为加强互联网应用程序个人信息保护,规范相关收集使用行为,国家互联网信息办公室起草了《互联网应用程序个人信息收集使用规定(征求意见稿)》,并面向社会公开征求意见,意见反馈截止日期为2026年2月9日。
《征求意见稿》共包含七章内容,对互联网应用程序收集使用个人信息提出了多项明确要求。其中规定,应用程序收集使用个人信息应遵循公开透明原则,制定并公开个人信息收集使用规则,以清晰易懂的语言真实、准确、完整地逐项列明多项关键事项。这些事项包括运营者的名称或姓名及有效联系方式;以结构化清单形式呈现每项功能服务收集使用个人信息的目的、方式、种类,调用权限名称、频度,收集使用敏感个人信息的必要性及对用户权益的影响;若嵌入软件开发工具包,需列明其名称、版本、主要功能、运营者信息、收集使用个人信息的种类和完整规则链接;明确个人信息保存期限及到期后的处理方式,难以确定保存期限的应说明确定方法;告知用户查阅、复制、转移、更正、补充、删除、限制处理个人信息以及注销账号、撤回同意的方法和途径;以及法律、行政法规规定应告知的其他事项。对于这些重点内容,应用程序需以加粗字体、放大字号、标记不同颜色等显著方式向用户提示。
当收集使用个人信息的目的、方式、种类、保存期限或确定方法,调用权限名称、频度和嵌入的软件开发工具包收集使用个人信息行为等情况发生变化时,互联网应用程序应及时修订、更新个人信息收集使用规则。对于注册用户5000万以上或月活跃用户1000万以上,且业务类型复杂的互联网应用程序,在修订、更新规则时,还需同步通过应用程序首页、官方网站、公众号等途径公开征求意见,征求意见期限不少于7个工作日。
在个人信息收集的具体行为方面,《征求意见稿》也做出了严格规定。互联网应用程序不得通过调用通讯录、通话记录、短信权限收集使用用户以外其他个人信息主体的信息,仅在满足通讯联系、添加好友、数据备份等必要情况时除外。同时,应用程序不得在用户同意规则前收集使用个人信息,不得超出用户同意的目的、方式、种类、保存期限收集使用信息。调用权限需与当前功能场景直接相关,仅在用户使用具体功能时以最低频度、最小范围收集信息,功能场景不再需要权限时应停止调用,严禁收集非必要信息、调用非必要权限。
对于未成年人个人信息的保护,《征求意见稿》同样提出了严格要求。互联网应用程序运营者应采取充分的管理措施和必要的技术措施,严格落实未成年人个人信息保护要求,防范信息泄露、篡改、丢失。收集使用不满十四周岁未成年人个人信息时,需制定专门的收集使用规则,并取得未成年人父母或其他监护人的同意。
在用户账号注销方面,《征求意见稿》规定,互联网应用程序应为用户提供便捷的注销账号功能。用户注销账号后,除确有必要用于防范黑灰产、安全风控等情形外,应用程序不得要求用户新增提供人脸、手持身份证照片等超出已收集范围的个人信息。同时,应用程序应在15个工作日内完成账号注销,删除或匿名化处理已收集的相关个人信息,法律、行政法规另有规定的除外。
《征求意见稿》还对智能终端厂商提出了要求。智能终端厂商在受理互联网应用程序预置申请时,应登记并核验运营者的真实身份、联系方式等信息,对未提供上述信息或提供虚假信息,以及应用程序无个人信息收集使用规则、无账号注销功能或删除个人信息途径的,不予预置。智能终端应如实记录并集中展示应用程序调用日历、通话记录、相机等权限情况,以及后台静默期间自启动、关联启动情况和收集剪切板、设备唯一标识等个人信息行为,记录规则应予以公开。
