APP数据合规新规准备来了 | 《互联网应用程序个人信息收集使用规定（征求意见稿）》
 Alan
 Alan
 陈Alan AI与数据合规 
 在小说阅读器读本章
 去阅读
 在小说阅读器中沉浸阅读
 网信办现在开始周六发新规了╮(╯▽╰)╭这次的新规主要是APP数据合规，将以往不少APP数据合规的一些实践中的合规要点都进行了明确，很有参考学习价值，这里简单做些总结和搬运法规原文，供大家参考学习。内容总结一、 立法目的与适用范围本规定旨在为《网络安全法》《个人信息保护法》《数据安全法》等上位法在互联网应用程序（App）领域的实施提供具体操作细则，其核心目标是规范个人信息收集使用活动，保护个人信息权益，并促进个人信息合理利用。其适用范围广泛，不仅涵盖在中国境内运营App过程中收集使用个人信息的行为，也适用于为App收集使用个人信息提供服务的软件开发工具包（SDK）、应用程序分发平台（如应用商店）和智能终端厂商。同时，对于在境外处理中国境内自然人个人信息，且以向境内用户提供产品或服务为目的的活动，同样适用（“长臂管辖”原则）。二、 核心法律原则规定重申并细化了个人信息处理的四大基石原则：（一）合法、正当、必要和诚信原则：处理活动必须有法律依据，目的正当，且仅限于实现处理目的所必需的范围。（二）公开、透明原则：要求以清晰易懂的方式，真实、准确、完整地公开个人信息处理规则。（三）“告知-同意”为核心规则：处理个人信息前必须充分告知用户并取得其同意；处理敏感个人信息需取得单独同意；向第三方提供个人信息也需取得单独同意。（四）权责一致与全链条治理：明确了App运营者、SDK运营者、分发平台、智能终端厂商等各方的主体责任与审核义务，构建了覆盖应用开发、集成、分发、预置、运行全链条的治理体系。三、 对各主体的核心义务与合规要点（一）对互联网应用程序（App）运营者的要求这是规定的核心部分，对App运营者提出了系统且细致的要求：1.规则制定与告知同意：规则内容：必须制定详细的个人信息收集使用规则，以结构化清单形式列明目的、方式、种类、权限、频度、保存期限、SDK信息、用户权利行使方式等。显著告知：首次启动需通过弹窗等显著方式告知规则并获得用户同意。规则中的重点内容（如敏感信息处理）需以加粗、放大字号等方式突出提示。动态更新：规则内容发生重大变化时需及时更新。对于大型（注册用户超5000万或月活超1000万）且业务复杂的App，更新规则前应公开征求意见不少于7个工作日。2.收集使用的最小必要与场景化：禁止“一揽子”授权：不得在用户使用具体功能前提前索要权限，不得因用户不同意收集非必要信息或开启非必要权限而拒绝提供基本功能服务。这与《常见类型移动互联网应用程序必要个人信息范围规定》的精神一脉相承，该规定明确了39类App的基本功能及必要个人信息范围。场景化与最小频度：权限调用必须与当前功能场景直接相关，并以实现功能所需的最低频度、最小范围收集。功能结束后应立即停止调用。例如，仅在用户主动拍照时调用相机，在地图导航时以最低必要频度调用位置权限，原则上不应索要后台持续定位权限。特别保护要求：生物识别信息：收集人脸、指纹等需目的特定、充分必要，并采取严格保护措施。原则上此类信息应存储在设备本地，不得通过互联网传输。未成年人信息：处理不满十四周岁未成年人个人信息，需制定专门规则并取得监护人同意。通讯相关权限：原则上不得通过调用通讯录、通话记录等权限收集用户以外他人的个人信息。3.用户权利保障：自动化决策（个性化推荐）：必须提供便捷的关闭个性化推荐的选项，用户关闭后应立即停止将个人信息用于此目的。账号注销：必须提供便捷的注销渠道。注销时，除安全风控等必要情形外，不得要求用户额外提供信息。应在15个工作日内完成注销并删除或匿名化处理个人信息。同时，对于集团内多款App共用账号的情况，应允许用户选择注销单一App的账号。响应请求：需建立有效的投诉举报渠道，并在15个工作日内受理和处理用户关于个人信息查阅、复制、更正、删除、注销账号等请求。4.对第三方组件的管理：App运营者需对嵌入的SDK的个人信息收集行为进行审核，确保其行为与告知规则一致，并约定安全责任。当用户行使权利涉及SDK时，App运营者负有通知并督促SDK响应的责任。（二）对软件开发工具包（SDK）运营者的要求SDK作为App中的常见组件，其合规责任被单独明确：需自行制定并公开个人信息收集使用规则。不得超范围、超最小必要范围、超最低频度收集信息。应向App提供基于功能的配置选项和个性化推荐关闭接口。必须建立直接响应用户行权请求（如删除信息）的有效途径。（三）对应用程序分发平台的要求应用商店等分发平台承担“守门人”责任：上架审核：必须建立审核机制，核验App运营者身份，并建立App合规档案。对于无隐私政策、无注销功能、提供虚假信息或曾有严重违规记录的App，应不予上架。信息公示：在下载页面需清晰展示App运营者信息、所需权限列表、隐私政策链接等。对曾被监管部门通报或处罚的App，需进行风险提示。存量清理：规定生效后6个月内，需完成对所有在架存量App的审核，清理不合规产品。（四）对智能终端厂商的要求手机等终端操作系统是权限管理的最后一道防线：精细化授权：当App索要敏感权限时，操作系统应提供基于时间、频度、精度等选项的精细化授权模式，而非简单的“始终允许”或“禁止”。实时提示与集中记录：需在屏幕显著位置实时提示正在调用麦克风、摄像头等权限的App。同时，应集中记录并展示各App调用权限、自启动、收集剪切板等信息的行为，并向用户提示风险。四、 监督管理与法律责任监管体制：国家及地方网信部门负责统筹协调，电信、公安、市场监管等部门在各自职责范围内实施监督管理。内部管理：各运营者需建立内部管理制度、合规体系及问责机制。安全义务：需采取加密、去标识化等技术措施保障安全，发生泄露时需及时告知用户并报告。法律责任：违反本规定的，将依据《网络安全法》《个人信息保护法》等法律法规进行处罚；构成犯罪的，依法追究刑事责任。法规原文内容互联网应用程序个人信息收集使用规定（征求意见稿）第一章  总则第一条 为了规范互联网应用程序个人信息收集使用活动，保护个人信息权益，促进个人信息合理利用，根据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规，制定本规定。第二条 在中华人民共和国境内运营互联网应用程序过程中收集使用个人信息，以及软件开发工具包、分发平台、智能终端等为互联网应用程序收集使用个人信息活动提供服务的，应当遵守相关法律法规和本规定的要求。互联网应用程序在中华人民共和国境外收集使用中华人民共和国境内自然人个人信息的活动，符合《中华人民共和国个人信息保护法》第三条第二款规定情形的，适用本规定。第三条 收集使用个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式收集使用个人信息。收集使用个人信息应当向个人信息主体充分告知收集使用规则，并取得个人信息主体同意；收集使用敏感个人信息的，应当取得个人信息主体的单独同意。法律、行政法规另有规定的，依照其规定。收集使用个人信息应当采取对个人信息主体权益影响最小的方式，限于提供产品或者服务所必需，不得超范围收集使用个人信息。不得以个人信息主体不同意收集使用其个人信息或者撤回同意为由，拒绝提供产品或者服务，个人信息属于提供产品或者服务所必需的除外。第四条 互联网应用程序、软件开发工具包运营者分别对所运营的互联网应用程序、软件开发工具包个人信息收集使用活动及安全保护承担主体责任。互联网应用程序运营者对嵌入的软件开发工具包、分发平台运营者对分发的互联网应用程序、智能终端厂商对预置的互联网应用程序依法履行审核义务。未能进行有效审核，对个人信息主体权益造成损害的，依法承担相应责任。第五条 互联网应用程序、软件开发工具包、分发平台运营者和智能终端厂商对汇聚、关联后属于国家秘密事项的个人信息，按照国家有关安全保密规定加强管理。互联网应用程序、软件开发工具包、分发平台运营者和智能终端厂商对掌握的属于通信秘密的个人信息，不得对内容进行检查，不得向第三方提供。法律、行政法规另有规定的，依照其规定。第六条 鼓励行业组织建立完善行业自律机制，制定个人信息保护行业规范和自律公约，指导会员单位依法依规开展个人信息收集使用活动，接受社会监督。第二章  互联网应用程序运营安全管理要求第七条 互联网应用程序收集使用个人信息应当遵循公开、透明原则，制定公开个人信息收集使用规则，通过清晰易懂的语言真实、准确、完整、逐项列明下列事项：（一）运营者名称或者姓名和有效的联系方式；（二）以结构化清单形式列明每项功能服务收集使用个人信息的目的、方式、种类，调用权限名称、频度，收集使用敏感个人信息的必要性以及对用户权益的影响；（三）嵌入软件开发工具包的，应当以结构化清单形式列明嵌入的软件开发工具包名称（包名）、版本、主要功能、运营者名称或者姓名、收集使用个人信息的种类和完整的软件开发工具包个人信息收集使用规则链接；（四）个人信息保存期限和到期后的处理方式，保存期限难以确定的，应当明确保存期限的确定方法；（五）用户查阅、复制、转移、更正、补充、删除、限制处理个人信息以及注销账号、撤回同意的方法和途径等；（六）法律、行政法规规定应当告知的其他事项。互联网应用程序对于前款所述重点内容，应当以加粗字体、放大字号、标记不同颜色等显著方式向用户提示。第八条 收集使用个人信息的目的、方式、种类、保存期限或者保存期限的确定方法，调用权限名称、频度和嵌入的软件开发工具包收集使用个人信息行为等情况发生变化的，互联网应用程序应当及时修订、更新个人信息收集使用规则。注册用户5000万以上或者月活跃用户1000万以上，业务类型复杂的互联网应用程序依照前款规定修订、更新个人信息收集使用规则的，应当同步通过互联网应用程序首页、官方网站、公众号等途径公开征求意见，征求意见期限不少于7个工作日。第九条 互联网应用程序应当在首次启动时，通过弹窗等显著方式向用户告知个人信息收集使用规则，并在用户充分知情的前提下，取得用户同意规则的明确表示。互联网应用程序向第三方提供个人信息的，应当取得用户的单独同意。互联网应用程序应当在设置页面等醒目位置提供个人信息收集使用规则一键访问功能，方便用户查阅和保存。互联网应用程序更新个人信息收集使用规则，符合第八条第一款所列情形的，应当通过弹窗、消息推送等显著方式及时向用户告知更新的具体内容，并重新征得用户同意。第十条 互联网应用程序不得通过调用通讯录、通话记录、短信权限收集使用用户以外其他个人信息主体的个人信息，确需用于满足通讯联系、添加好友、数据备份的除外。互联网应用程序收集使用前款个人信息，属于通信秘密的，应当符合本规定第五条第二款规定。第十一条 互联网应用程序应当提供基于功能场景的个人信息收集使用配置选项，允许用户根据需要，同意部分功能场景收集使用相关个人信息。第十二条 互联网应用程序应当在用户使用具体功能时方可索要对应的必要个人信息权限，并同步告知使用目的，不得提前索要。用户拒绝的，互联网应用程序不得频繁索要影响用户正常使用其他功能。第十三条 互联网应用程序不得在用户同意个人信息收集使用规则前收集使用个人信息，不得超出用户同意的目的、方式、种类、保存期限收集使用个人信息。互联网应用程序调用权限需与当前功能场景直接相关，应当仅在用户使用具体功能时以所需的最低频度、最小范围收集个人信息。在当前功能场景不再需要权限时停止调用权限，不得收集非必要个人信息、调用非必要权限。第十四条 互联网应用程序应当仅在用户主动选择使用拍照、发送语音、录音录像等功能时调用相机、麦克风权限，不得在用户停止使用相关功能或者无关场景调用相机、麦克风权限。互联网应用程序在地图导航、路径记录、外卖闪送、位置共享等需要实时定位的场景，持续调用位置权限的频率应当限于实现业务功能的最低频度；在添加地点、内容搜索、内容推荐、广告营销等需单次定位场景，应当仅在用户进入功能界面或者用户主动刷新时调用一次位置权限。除法律、行政法规另有规定或者所提供业务功能确需后台持续获取位置外，互联网应用程序不应索要后台访问用户位置信息权限。用户选择使用上传或者发送图片、文件等功能，互联网应用程序可使用智能终端提供的存储访问框架实现的，不得索要手机相册、通讯录、短信、存储等权限。互联网应用程序通过提供文件编辑、文件备份等功能获得存储权限的，不得访问用户主动选择以外的文件。第十五条 互联网应用程序收集人脸、指纹、声纹等生物识别信息应当具有特定的目的和充分的必要性，采取对个人权益影响最小的方式，并实施严格的保护措施。除法律、行政法规另有规定或者取得用户单独同意外，互联网应用程序收集使用人脸、指纹、声纹等信息应当存储于生物识别设备内，不得通过互联网对外传输。除法律、行政法规另有规定外，生物识别信息的保存期限不得超过实现处理目的所必需的最短时间。第十六条 互联网应用程序运营者应当采取充分的管理措施和必要的技术措施，严格落实未成年人个人信息保护要求，切实防范未成年人个人信息泄露、篡改、丢失。互联网应用程序收集使用不满十四周岁未成年人个人信息的，应当制定专门的个人信息收集使用规则，并取得未成年人父母或者其他监护人的同意。第十七条 互联网应用程序通过自动化决策方式向用户进行信息推送、商业营销的，应当设置易于理解、便于访问和操作的个性化推荐关闭选项。用户关闭个性化推荐功能时，互联网应用程序应当停止将用户相关个人信息用于个性化推荐目的。第十八条 互联网应用程序应当为用户提供注销账号的便捷功能。用户注销账号的，除确有必要用于防范黑灰产、安全风控等情形，互联网应用程序不得要求用户新增提供人脸、手持身份证照片等超出互联网应用程序已收集范围以外的个人信息。用户注销账号的，互联网应用程序应当在15个工作日内完成账号注销，删除已收集的相关个人信息或者进行匿名化处理，法律、行政法规另有规定的除外。对于同一企业主体或者集团旗下多款互联网应用程序采用统一账号进行一体化管理的，应当允许用户选择注销其中一款互联网应用程序账号，或者允许用户选择关闭该账号在此互联网应用程序的使用权限，并删除仅用于此互联网应用程序的个人信息。第十九条 互联网应用程序应当与嵌入的软件开发工具包约定收集使用个人信息的目的、方式、种类和安全保护责任及违约责任，并采取有效的技术措施对嵌入的软件开发工具包个人信息收集使用行为进行审核，确保软件开发工具包实际个人信息收集和权限调用行为与互联网应用程序个人信息收集使用规则中声明的软件开发工具包相关内容保持一致。用户向互联网应用程序提出查阅、复制、更正、补充、删除、限制处理其个人信息，或者注销账号、撤回同意等相关请求涉及软件开发工具包个人信息收集使用活动的，互联网应用程序应当将用户请求及时通知软件开发工具包，并督促软件开发工具包及时响应用户请求。第二十条 互联网应用程序就个人信息收集使用行为进行优化、改进，发布或者更新版本后，应当采取有效方式提醒用户进行版本升级，并对所有授权发布渠道的旧版本互联网应用程序进行更新替换。第二十一条 鼓励互联网应用程序接入国家网络身份认证公共服务，用以支持用户使用网号、网证登记、核验真实身份信息。用户选择使用网号、网证登记、核验身份信息并通过验证的，互联网应用程序不得强制要求用户另行提供明文身份信息，法律、行政法规另有规定或者用户同意提供的除外。第三章  软件开发工具包运营安全管理要求第二十二条 软件开发工具包收集使用个人信息的，应当制定个人信息收集使用规则并在产品官方网站公开。对于同时运营多个历史版本的，软件开发工具包应当在个人信息收集使用规则中列明不同版本个人信息收集使用行为。软件开发工具包收集使用个人信息的目的、方式、范围等发生变化的，应当同步更新相应的个人信息收集使用规则。第二十三条 软件开发工具包不得超出收集使用规则声明的范围收集使用个人信息，不得超出实现业务功能的最小范围收集使用个人信息，不得超出实现业务功能的最低频度调用权限。第二十四条 软件开发工具包应当提供基于功能的个人信息配置选项，允许互联网应用程序按照不同功能需要对软件开发工具包个人信息收集行为进行管理配置。软件开发工具包通过自动化决策方式向用户进行信息推送、商业营销的，应当向互联网应用程序提供个性化推荐关闭选项，在关闭后停止将用户相关个人信息用于个性化推荐目的。软件开发工具包应当及时响应互联网应用程序通知的用户个人信息查阅、复制、更正、补充、删除、限制处理等相关请求。第二十五条 软件开发工具包应当建立有效方式和途径，直接响应用户查阅、复制、转移、更正、补充、删除、限制处理个人信息的请求，相关方式和途径应当在个人信息收集使用规则中予以列明。第四章  应用程序分发平台安全管理要求第二十六条 分发平台应当加强互联网应用程序上架审核，建立互联网应用程序收集使用个人信息规范性档案，在受理互联网应用程序发布及版本更新上架申请时，登记并核验互联网应用程序运营者的真实身份、联系方式等信息，记录互联网应用程序个人信息收集使用问题以及因违法违规收集使用个人信息被省级以上履行个人信息保护职责的部门通报或行政处罚的情况。对未提供相关信息或者提供虚假信息，互联网应用程序无个人信息收集使用规则、无账号注销功能或者删除个人信息途径的，不予上架。分发平台在上架审核中应根据互联网应用程序运营者获得个人信息保护认证和互联网应用程序安全认证的结果，予以优先展示推荐。分发平台应当自本规定生效之日起6个月内，完成对在架存量互联网应用程序的审核，审核不通过的予以清理下架。第二十七条 分发平台应当在互联网应用程序分发、下载页面，清晰准确展示下列信息：（一）互联网应用程序运营者名称或者姓名、联系方式；（二）互联网应用程序主要功能介绍；（三）互联网应用程序运行所需具体权限列表；（四）个人信息收集使用规则文本或者链接；（五）对因违法违规收集使用个人信息被省级以上履行个人信息保护职责的部门通报或行政处罚的互联网应用程序，应当自通报或处罚之日起6个月内，在分发、下载页面发布个人信息安全风险提示。第二十八条 对履行个人信息保护职责的部门认定存在违法违规收集使用个人信息行为的互联网应用程序，分发平台应当积极配合采取警示、不予分发、暂停分发或者终止分发等处置措施。第五章  智能终端安全管理要求第二十九条 智能终端厂商在受理互联网应用程序预置申请时，应当登记并核验互联网应用程序运营者的真实身份、联系方式等信息，对未提供上述信息或者提供虚假信息，互联网应用程序无个人信息收集使用规则、无账号注销功能或者删除个人信息途径的，不予预置。第三十条 互联网应用程序索要日历、通话记录、相机、通讯录、位置、麦克风、电话、短信、存储、身体活动等权限时，智能终端操作系统应弹窗征得用户同意，根据权限特点提供可基于时间、频度、精度等精细化授权模式选项。第三十一条 智能终端应当在屏幕顶部等显著位置，以易于理解的图标等显著标识，如实地向用户提示当前正在调用的麦克风、摄像头、位置等权限。第三十二条 智能终端应当如实记录并集中展示互联网应用程序调用日历、通话记录、相机、通讯录、位置、麦克风、电话、短信、存储、身体活动等权限情况；互联网应用程序后台静默期间自启动、关联启动情况；互联网应用程序通过智能终端收集剪切板、设备唯一标识、应用程序列表等个人信息行为。记录规则应当予以公开。智能终端应当准确提示互联网应用程序调用权限可能带来的安全风险。第六章  监督管理第三十三条 国家网信部门负责统筹协调和监督管理互联网应用程序、软件开发工具包、分发平台和智能终端个人信息保护工作。国务院电信主管部门、公安部门和其他有关机关依照有关法律法规和本规定的要求，在各自职责范围内负责互联网应用程序、软件开发工具包、分发平台和智能终端个人信息保护和监督管理工作。地方网信部门负责统筹协调和监督管理本行政区域内互联网应用程序、软件开发工具包、分发平台和智能终端个人信息保护工作，地方电信管理部门、公安部门和其他有关机关依据各自职责做好本行政区域内互联网应用程序、软件开发工具包、分发平台和智能终端个人信息保护和监督管理工作。第三十四条 互联网应用程序、软件开发工具包运营者应当在产品官方网站、个人信息收集使用规则中提供有效的、易于访问的投诉举报渠道，健全投诉举报的受理、处置、反馈机制，在承诺时限内（承诺时限不得超过15个工作日，无承诺时限的，以15个工作日为限）受理并处置个人信息相关投诉。互联网应用程序运营者应当同时受理、处置、反馈关于嵌入的软件开发工具包相关个人信息问题举报，核验属实的，应当督促软件开发工具包运营者进行整改。分发平台运营者、智能终端厂商应当同时受理、处置、反馈关于分发和预置的互联网应用程序相关个人信息问题举报，核验属实的，应当督促互联网应用程序运营者进行整改。第三十五条 互联网应用程序、软件开发工具包、分发平台运营者和智能终端厂商应当制定内部管理制度和操作规程，建立健全内部合规管理体系和问责机制，防止个人信息被用于电信网络诈骗等违法犯罪活动，充分保护用户个人信息。互联网应用程序、软件开发工具包、分发平台运营者和智能终端厂商应当对履行个人信息保护职责的部门依法开展的个人信息保护监督检查予以配合，并提供必要的技术支持和协助。第三十六条 互联网应用程序、软件开发工具包运营者应当强化对个人信息查阅、复制、修改、删除等操作的权限管理，采取加密、去标识化等安全技术措施，防止个人信息泄露、丢失或者未经授权的访问。发生个人信息泄露、丢失的，互联网应用程序、软件开发工具包运营者应该将泄露个人信息的种类、原因、可能造成的危害、采取的补救措施等信息及时告知用户，并向履行个人信息保护职责的部门报告。第三十七条 互联网应用程序、软件开发工具包、分发平台运营者和智能终端厂商违反本规定的，履行个人信息保护职责的部门依照《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等相关法律法规处理；构成犯罪的，依法追究刑事责任。第七章  附则第三十八条 本规定中下列用语的含义：互联网应用程序（App），是指智能终端预置、下载安装的应用软件，以及基于应用软件开放平台接口开发的、无需安装即可使用的小程序、快应用等。互联网应用程序运营者，是指互联网应用程序的开发者、所有者、管理者或者提供者。软件开发工具包（SDK），是指协助软件开发的软件库。软件开发工具包运营者，是指软件开发工具包的开发者、所有者、管理者或者提供者。个人信息主体，是指个人信息所标识或者关联的自然人。用户，是指使用互联网应用程序相关功能服务的自然人。分发平台，是指通过互联网提供互联网应用程序发布、下载、动态加载等服务提供者，包括应用商店、应用市场、快应用中心、小程序平台等。智能终端，是指能够接入公众网络、具有操作系统、可由用户自行安装和卸载应用软件的移动通信终端产品。必要个人信息，是指为了保障基本功能服务或者用户所选择使用的功能服务正常运行所必需的个人信息，缺少该信息无法向用户提供相应的功能服务。可收集个人信息权限，是指智能终端操作系统向互联网应用程序开放的，具有收集个人信息功能的系统权限，包括日历、通话记录、相机、通讯录、位置、麦克风、电话、短信、存储、身体活动等，简称权限。第三十九条 本规定自  年  月  日起施行。
 阅读原文