為規范互聯網應用程序個人信息收集使用活動，保護個人信息權益，促進個人信息合理利用，根據《中華人民共和國網絡安全法》《中華人民共和國個人信息保護法》《網絡數據安全管理條例》等法律法規，國家互聯網信息辦公室起草了《互聯網應用程序個人信息收集使用規定（征求意見稿）》，現向社會公開征求意見。公眾可以通過以下途徑和方式提出反饋意見：

1.登錄中國網信網（www.cac.gov.cn），進入首頁“網信要聞”查看文稿。

2.通過電子郵件方式發送至：shujuju@cac.gov.cn。

3.通過信函方式將意見寄至：北京市海淀區阜成路15號國家互聯網信息辦公室網絡數據管理局，郵編100048，并在信封上注明“互聯網應用程序個人信息收集使用規定征求意見”。

意見反饋截止時間為2026年2月9日。

附件：《互聯網應用程序個人信息收集使用規定（征求意見稿）》

國家互聯網信息辦公室

2026年1月10日

互聯網應用程序個人信息收集使用規定

（征求意見稿）

第一章 總則

第一條 為了規范互聯網應用程序個人信息收集使用活動，保護個人信息權益，促進個人信息合理利用，根據《中華人民共和國網絡安全法》《中華人民共和國個人信息保護法》《網絡數據安全管理條例》等法律法規，制定本規定。

第二條 在中華人民共和國境內運營互聯網應用程序過程中收集使用個人信息，以及軟件開發工具包、分發平臺、智能終端等為互聯網應用程序收集使用個人信息活動提供服務的，應當遵守相關法律法規和本規定的要求。

互聯網應用程序在中華人民共和國境外收集使用中華人民共和國境內自然人個人信息的活動，符合《中華人民共和國個人信息保護法》第三條第二款規定情形的，適用本規定。

第三條 收集使用個人信息應當遵循合法、正當、必要和誠信原則，不得通過誤導、欺詐、脅迫等方式收集使用個人信息。

收集使用個人信息應當向個人信息主體充分告知收集使用規則，并取得個人信息主體同意；收集使用敏感個人信息的，應當取得個人信息主體的單獨同意。法律、行政法規另有規定的，依照其規定。

收集使用個人信息應當采取對個人信息主體權益影響最小的方式，限于提供產品或者服務所必需，不得超范圍收集使用個人信息。

不得以個人信息主體不同意收集使用其個人信息或者撤回同意為由，拒絕提供產品或者服務，個人信息屬于提供產品或者服務所必需的除外。

第四條 互聯網應用程序、軟件開發工具包運營者分別對所運營的互聯網應用程序、軟件開發工具包個人信息收集使用活動及安全保護承擔主體責任。

互聯網應用程序運營者對嵌入的軟件開發工具包、分發平臺運營者對分發的互聯網應用程序、智能終端廠商對預置的互聯網應用程序依法履行審核義務。未能進行有效審核，對個人信息主體權益造成損害的，依法承擔相應責任。

第五條 互聯網應用程序、軟件開發工具包、分發平臺運營者和智能終端廠商對匯聚、關聯后屬于國家秘密事項的個人信息，按照國家有關安全保密規定加強管理。

互聯網應用程序、軟件開發工具包、分發平臺運營者和智能終端廠商對掌握的屬于通信秘密的個人信息，不得對內容進行檢查，不得向第三方提供。法律、行政法規另有規定的，依照其規定。

第六條 鼓勵行業組織建立完善行業自律機制，制定個人信息保護行業規范和自律公約，指導會員單位依法依規開展個人信息收集使用活動，接受社會監督。

第二章 互聯網應用程序運營安全管理要求

第七條 互聯網應用程序收集使用個人信息應當遵循公開、透明原則，制定公開個人信息收集使用規則，通過清晰易懂的語言真實、準確、完整、逐項列明下列事項：

（一）運營者名稱或者姓名和有效的聯系方式；

（二）以結構化清單形式列明每項功能服務收集使用個人信息的目的、方式、種類，調用權限名稱、頻度，收集使用敏感個人信息的必要性以及對用戶權益的影響；

（三）嵌入軟件開發工具包的，應當以結構化清單形式列明嵌入的軟件開發工具包名稱（包名）、版本、主要功能、運營者名稱或者姓名、收集使用個人信息的種類和完整的軟件開發工具包個人信息收集使用規則鏈接；

（四）個人信息保存期限和到期后的處理方式，保存期限難以確定的，應當明確保存期限的確定方法；

（五）用戶查閱、復制、轉移、更正、補充、刪除、限制處理個人信息以及注銷賬號、撤回同意的方法和途徑等；

（六）法律、行政法規規定應當告知的其他事項。

互聯網應用程序對于前款所述重點內容，應當以加粗字體、放大字號、標記不同顏色等顯著方式向用戶提示。

第八條 收集使用個人信息的目的、方式、種類、保存期限或者保存期限的確定方法，調用權限名稱、頻度和嵌入的軟件開發工具包收集使用個人信息行為等情況發生變化的，互聯網應用程序應當及時修訂、更新個人信息收集使用規則。

注冊用戶5000萬以上或者月活躍用戶1000萬以上，業務類型復雜的互聯網應用程序依照前款規定修訂、更新個人信息收集使用規則的，應當同步通過互聯網應用程序首頁、官方網站、公眾號等途徑公開征求意見，征求意見期限不少于7個工作日。

第九條 互聯網應用程序應當在首次啟動時，通過彈窗等顯著方式向用戶告知個人信息收集使用規則，并在用戶充分知情的前提下，取得用戶同意規則的明確表示。

互聯網應用程序向第三方提供個人信息的，應當取得用戶的單獨同意?；ヂ摼W應用程序應當在設置頁面等醒目位置提供個人信息收集使用規則一鍵訪問功能，方便用戶查閱和保存。

互聯網應用程序更新個人信息收集使用規則，符合第八條第一款所列情形的，應當通過彈窗、消息推送等顯著方式及時向用戶告知更新的具體內容，并重新征得用戶同意。

第十條 互聯網應用程序不得通過調用通訊錄、通話記錄、短信權限收集使用用戶以外其他個人信息主體的個人信息，確需用于滿足通訊聯系、添加好友、數據備份的除外。

互聯網應用程序收集使用前款個人信息，屬于通信秘密的，應當符合本規定第五條第二款規定。

第十一條 互聯網應用程序應當提供基于功能場景的個人信息收集使用配置選項，允許用戶根據需要，同意部分功能場景收集使用相關個人信息。

第十二條 互聯網應用程序應當在用戶使用具體功能時方可索要對應的必要個人信息權限，并同步告知使用目的，不得提前索要。用戶拒絕的，互聯網應用程序不得頻繁索要影響用戶正常使用其他功能。

第十三條 互聯網應用程序不得在用戶同意個人信息收集使用規則前收集使用個人信息，不得超出用戶同意的目的、方式、種類、保存期限收集使用個人信息。

互聯網應用程序調用權限需與當前功能場景直接相關，應當僅在用戶使用具體功能時以所需的最低頻度、最小范圍收集個人信息。在當前功能場景不再需要權限時停止調用權限，不得收集非必要個人信息、調用非必要權限。

第十四條 互聯網應用程序應當僅在用戶主動選擇使用拍照、發送語音、錄音錄像等功能時調用相機、麥克風權限，不得在用戶停止使用相關功能或者無關場景調用相機、麥克風權限。

互聯網應用程序在地圖導航、路徑記錄、外賣閃送、位置共享等需要實時定位的場景，持續調用位置權限的頻率應當限于實現業務功能的最低頻度；在添加地點、內容搜索、內容推薦、廣告營銷等需單次定位場景，應當僅在用戶進入功能界面或者用戶主動刷新時調用一次位置權限。除法律、行政法規另有規定或者所提供業務功能確需后臺持續獲取位置外，互聯網應用程序不應索要后臺訪問用戶位置信息權限。

用戶選擇使用上傳或者發送圖片、文件等功能，互聯網應用程序可使用智能終端提供的存儲訪問框架實現的，不得索要手機相冊、通訊錄、短信、存儲等權限。互聯網應用程序通過提供文件編輯、文件備份等功能獲得存儲權限的，不得訪問用戶主動選擇以外的文件。

第十五條 互聯網應用程序收集人臉、指紋、聲紋等生物識別信息應當具有特定的目的和充分的必要性，采取對個人權益影響最小的方式，并實施嚴格的保護措施。

除法律、行政法規另有規定或者取得用戶單獨同意外，互聯網應用程序收集使用人臉、指紋、聲紋等信息應當存儲于生物識別設備內，不得通過互聯網對外傳輸。除法律、行政法規另有規定外，生物識別信息的保存期限不得超過實現處理目的所必需的最短時間。

第十六條 互聯網應用程序運營者應當采取充分的管理措施和必要的技術措施，嚴格落實未成年人個人信息保護要求，切實防范未成年人個人信息泄露、篡改、丟失。

互聯網應用程序收集使用不滿十四周歲未成年人個人信息的，應當制定專門的個人信息收集使用規則，并取得未成年人父母或者其他監護人的同意。

第十七條 互聯網應用程序通過自動化決策方式向用戶進行信息推送、商業營銷的，應當設置易于理解、便于訪問和操作的個性化推薦關閉選項。

用戶關閉個性化推薦功能時，互聯網應用程序應當停止將用戶相關個人信息用于個性化推薦目的。

第十八條 互聯網應用程序應當為用戶提供注銷賬號的便捷功能。用戶注銷賬號的，除確有必要用于防范黑灰產、安全風控等情形，互聯網應用程序不得要求用戶新增提供人臉、手持身份證照片等超出互聯網應用程序已收集范圍以外的個人信息。

用戶注銷賬號的，互聯網應用程序應當在15個工作日內完成賬號注銷，刪除已收集的相關個人信息或者進行匿名化處理，法律、行政法規另有規定的除外。

對于同一企業主體或者集團旗下多款互聯網應用程序采用統一賬號進行一體化管理的，應當允許用戶選擇注銷其中一款互聯網應用程序賬號，或者允許用戶選擇關閉該賬號在此互聯網應用程序的使用權限，并刪除僅用于此互聯網應用程序的個人信息。

第十九條 互聯網應用程序應當與嵌入的軟件開發工具包約定收集使用個人信息的目的、方式、種類和安全保護責任及違約責任，并采取有效的技術措施對嵌入的軟件開發工具包個人信息收集使用行為進行審核，確保軟件開發工具包實際個人信息收集和權限調用行為與互聯網應用程序個人信息收集使用規則中聲明的軟件開發工具包相關內容保持一致。

用戶向互聯網應用程序提出查閱、復制、更正、補充、刪除、限制處理其個人信息，或者注銷賬號、撤回同意等相關請求涉及軟件開發工具包個人信息收集使用活動的，互聯網應用程序應當將用戶請求及時通知軟件開發工具包，并督促軟件開發工具包及時響應用戶請求。

第二十條 互聯網應用程序就個人信息收集使用行為進行優化、改進，發布或者更新版本后，應當采取有效方式提醒用戶進行版本升級，并對所有授權發布渠道的舊版本互聯網應用程序進行更新替換。

第二十一條 鼓勵互聯網應用程序接入國家網絡身份認證公共服務，用以支持用戶使用網號、網證登記、核驗真實身份信息。

用戶選擇使用網號、網證登記、核驗身份信息并通過驗證的，互聯網應用程序不得強制要求用戶另行提供明文身份信息，法律、行政法規另有規定或者用戶同意提供的除外。

第三章 軟件開發工具包運營安全管理要求

第二十二條 軟件開發工具包收集使用個人信息的，應當制定個人信息收集使用規則并在產品官方網站公開。

對于同時運營多個歷史版本的，軟件開發工具包應當在個人信息收集使用規則中列明不同版本個人信息收集使用行為。

軟件開發工具包收集使用個人信息的目的、方式、范圍等發生變化的，應當同步更新相應的個人信息收集使用規則。

第二十三條 軟件開發工具包不得超出收集使用規則聲明的范圍收集使用個人信息，不得超出實現業務功能的最小范圍收集使用個人信息，不得超出實現業務功能的最低頻度調用權限。

第二十四條 軟件開發工具包應當提供基于功能的個人信息配置選項，允許互聯網應用程序按照不同功能需要對軟件開發工具包個人信息收集行為進行管理配置。

軟件開發工具包通過自動化決策方式向用戶進行信息推送、商業營銷的，應當向互聯網應用程序提供個性化推薦關閉選項，在關閉后停止將用戶相關個人信息用于個性化推薦目的。

軟件開發工具包應當及時響應互聯網應用程序通知的用戶個人信息查閱、復制、更正、補充、刪除、限制處理等相關請求。

第二十五條 軟件開發工具包應當建立有效方式和途徑，直接響應用戶查閱、復制、轉移、更正、補充、刪除、限制處理個人信息的請求，相關方式和途徑應當在個人信息收集使用規則中予以列明。

第四章 應用程序分發平臺安全管理要求

第二十六條 分發平臺應當加強互聯網應用程序上架審核，建立互聯網應用程序收集使用個人信息規范性檔案，在受理互聯網應用程序發布及版本更新上架申請時，登記并核驗互聯網應用程序運營者的真實身份、聯系方式等信息，記錄互聯網應用程序個人信息收集使用問題以及因違法違規收集使用個人信息被省級以上履行個人信息保護職責的部門通報或行政處罰的情況。對未提供相關信息或者提供虛假信息，互聯網應用程序無個人信息收集使用規則、無賬號注銷功能或者刪除個人信息途徑的，不予上架。

分發平臺在上架審核中應根據互聯網應用程序運營者獲得個人信息保護認證和互聯網應用程序安全認證的結果，予以優先展示推薦。

分發平臺應當自本規定生效之日起6個月內，完成對在架存量互聯網應用程序的審核，審核不通過的予以清理下架。

第二十七條 分發平臺應當在互聯網應用程序分發、下載頁面，清晰準確展示下列信息：

（一）互聯網應用程序運營者名稱或者姓名、聯系方式；

（二）互聯網應用程序主要功能介紹；

（三）互聯網應用程序運行所需具體權限列表；

（四）個人信息收集使用規則文本或者鏈接；

（五）對因違法違規收集使用個人信息被省級以上履行個人信息保護職責的部門通報或行政處罰的互聯網應用程序，應當自通報或處罰之日起6個月內，在分發、下載頁面發布個人信息安全風險提示。

第二十八條 對履行個人信息保護職責的部門認定存在違法違規收集使用個人信息行為的互聯網應用程序，分發平臺應當積極配合采取警示、不予分發、暫停分發或者終止分發等處置措施。

第五章 智能終端安全管理要求

第二十九條 智能終端廠商在受理互聯網應用程序預置申請時，應當登記并核驗互聯網應用程序運營者的真實身份、聯系方式等信息，對未提供上述信息或者提供虛假信息，互聯網應用程序無個人信息收集使用規則、無賬號注銷功能或者刪除個人信息途徑的，不予預置。

第三十條 互聯網應用程序索要日歷、通話記錄、相機、通訊錄、位置、麥克風、電話、短信、存儲、身體活動等權限時，智能終端操作系統應彈窗征得用戶同意，根據權限特點提供可基于時間、頻度、精度等精細化授權模式選項。

第三十一條 智能終端應當在屏幕頂部等顯著位置，以易于理解的圖標等顯著標識，如實地向用戶提示當前正在調用的麥克風、攝像頭、位置等權限。

第三十二條 智能終端應當如實記錄并集中展示互聯網應用程序調用日歷、通話記錄、相機、通訊錄、位置、麥克風、電話、短信、存儲、身體活動等權限情況；互聯網應用程序后臺靜默期間自啟動、關聯啟動情況；互聯網應用程序通過智能終端收集剪切板、設備唯一標識、應用程序列表等個人信息行為。記錄規則應當予以公開。

智能終端應當準確提示互聯網應用程序調用權限可能帶來的安全風險。

第六章 監督管理

第三十三條 國家網信部門負責統籌協調和監督管理互聯網應用程序、軟件開發工具包、分發平臺和智能終端個人信息保護工作。國務院電信主管部門、公安部門和其他有關機關依照有關法律法規和本規定的要求，在各自職責范圍內負責互聯網應用程序、軟件開發工具包、分發平臺和智能終端個人信息保護和監督管理工作。

地方網信部門負責統籌協調和監督管理本行政區域內互聯網應用程序、軟件開發工具包、分發平臺和智能終端個人信息保護工作，地方電信管理部門、公安部門和其他有關機關依據各自職責做好本行政區域內互聯網應用程序、軟件開發工具包、分發平臺和智能終端個人信息保護和監督管理工作。

第三十四條 互聯網應用程序、軟件開發工具包運營者應當在產品官方網站、個人信息收集使用規則中提供有效的、易于訪問的投訴舉報渠道，健全投訴舉報的受理、處置、反饋機制，在承諾時限內（承諾時限不得超過15個工作日，無承諾時限的，以15個工作日為限）受理并處置個人信息相關投訴。

互聯網應用程序運營者應當同時受理、處置、反饋關于嵌入的軟件開發工具包相關個人信息問題舉報，核驗屬實的，應當督促軟件開發工具包運營者進行整改。分發平臺運營者、智能終端廠商應當同時受理、處置、反饋關于分發和預置的互聯網應用程序相關個人信息問題舉報，核驗屬實的，應當督促互聯網應用程序運營者進行整改。

第三十五條 互聯網應用程序、軟件開發工具包、分發平臺運營者和智能終端廠商應當制定內部管理制度和操作規程，建立健全內部合規管理體系和問責機制，防止個人信息被用于電信網絡詐騙等違法犯罪活動，充分保護用戶個人信息。

互聯網應用程序、軟件開發工具包、分發平臺運營者和智能終端廠商應當對履行個人信息保護職責的部門依法開展的個人信息保護監督檢查予以配合，并提供必要的技術支持和協助。

第三十六條 互聯網應用程序、軟件開發工具包運營者應當強化對個人信息查閱、復制、修改、刪除等操作的權限管理，采取加密、去標識化等安全技術措施，防止個人信息泄露、丟失或者未經授權的訪問。

發生個人信息泄露、丟失的，互聯網應用程序、軟件開發工具包運營者應該將泄露個人信息的種類、原因、可能造成的危害、采取的補救措施等信息及時告知用戶，并向履行個人信息保護職責的部門報告。

第三十七條 互聯網應用程序、軟件開發工具包、分發平臺運營者和智能終端廠商違反本規定的，履行個人信息保護職責的部門依照《中華人民共和國網絡安全法》《中華人民共和國個人信息保護法》《網絡數據安全管理條例》等相關法律法規處理；構成犯罪的，依法追究刑事責任。

第七章 附則

第三十八條 本規定中下列用語的含義：

互聯網應用程序（App），是指智能終端預置、下載安裝的應用軟件，以及基于應用軟件開放平臺接口開發的、無需安裝即可使用的小程序、快應用等。

互聯網應用程序運營者，是指互聯網應用程序的開發者、所有者、管理者或者提供者。

軟件開發工具包（SDK），是指協助軟件開發的軟件庫。

軟件開發工具包運營者，是指軟件開發工具包的開發者、所有者、管理者或者提供者。

個人信息主體，是指個人信息所標識或者關聯的自然人。

用戶，是指使用互聯網應用程序相關功能服務的自然人。

分發平臺，是指通過互聯網提供互聯網應用程序發布、下載、動態加載等服務提供者，包括應用商店、應用市場、快應用中心、小程序平臺等。

智能終端，是指能夠接入公眾網絡、具有操作系統、可由用戶自行安裝和卸載應用軟件的移動通信終端產品。

必要個人信息，是指為了保障基本功能服務或者用戶所選擇使用的功能服務正常運行所必需的個人信息，缺少該信息無法向用戶提供相應的功能服務。

可收集個人信息權限，是指智能終端操作系統向互聯網應用程序開放的，具有收集個人信息功能的系統權限，包括日歷、通話記錄、相機、通訊錄、位置、麥克風、電話、短信、存儲、身體活動等，簡稱權限。

第三十九條 本規定自 年 月 日起施行。

封面圖片來源：每經記者 張建 攝