]

政策法规动态 - 国家网信办于1月10日发布《互联网应用程序个人信息收集使用规定（征求意见稿）》，现正公开征求意见 [1] - 规定要求互联网应用程序必须为用户提供便捷的账号注销功能 [1] - 用户注销账号时，除确有必要用于防范黑灰产、安全风控等情形外，应用程序不得要求用户额外提供超出已收集范围的人脸、手持身份证照片等个人信息 [1] - 互联网应用程序应在用户注销账号后的15个工作日内完成注销，并删除相关个人信息或进行匿名化处理，法律、行政法规另有规定的除外 [1]

法规概述与制定目的 - 国家网信办起草《互联网应用程序个人信息收集使用规定（征求意见稿）》，旨在规范App个人信息收集使用活动，保护个人信息权益并促进合理利用 [1] - 法规依据包括《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规 [1][2] - 意见反馈截止时间为2026年2月9日 [1] 适用范围与核心原则 - 规定适用于在中国境内运营App过程中收集使用个人信息，以及为App提供服务的软件开发工具包、分发平台、智能终端等 [2] - 在境外收集使用中国境内自然人个人信息，若符合《个人信息保护法》第三条第二款规定情形，同样适用本规定 [2] - 收集使用个人信息必须遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式进行 [2] - 必须向个人信息主体充分告知规则并取得同意，收集使用敏感个人信息需取得单独同意 [2] - 应采取对个人信息主体权益影响最小的方式，限于提供产品或服务所必需，不得超范围收集 [3] - 不得因用户不同意或撤回同意而拒绝提供产品或服务，除非该信息是提供服务所必需的 [3] 主体责任与审核义务 - App、软件开发工具包运营者分别对其运营实体的个人信息收集使用活动及安全保护承担主体责任 [3] - App运营者对嵌入的软件开发工具包、分发平台对分发的App、智能终端厂商对预置的App依法履行审核义务，审核不力造成损害需承担相应责任 [3] - 对汇聚、关联后属于国家秘密事项的个人信息，需按国家有关安全保密规定加强管理 [4] - 对掌握的属于通信秘密的个人信息，不得检查内容或向第三方提供 [4] - 鼓励行业组织建立自律机制，制定行业规范和自律公约 [4] App运营安全管理要求 - 制定个人信息收集使用规则需公开透明，以清晰易懂语言逐项列明运营者信息、功能服务收集目的方式种类、调用权限频度、敏感信息必要性、嵌入软件开发工具包详情、保存期限及到期处理方式、用户权利行使途径等事项 [5] - 对重点内容需以加粗、放大字号、标记颜色等显著方式向用户提示 [5] - 收集使用目的、方式、种类、保存期限、调用权限、嵌入软件开发工具包行为等发生变化时，应及时更新规则 [6] - 注册用户5000万以上或月活跃用户1000万以上且业务类型复杂的App，更新规则时应公开征求意见不少于7个工作日 [6] - 首次启动时应通过弹窗等显著方式告知规则并取得用户明确同意 [6] - 向第三方提供个人信息需取得用户单独同意，并在设置页面提供规则一键访问功能 [6] - 规则更新若涉及第八条第一款所列情形，需通过弹窗、消息推送等方式告知用户并重新征得同意 [6] - 不得通过调用通讯录、通话记录、短信权限收集使用用户以外其他人的个人信息，确需用于通讯联系、添加好友、数据备份的除外 [7] - 应提供基于功能场景的个人信息收集使用配置选项，允许用户同意部分功能场景收集信息 [8] - 应在用户使用具体功能时方可索要对应的必要权限，并同步告知目的，不得提前索要或频繁索要 [9] - 不得在用户同意规则前收集信息，不得超出同意范围收集信息 [9] - 调用权限需与当前功能场景直接相关，以最低频度、最小范围收集，功能场景不再需要时停止调用 [9] - 仅在用户主动使用拍照、发送语音、录音录像等功能时调用相机、麦克风权限 [9] - 地图导航等需实时定位场景，持续调用位置权限频率限于实现业务功能最低频度；添加地点等需单次定位场景，仅在用户进入功能界面或主动刷新时调用一次 [10] - 除法律另有规定或业务功能确需外，不应索要后台持续访问位置权限 [10] - 用户上传图片文件时，若可通过智能终端存储访问框架实现，不得索要手机相册、通讯录、短信、存储等权限 [10] - 收集人脸、指纹、声纹等生物识别信息需有特定目的和充分必要性，采取对个人权益影响最小的方式并实施严格保护 [10] - 除法律另有规定或取得用户单独同意外，生物识别信息应存储于设备内，不得通过互联网对外传输，保存期限不得超过实现目的所必需的最短时间 [10] - 需严格落实未成年人个人信息保护要求，防范信息泄露、篡改、丢失 [11] - 收集使用不满十四周岁未成年人信息，需制定专门规则并取得其父母或其他监护人同意 [11] - 通过自动化决策进行信息推送、商业营销，应设置易于操作的个性化推荐关闭选项，用户关闭后应停止将相关信息用于个性化推荐 [11] - 应为用户提供便捷的注销账号功能，用户注销时除确有必要用于防范黑灰产、安全风控等情形外，不得要求新增提供人脸、手持身份证照片等超出已收集范围的信息 [11] - 用户注销账号后，应在15个工作日内完成注销，删除相关信息或进行匿名化处理 [11] - 同一企业或集团旗下多款App采用统一账号管理的，应允许用户选择注销其中一款App账号，或关闭该账号在此App的使用权限并删除仅用于此App的个人信息 [12] - 应与嵌入的软件开发工具包约定收集使用目的、方式、种类和安全保护责任及违约责任，并采取技术措施审核其行为是否与声明一致 [12] - 用户提出查阅、复制、更正、删除个人信息或注销账号、撤回同意等请求涉及软件开发工具包的，App应及时通知并督促其响应用户请求 [13] - App进行优化改进、发布或更新版本后，应采取有效方式提醒用户升级，并对所有授权发布渠道的旧版本进行更新替换 [13] - 鼓励App接入国家网络身份认证公共服务，支持用户使用网号、网证登记核验真实身份 [13] - 用户选择使用网号、网证并通过验证的，App不得强制要求用户另行提供明文身份信息，法律另有规定或用户同意提供的除外 [13] 软件开发工具包运营安全管理要求 - 软件开发工具包收集使用个人信息应制定规则并在产品官方网站公开 [14] - 同时运营多个历史版本的，应在规则中列明不同版本的个人信息收集使用行为 [14] - 收集使用目的、方式、范围等发生变化时，应同步更新规则 [14] - 不得超出规则声明范围或实现业务功能的最小范围收集使用个人信息，不得超出实现业务功能的最低频度调用权限 [14] - 应提供基于功能的个人信息配置选项，允许App按不同功能需要对软件开发工具包收集行为进行管理配置 [14] - 通过自动化决策进行信息推送、商业营销的，应向App提供个性化推荐关闭选项，关闭后停止将用户信息用于个性化推荐 [14] - 应及时响应App通知的用户个人信息查阅、复制、更正、删除、限制处理等相关请求 [14] - 应建立有效方式和途径，直接响应用户查阅、复制、转移、更正、补充、删除、限制处理个人信息的请求，相关方式和途径应在规则中列明 [15] 应用程序分发平台安全管理要求 - 分发平台应加强App上架审核，建立App收集使用个人信息规范性档案，登记并核验运营者真实身份、联系方式等信息 [16] - 应记录App个人信息收集使用问题以及因违法违规被省级以上部门通报或行政处罚的情况 [16] - 对未提供或提供虚假信息、无个人信息收集使用规则、无账号注销功能或删除个人信息途径的App，不予上架 [16] - 上架审核中应根据App运营者获得个人信息保护认证和安全认证的结果，予以优先展示推荐 [16] - 自规定生效之日起6个月内，需完成对在架存量App的审核，审核不通过的予以清理下架 [16] - 应在App分发、下载页面清晰展示运营者信息、主要功能、所需具体权限列表、个人信息收集使用规则文本或链接 [17] - 对因违法违规收集使用个人信息被省级以上部门通报或处罚的App，应自通报或处罚之日起6个月内在页面发布个人信息安全风险提示 [17] - 对履行个人信息保护职责的部门认定存在违法违规行为的App，分发平台应配合采取警示、不予分发、暂停或终止分发等处置措施 [17] 智能终端安全管理要求 - 智能终端厂商受理App预置申请时，应登记并核验运营者真实身份、联系方式等信息，对未提供或提供虚假信息、无规则、无注销功能或删除途径的App，不予预置 [18] - App索要日历、通话记录、相机、通讯录、位置、麦克风、电话、短信、存储、身体活动等权限时，智能终端操作系统应弹窗征得用户同意，并提供基于时间、频度、精度等的精细化授权模式选项 [18] - 应在屏幕顶部等显著位置，以易于理解的图标等标识，如实提示当前正在调用的麦克风、摄像头、位置等权限 [18] - 应如实记录并集中展示App调用各类权限情况、后台静默期间自启动与关联启动情况、以及收集剪切板、设备唯一标识、应用程序列表等个人信息行为，记录规则应公开 [18] - 应准确提示App调用权限可能带来的安全风险 [18] 监督管理机制 - 国家网信部门负责统筹协调和监督管理工作，国务院电信主管部门、公安部门等在其职责范围内负责相关工作 [19] - 地方网信部门负责统筹协调和监督管理本行政区域内工作，地方电信管理部门、公安部门等依据职责做好相关工作 [19] - App、软件开发工具包运营者应在官网及规则中提供有效且易于访问的投诉举报渠道，健全受理、处置、反馈机制，承诺时限内（不超过15个工作日）受理并处置投诉 [19] - App运营者应同时受理关于嵌入的软件开发工具包的举报，核验属实后督促其整改 [20] - 分发平台运营者、智能终端厂商应同时受理关于分发和预置的App的举报，核验属实后督促App运营者整改 [20] - 相关运营者和厂商应制定内部管理制度和操作规程，建立健全内部合规管理体系和问责机制，防止个人信息用于电信网络诈骗等违法犯罪活动 [20] - 应对履行个人信息保护职责的部门依法开展的监督检查予以配合，并提供必要的技术支持和协助 [20] - 应强化对个人信息查阅、复制、修改、删除等操作的权限管理，采取加密、去标识化等安全技术措施 [20] - 发生个人信息泄露、丢失时，应及时告知用户泄露种类、原因、可能危害、补救措施，并向履行个人信息保护职责的部门报告 [21] - 违反本规定的，将依照《网络安全法》《个人信息保护法》《网络数据安全管理条例》等相关法律法规处理，构成犯罪的依法追究刑事责任 [21] 术语定义 - 互联网应用程序（App）指智能终端预置、下载安装的应用软件，以及无需安装的小程序、快应用等 [22] - 互联网应用程序运营者指App的开发者、所有者、管理者或提供者 [23] - 软件开发工具包（SDK）指协助软件开发的软件库 [24] - 软件开发工具包运营者指SDK的开发者、所有者、管理者或提供者 [25] - 个人信息主体指个人信息所标识或关联的自然人 [26] - 用户指使用App相关功能服务的自然人 [27] - 分发平台指通过互联网提供App发布、下载、动态加载等服务提供者，包括应用商店、应用市场、快应用中心、小程序平台等 [27] - 智能终端指能够接入公众网络、具有操作系统、可由用户自行安装和卸载应用软件的移动通信终端产品 [27] - 必要个人信息指为保障基本功能服务或用户所选功能服务正常运行所必需的个人信息，缺少该信息无法提供相应服务 [27] - 可收集个人信息权限指智能终端操作系统向App开放的、具有收集个人信息功能的系统权限，简称权限 [27]