1.登录中国网信网(www.cac.gov.cn),进入首页“网信要闻”查看文稿。
3.通过信函方式将意见寄至:北京市海淀区阜成路15号国家互联网信息办公室网络数据管理局,邮编100048,并在信封上注明“互联网应用程序个人信息收集使用规定征求意见”。
国家互联网信息办公室
互联网应用程序个人信息收集使用规定
第一章 总则
第二条 在中华人民共和国境内运营互联网应用程序过程中收集使用个人信息,以及软件开发工具包、分发平台、智能终端等为互联网应用程序收集使用个人信息活动提供服务的,应当遵守相关法律法规和本规定的要求。
第三条 收集使用个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式收集使用个人信息。
收集使用个人信息应当采取对个人信息主体权益影响最小的方式,限于提供产品或者服务所必需,不得超范围收集使用个人信息。
第四条 互联网应用程序、软件开发工具包运营者分别对所运营的互联网应用程序、软件开发工具包个人信息收集使用活动及安全保护承担主体责任。
第五条 互联网应用程序、软件开发工具包、分发平台运营者和智能终端厂商对汇聚、关联后属于国家秘密事项的个人信息,按照国家有关安全保密规定加强管理。
第六条 鼓励行业组织建立完善行业自律机制,制定个人信息保护行业规范和自律公约,指导会员单位依法依规开展个人信息收集使用活动,接受社会监督。
第七条 互联网应用程序收集使用个人信息应当遵循公开、透明原则,制定公开个人信息收集使用规则,通过清晰易懂的语言真实、准确、完整、逐项列明下列事项:
(二)以结构化清单形式列明每项功能服务收集使用个人信息的目的、方式、种类,调用权限名称、频度,收集使用敏感个人信息的必要性以及对用户权益的影响;
(四)个人信息保存期限和到期后的处理方式,保存期限难以确定的,应当明确保存期限的确定方法;
(六)法律、行政法规规定应当告知的其他事项。
第八条 收集使用个人信息的目的、方式、种类、保存期限或者保存期限的确定方法,调用权限名称、频度和嵌入的软件开发工具包收集使用个人信息行为等情况发生变化的,互联网应用程序应当及时修订、更新个人信息收集使用规则。
第九条 互联网应用程序应当在首次启动时,通过弹窗等显著方式向用户告知个人信息收集使用规则,并在用户充分知情的前提下,取得用户同意规则的明确表示。
互联网应用程序更新个人信息收集使用规则,符合第八条第一款所列情形的,应当通过弹窗、消息推送等显著方式及时向用户告知更新的具体内容,并重新征得用户同意。
互联网应用程序收集使用前款个人信息,属于通信秘密的,应当符合本规定第五条第二款规定。
第十二条 互联网应用程序应当在用户使用具体功能时方可索要对应的必要个人信息权限,并同步告知使用目的,不得提前索要。用户拒绝的,互联网应用程序不得频繁索要影响用户正常使用其他功能。
互联网应用程序调用权限需与当前功能场景直接相关,应当仅在用户使用具体功能时以所需的最低频度、最小范围收集个人信息。在当前功能场景不再需要权限时停止调用权限,不得收集非必要个人信息、调用非必要权限。
互联网应用程序在地图导航、路径记录、外卖闪送、位置共享等需要实时定位的场景,持续调用位置权限的频率应当限于实现业务功能的最低频度;在添加地点、内容搜索、内容推荐、广告营销等需单次定位场景,应当仅在用户进入功能界面或者用户主动刷新时调用一次位置权限。除法律、行政法规另有规定或者所提供业务功能确需后台持续获取位置外,互联网应用程序不应索要后台访问用户位置信息权限。
第十五条 互联网应用程序收集人脸、指纹、声纹等生物识别信息应当具有特定的目的和充分的必要性,采取对个人权益影响最小的方式,并实施严格的保护措施。
第十六条 互联网应用程序运营者应当采取充分的管理措施和必要的技术措施,严格落实未成年人个人信息保护要求,切实防范未成年人个人信息泄露、篡改、丢失。
第十七条 互联网应用程序通过自动化决策方式向用户进行信息推送、商业营销的,应当设置易于理解、便于访问和操作的个性化推荐关闭选项。
第十八条 互联网应用程序应当为用户提供注销账号的便捷功能。用户注销账号的,除确有必要用于防范黑灰产、安全风控等情形,互联网应用程序不得要求用户新增提供人脸、手持身份证照片等超出互联网应用程序已收集范围以外的个人信息。
对于同一企业主体或者集团旗下多款互联网应用程序采用统一账号进行一体化管理的,应当允许用户选择注销其中一款互联网应用程序账号,或者允许用户选择关闭该账号在此互联网应用程序的使用权限,并删除仅用于此互联网应用程序的个人信息。
用户向互联网应用程序提出查阅、复制、更正、补充、删除、限制处理其个人信息,或者注销账号、撤回同意等相关请求涉及软件开发工具包个人信息收集使用活动的,互联网应用程序应当将用户请求及时通知软件开发工具包,并督促软件开发工具包及时响应用户请求。
第二十一条 鼓励互联网应用程序接入国家网络身份认证公共服务,用以支持用户使用网号、网证登记、核验真实身份信息。
第三章 软件开发工具包运营安全管理要求
对于同时运营多个历史版本的,软件开发工具包应当在个人信息收集使用规则中列明不同版本个人信息收集使用行为。
第二十三条 软件开发工具包不得超出收集使用规则声明的范围收集使用个人信息,不得超出实现业务功能的最小范围收集使用个人信息,不得超出实现业务功能的最低频度调用权限。
软件开发工具包通过自动化决策方式向用户进行信息推送、商业营销的,应当向互联网应用程序提供个性化推荐关闭选项,在关闭后停止将用户相关个人信息用于个性化推荐目的。
第二十五条 软件开发工具包应当建立有效方式和途径,直接响应用户查阅、复制、转移、更正、补充、删除、限制处理个人信息的请求,相关方式和途径应当在个人信息收集使用规则中予以列明。
第二十六条 分发平台应当加强互联网应用程序上架审核,建立互联网应用程序收集使用个人信息规范性档案,在受理互联网应用程序发布及版本更新上架申请时,登记并核验互联网应用程序运营者的真实身份、联系方式等信息,记录互联网应用程序个人信息收集使用问题以及因违法违规收集使用个人信息被省级以上履行个人信息保护职责的部门通报或行政处罚的情况。对未提供相关信息或者提供虚假信息,互联网应用程序无个人信息收集使用规则、无账号注销功能或者删除个人信息途径的,不予上架。
分发平台应当自本规定生效之日起6个月内,完成对在架存量互联网应用程序的审核,审核不通过的予以清理下架。
(一)互联网应用程序运营者名称或者姓名、联系方式;
(三)互联网应用程序运行所需具体权限列表;
(五)对因违法违规收集使用个人信息被省级以上履行个人信息保护职责的部门通报或行政处罚的互联网应用程序,应当自通报或处罚之日起6个月内,在分发、下载页面发布个人信息安全风险提示。
第五章 智能终端安全管理要求
第三十条 互联网应用程序索要日历、通话记录、相机、通讯录、位置、麦克风、电话、短信、存储、身体活动等权限时,智能终端操作系统应弹窗征得用户同意,根据权限特点提供可基于时间、频度、精度等精细化授权模式选项。
第三十二条 智能终端应当如实记录并集中展示互联网应用程序调用日历、通话记录、相机、通讯录、位置、麦克风、电话、短信、存储、身体活动等权限情况;互联网应用程序后台静默期间自启动、关联启动情况;互联网应用程序通过智能终端收集剪切板、设备唯一标识、应用程序列表等个人信息行为。记录规则应当予以公开。
第六章 监督管理
地方网信部门负责统筹协调和监督管理本行政区域内互联网应用程序、软件开发工具包、分发平台和智能终端个人信息保护工作,地方电信管理部门、公安部门和其他有关机关依据各自职责做好本行政区域内互联网应用程序、软件开发工具包、分发平台和智能终端个人信息保护和监督管理工作。
互联网应用程序运营者应当同时受理、处置、反馈关于嵌入的软件开发工具包相关个人信息问题举报,核验属实的,应当督促软件开发工具包运营者进行整改。分发平台运营者、智能终端厂商应当同时受理、处置、反馈关于分发和预置的互联网应用程序相关个人信息问题举报,核验属实的,应当督促互联网应用程序运营者进行整改。
互联网应用程序、软件开发工具包、分发平台运营者和智能终端厂商应当对履行个人信息保护职责的部门依法开展的个人信息保护监督检查予以配合,并提供必要的技术支持和协助。
发生个人信息泄露、丢失的,互联网应用程序、软件开发工具包运营者应该将泄露个人信息的种类、原因、可能造成的危害、采取的补救措施等信息及时告知用户,并向履行个人信息保护职责的部门报告。
第七章 附则
互联网应用程序(App),是指智能终端预置、下载安装的应用软件,以及基于应用软件开放平台接口开发的、无需安装即可使用的小程序、快应用等。
软件开发工具包(SDK),是指协助软件开发的软件库。
个人信息主体,是指个人信息所标识或者关联的自然人。
分发平台,是指通过互联网提供互联网应用程序发布、下载、动态加载等服务提供者,包括应用商店、应用市场、快应用中心、小程序平台等。
必要个人信息,是指为了保障基本功能服务或者用户所选择使用的功能服务正常运行所必需的个人信息,缺少该信息无法向用户提供相应的功能服务。
第三十九条 本规定自 年 月 日起施行。
编辑 辛婧
