新京报讯 据中国网通微信公众号报道,为规范互联网应用收集、使用个人信息的行为,保护个人信息权益,促进合理使用个人信息,国家网信办根据《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》、《网络数据安全管理条例》等法律法规,制定了《收集规定》。目前,我们正在就《互联网应用程序对个人信息的使用及互联网应用程序(征求意见稿)》征求意见。公众可通过以下渠道和方式提出意见: 1、登录国家互联网信息办公室(www.cac.gov.cn),进入首页“网络空间新闻”查看稿件。 2.发送邮件至shujuju@cac.gov.cn。 3.发送您将书面意见寄送至国家互联网信息办公室网络数据管理办公室,邮政编码100048,北京市海淀区阜城路15号,信封上注明“关于规范互联网应用收集、使用个人信息的征求意见”的字样。征求意见截止日期为2026年2月9日。 第一章 总则 2026年1月10日国家互联网信息办公室发布的《互联网应用收集使用个人信息的规定》第一条(征求意见稿)人民共和国。我们遵守中国个人信息保护法、网络数据安全管理规定及其他法律法规。第二条 在中华人民共和国境内互联网应用运营过程中收集、使用个人信息,以及为个人信息收集和互联网应用使用活动提供服务的软件开发工具包、分发平台、智能终端等,应当遵守相关法律、法规和本条例的要求。中华人民共和国境内的中国人 互联网应用收集、使用中华人民共和国境外自然人个人信息的活动,符合《中华人民共和国个人信息保护法》第三条第二款规定情形的,适用本规定。第三条 个人信息的收集、使用应当遵循合法、正当、必要、合理的原则。诚实守信,不会以欺骗、欺诈、胁迫或其他方式收集或使用个人信息。在收集、使用个人信息时,我们向个人信息主体充分说明收集、使用规则并取得同意。收集、使用敏感个人信息时,须单独取得个人信息主体的同意。法律、行政法规另有规定的,依照其规定。个人信息的收集和使用应尽量减少对个人权益的影响,并应限制在提供产品和服务所必需的范围内。我们不会收集个人信息或超出该范围使用它。除非提供产品或服务所必需的个人信息,我们不会因个人信息主体不同意收集和使用而拒绝提供产品或服务。个人信息或已撤回同意。第四条(&nbs)p;互联网应用程序和软件开发工具运营者有责任收集、使用个人信息,并保护其运营的互联网应用程序和软件开发工具的安全。互联网应用运营者应当对嵌入式软件开发工具包、分布式互联网应用交付平台运营者、终端制造商预装的智能互联网应用履行法定审核义务。如果我们未进行有效审核,导致个人信息主体权益受到损害的,我们将依法承担相应责任。第五条 互联网应用、软件开发工具包、分发平台运营者、智能终端生产企业应当遵守国家相关安全保密标准,加强对产品的管理。个人信息经过聚合、关联后成为国家秘密。互联网应用、软件开发工具包、分发平台、智能终端厂商。商业经营者例如 – 不能查看敏感的个人信息或将其提供给第三方。法律、行政法规另有规定的,依照其规定。第六条 行业协会建立健全行业自律机制,制定个人信息保护行业标准和自律规定,指导组成组织依法依规开展个人信息收集、使用活动,接受社会监督。第二章 互联网应用运行安全管理要求第七条 互联网应用收集、使用个人信息必须遵循公开、透明的原则,并建立规则收集、使用公共个人信息,真实、准确、完整、清晰易懂地列出下列事项: (一)经营者或者用户的名称和有效联系方式; (二)以结构化列表的形式列出各功能服务收集和使用个人信息的目的、方式和类型、调用权限的名称和频率、收集和使用敏感个人信息的需要以及对用户权益的影响。 (三)集成到软件开发工具包中的,集成的软件开发工具包名称(包名)、版本、主要功能、运营商名称、收集和使用的个人信息类型的结构化列表,以及软件开发工具包完整的个人信息收集和使用规则的链接。 (4) 个人信息的保存期限以及保存期限届满后的处理。如果难以确定保存期限,则需要明确保留期限的确定方法。 (五)用户访问、复制、转让、修改、补充、删除、限制处理、终止账户、撤回同意等个人信息的方式和路径。 (六)法律、行政法规规定必须报告的其他事项。互联网应用将以可见的方式提示用户输入前段中描述的关键内容,例如使用粗体、放大的字体大小或不同的颜色。第八条 集成软件开发工具包、互联网应用收集和使用个人信息的目的、方式、类型、保存期限或者保存期限的确定方法、姓名、允许的通话次数、个人信息的收集和使用发生变化的。组织应及时审查和更新有关个人信息收集和使用的规定。互联网应用超过5000万狮子注册用户或用户月资产超过1000万、业务类型复杂,依据前款规定修改、更新个人信息收集和使用规定时,应当同时通过互联网应用首页、官方网站、公众号等方式征求公众意见,征求意见期限不得少于7个工作日。第九条 互联网应用程序在首次启动时必须通过弹窗或者其他可见方式告知用户收集、使用个人信息的规则,并在应用程序充分知情的前提下,取得用户对这些规则的明确同意。通过互联网应用程序向第三方提供个人信息时,必须单独获得用户的同意。互联网应用程序应提供一键式访问个人信息的收集,并应在显着位置使用规则位置,例如设置页面,以便用户可以轻松查看和保存它们。互联网应用将更新个人信息收集、使用规定,如有第八条第一项所列原因的,将立即通过弹窗、推送消息等方式告知用户具体更新内容,并再次征得用户同意。第十条 互联网应用不得通过通话通讯录、通话记录、短信权限等方式收集、使用用户以外的个人信息主体的个人信息,但因响应通信需求、添加好友、备份数据等确有必要的除外。互联网应用收集、使用前款规定的个人信息属于保密的,必须遵守本条例第五条第二款的规定。第十一条 互联网应用程序应当为用户提供配置选项根据功能场景收集和使用个人信息,并在必要时允许用户同意在某些功能场景中收集和使用相关个人信息。第十二条 互联网应用程序只有在用户使用某些功能时才可获得必要的个人信息许可。同时,我们会告知您使用目的,并且不会提前征求您的许可。如果用户拒绝,互联网应用不应频繁发出影响用户正常使用其他功能的请求。第十三条 互联网应用在用户接受个人信息收集、使用规定之前不得收集、使用个人信息,不得超出用户同意的目的、方式、类型和保存期限收集、使用个人信息。互联网应用调用权限应与当前功能场景、个人信息直接相关当用户使用特定功能时,应仅按照必要的频率和最小程度进行收集。当当前功能场景不再需要权限时,停止调用权限,避免收集不必要的个人信息或调用不必要的权限。第十四条 互联网应用仅应在用户主动选择使用拍照、串流、录音、录音等功能时调用摄像头、麦克风权限,不得在用户停止使用相关功能或无关场景时调用摄像头、麦克风权限。对于地图导航、路线记录、即时配送、位置共享等需要实时定位的互联网应用,应将连续的位置权限调用频率限制在满足业务功能所需的最低频率。需要单一位置配置的场景,例如添加位置内容搜索、内容推荐、广告营销等,要求位置权限只调用一次,即用户进入功能界面或用户主动刷新时。除法律、行政法规或者所提供的业务功能另有规定外,互联网应用程序不得在后台请求访问用户的位置信息,除非确实需要在后台持续获取信息、位置信息。用户选择使用上传、发送照片、文件等功能时,智能终端提供的存储访问框架。它可用于部署互联网应用程序,不会向您的手机请求相册、通讯录、短信、存储等权限。通过提供文件编辑或文件备份等功能获得存储权限的互联网应用程序无法访问非用户主动选择的文件。第十五条 征集通过互联网应用获取人脸、指纹、声纹等生物识别信息,必须有特定目的和充分需求,采取措施尽量减少对人民群众权益的影响,并采取严格保护措施。除法律、行政法规另有规定或者经您另行同意外,互联网应用收集、使用的人脸、指纹、声纹等信息必须存储在生物识别设备上,不得通过互联网对外传输。除法律、行政法规另有规定外,生物特征数据的保存期限不得超过达到处理目的所需的最短期限。第十六条 互联网应用运营者应当严格执行保护未成年人个人信息的要求,采取相应的管理措施和必要的技术措施,有效防止泄露、伪造。未成年人个人信息的识别和丢失。互联网应用收集、使用14周岁以下儿童个人信息的,应当制定收集、使用个人信息的特别规则,并征得未成年人父母或者其他监护人的同意。第十七条 通过自动化决策向用户推送信息或者商业营销的互联网应用,必须具有易于理解、访问和操作的个性化、推荐关闭选项。当用户关闭个性化推荐时,互联网应用必须停止使用用户的相关个人信息进行个性化推荐。第十八条 互联网应用程序必须提供便捷的用户注销功能。如果您取消帐户,互联网应用程序可能不会要求用户提供除我们的互联网应用程序之外的其他个人信息,例如面部或身份证照片。ionscollect.t,除非确实有必要,例如出于安全风险管理目的。用户注销账户的,互联网应用将在15个工作日内完成账户注销,并对所收集的相关个人信息进行删除或匿名化处理,但法律、行政法规另有规定的除外。如果同一公司或集团内的多个互联网应用程序使用统一帐户共同管理,用户应选择取消其任何互联网应用程序帐户或终止其使用该互联网应用程序的授权并删除仅用于该互联网应用程序的个人信息。第十九条 互联网应用应当按照集成软件开发工具包规定收集、使用个人信息的目的、方式、类型、安全保护责任、违约行为等,并采取有效的技术措施审查集成软件开发工具包的个人信息收集和使用行为,以确保软件开发工具包实际收集和使用个人信息。个人信息收集及权限请求行为符合《软件开发套件互联网应用个人信息收集和使用规则》。如果用户请求互联网应用访问、复制、修改、补充、删除或限制处理其个人信息,或终止其帐户、撤回同意或提出任何其他涉及软件开发工具包收集和使用个人信息的相关请求,互联网应用程序将通知软件开发工具包用户的请求,并要求软件开发工具包及时响应用户的请求。第二十条 互联网应用优化完善收集和使用个人数据的行为。版本发布或更新后,采用有效方式通知用户版本更新,并在所有授权发布渠道更新和替换旧版本的互联网应用程序。第二十一条鼓励互联网应用接入全国网络公共身份认证服务,帮助用户使用网络号码、注册网络证书、验证真实身份信息。用户选择使用网络号码、网络证书注册或者身份验证及通过验证的,互联网应用不会要求用户以明文形式提供额外的身份信息,但法律、行政法规另有规定或者用户同意提供的除外。第三章 软件开发工具包运行安全管理要求 第二十二条 软件开发工具包收集、使用个人信息的,应当制定个人信息收集和使用规定,并在产品官方网站上公布。当多个历史版本同时运行时,软件开发工具包应当在其个人信息收集和使用规则中列出不同版本的个人信息收集和使用行为。如果开发工具包软件收集、使用个人信息的目的、方式、范围等发生变化的,相应的个人信息收集、使用规则必须同时更新。第二十三条 软件开发工具包不得超出收集、使用规定范围收集、使用个人信息,不得超出实现其业务功能所需的最低范围收集、使用个人信息,不得超过履行其业务功能所需的最低调用权限数量。第二十四条 软件开发开发工具包应提供基于角色的个人信息配置选项,允许互联网应用根据各种功能需求来管理和配置软件开发工具包的个人信息收集行为。如果一套有用的软件开发工具实现了自动化决策方法,向用户发送信息或商业营销,为互联网应用提供终止个性化推荐的选项,用户必须停止使用其相关个人信息来进行推荐。软件开发工具包必须及时响应访问、复制、修改、补充、删除、限制处理的请求以及通过互联网应用程序向其传达的用户个人信息的其他相关请求。第二十五条 软件开发工具包必须建立有效的方式方法直接响应用户的访问、复制、个人信息的传输、修改、补充、删除和限制处理。个人信息收集和使用标准中应当描述相关方法和手段。第四章 应用分发平台的安全管理要求 第二十六条 分发平台应当加强对互联网应用名单的管控,建立互联网应用收集、使用个人信息的规范档案,在接受互联网应用发布、版本升级请求时,应当记录并确认应用运营者的身份、联系方式等信息,记录互联网应用收集、使用个人信息的相关问题。互联网应用以及违反法律法规规定收集、使用个人信息并被通报或管理的情况受到省级以上负责数据保护工作的部门严肃处理的。责任。如果您没有提供足够的信息或提供虚假信息,如果互联网应用程序没有关于个人信息收集和使用的规则,如果无法取消您的帐户或无法删除您的个人信息,我们将不会发布。发行平台在上市审核时应当根据互联网应用运营者个人信息保护认证和互联网应用安全认证结果优先推荐。自本规定生效之日起,发行平台将有六个月的时间完成对其现有互联网应用程序的审核,未通过审核的将被下架。第二十七条 分销平台必须清晰明确地显示下列信息互联网应用程序的分发和下载页面上: (1) 互联网应用程序运营商的国际名称和联系信息。 (2)介绍互联网应用的主要特点。 (3) 操作互联网应用程序所需的特定权限列表; (4)个人信息收集、使用规则的文本或链接。 (五)因违法违规收集、使用个人信息,被省级以上个人信息保护主管部门通报或者行政处罚的互联网应用,应当自通报或者处罚之日起六个月内,在分发页面、下载页面张贴个人信息安全风险提示。第二十八条 互联网应用中,负责个人信息保护的部门决定在规定范围内收集、使用个人信息的。违反法律法规的,分发平台将积极配合,采取警告、禁止分发、暂停分发、暂停分发等惩戒措施。 第五章 智能终端安全管理要求 第二十九条 智能终端生产企业接受提前提供互联网应用的请求时,应当记录并确认互联网应用运营者的身份和联系方式。未提供上述信息或提供虚假信息,且互联网应用不具备个人信息收集和使用规则、账户注销功能、个人信息删除方式的,不允许预提交。第三十条 当互联网应用程序请求日历、通话记录、摄像头、通讯录、位置、麦克风、电话、短信、存储、身体活动等权限时,该应用程序的操作系统智能终端应当打开征得用户同意的窗口,并根据时间、频率、准确性等权限特征,提供完善的权限模式选项。 第三十一条 智能终端应当以易于理解的图标,如实向用户显示当前通话的麦克风、摄像头、位置信息等权限。或在屏幕顶部等显着位置张贴其他醒目的海报。第三十二条 智能终端必须如实记录并集中显示通话日历、通话记录、摄像头和互联网应用通信等。地址总账权限、位置、麦克风、电话、短信、存储、健身等。自动启动和相关的互联网应用程序在后台默默启动。互联网应用程序通过您的智能设备收集个人信息,例如剪贴板、唯一设备标识符和应用程序列表。记录规则必须公开。智能端点必须准确传达因允许调用 Internet 应用程序而可能产生的安全风险。第六章 监督管理 第三十三条 国家网信部门负责互联网应用、软件开发工具包、分发平台、智能终端个人信息保护的协调、监督和综合管理。国务院电信主管部门、公安部门等有关部门依照有关法律、法规和本条例的要求,在各自职责范围内负责互联网应用、软件开发工具、分发平台、智能终端中个人信息的保护和监督管理。地方网信部门负责协调、监督管理本行政区域内互联网应用程序、软件开发工具包、分发平台和智能终端的个人信息保护。地方电信管理部门、公安部门等有关机构按照各自职责负责本行政区域内互联网应用、工具包、软件开发、分发平台、智能终端个人信息的保护和监督管理。第三十四条 互联网应用、软件开发工具运营者应当在其产品官方网站和个人信息收集使用规则上提供有效、便捷的投诉举报渠道,健全投诉举报受理、处理和反馈机制,接收和处理涉及个人信息的投诉。l 在承诺期限内提供信息(承诺期限不得超过15个工作日,无承诺期限则为15个工作日)(仅限于熟练日)。互联网应用运营者必须同时接受和处理与集成软件开发工具包.ados相关的个人信息问题报告并提供反馈。若属实,应鼓励软件开发工具运营者进行改正。分销平台运营商和智能终端制造商将需要同时接收、处理和反馈与分销和预置互联网应用相关的隐私问题报告。如属实,应督促互联网应用运营者采取纠正措施。第三十五条 互联网应用、软件开发工具包、分发平台经营者、智能终端生产企业必须制定内部管理制度和业务流程。建立健全内部合规管理制度和责任追究机制,防止个人信息被用于通信网络诈骗等违法犯罪活动,充分保护用户个人信息。互联网应用运营者、软件开发工具包、分发平台、智能终端生产企业应当配合负责个人信息保护的部门依法开展的个人信息保护监督检查,并提供必要的技术支持和帮助。第三十六条 互联网应用、软件开发工具运营者应当加强对个人信息的访问、复制、修改、删除等权利控制,采取加密、匿名化等技术安全措施,防止个人信息泄露、丢失或者未经授权的访问。活动中个人信息泄露、丢失的,互联网应用程序或者软件开发工具的运营者应当立即告知用户泄露的个人信息的类型、原因、损害的可能性以及采取的措施,并向负责个人信息保护的部门报告。第三十七条 互联网应用、软件开发工具包、分发平台运营者、智能终端生产企业违反本规定的,由负责个人信息保护的部门依照《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》、《网络数据安全管理条例》等相关法律法规的规定进行处理。构成犯罪的,依法追究刑事责任。第七章附则第三十八条f的含义本规定下列术语互联网应用程序是指预先安装或者下载并安装在智能终端上的应用软件,以及基于应用软件开放平台接口开发的无需安装即可使用的小程序、快捷应用等。互联网应用运营商是指互联网应用的开发者、所有者、管理员或提供商。软件开发工具包(SDK)是指帮助软件开发的软件库。软件开发工具包运营商是指软件开发工具包的开发者、所有者、管理员或提供者。个人数据的所有者是已识别身份或与个人数据相关的自然人。用户是指使用与功能服务相关的互联网应用程序的任何自然人。分发平台是指提供发布、下载、动态上传等服务的服务提供商。互联网上的互联网应用,如应用商店、应用市场、快应用中心、小程序平台等。智能终端是接入公共网络、具有操作系统、可由用户安装和卸载的移动通信终端产品。必要的个人信息是指保证基本功能服务或用户选择的功能服务正常运行所必需的个人信息。如果没有这些信息,就无法向用户提供相应的功能服务。可以收集个人信息的权限是指允许终端的操作系统向互联网应用开放,具有收集日历、通话记录、摄像头、通讯录、位置、麦克风、电话、短信、存储、身体活动等个人信息能力的系统权限,称为权限。第三十九条:本规定新规定自2020年1月1日起施行。编辑辛静
作者
