2026年1月10日,国家互联网信息办公室起草发布《互联网应用程序个人信息收集使用规定(征求意见稿)》,向社会公开征求意见。这一规定旨在规范互联网应用程序个人信息收集使用活动,保护个人信息权益,促进个人信息合理利用,标志着我国个人信息保护进入更加系统化、规范化的阶段。

规定核心内容

1. 个人信息收集使用基本原则

  • 充分告知与取得同意:收集使用个人信息应当向个人信息主体充分告知收集使用规则,并取得个人信息主体同意;收集使用敏感个人信息的,应当取得个人信息主体的单独同意。

  • 最小影响与必要性:收集使用个人信息应当采取对个人信息主体权益影响最小的方式,限于提供产品或者服务所必需,不得超范围收集使用个人信息。

2. 用户知情权与选择权保障

  • 首次启动告知:互联网应用程序应当在首次启动时,通过弹窗等显著方式向用户告知个人信息收集使用规则,并在用户充分知情的前提下,取得用户同意。

  • 规则一键访问:应当在设置页面等醒目位置提供个人信息收集使用规则一键访问功能,方便用户查阅和保存。

  • 信息变更告知:收集使用个人信息的目的、方式、种类、保存期限等发生变化的,应当及时修订、更新个人信息收集使用规则。

3. 特殊场景规范

  • 第三方提供信息:向第三方提供个人信息的,应当取得用户的单独同意。

  • 超大规模应用要求:注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂的互联网应用程序,修订更新规则时应当同步通过互联网应用程序首页、官方网站、公众号等途径公开征求意见,征求意见期限不少于7个工作日。

  • 禁止不当收集:不得通过调用通讯录、通话记录、短信权限收集使用用户以外其他个人信息主体的个人信息,确需用于满足通讯联系、添加好友、数据备份的除外。

  • 生物识别信息规范:收集人脸、指纹、声纹等生物识别信息应当具有特定的目的和充分的必要性,采取对个人权益影响最小的方式,并实施严格的保护措施。

4. 用户权益保障

  • 便捷注销功能:应当为用户提供注销账号的便捷功能。用户注销账号的,应当在15个工作日内完成账号注销,删除已收集的相关个人信息或者进行匿名化处理。

  • 内部合规管理:互联网应用程序、软件开发工具包、分发平台运营者和智能终端厂商应当制定内部管理制度和操作规程,建立健全内部合规管理体系和问责机制,防止个人信息被用于电信网络诈骗等违法犯罪活动。

意义与影响

该规定是继《个人信息保护法》《数据安全法》之后,我国在个人信息保护领域的又一重要制度安排,进一步完善了个人信息保护的法律体系。通过明确互联网应用程序在个人信息收集使用中的责任和义务,将有效遏制"过度收集"、"强制授权"等乱象,切实保障用户个人信息权益。

规定还体现了"最小必要"原则和"用户中心"理念,要求互联网应用程序在收集使用个人信息时,必须以提供产品或服务所必需为限,不得过度收集。同时,通过要求互联网应用程序在首次启动时进行显著告知、提供规则一键访问等功能,切实保障了用户的知情权和选择权。

未来展望

随着该规定正式实施,我国互联网应用程序将进入更加规范、透明的个人信息收集使用时代。这不仅将提升用户对互联网应用的信任度,也将推动互联网企业更加注重个人信息保护,促进数字经济健康有序发展。

该规定向社会公开征求意见的期限为30天,截至2026年2月9日。征求意见期间,公众可通过电子邮件、信函等方式提出意见和建议。