个人信息保护墙持续被加固。据“网信中国”微信公众号消息，为规范互联网应用程序个人信息收集使用活动，保护个人信息权益，促进个人信息合理利用，国家互联网信息办公室起草了《互联网应用程序个人信息收集使用规定（征求意见稿）》（以下简称征求意见稿），并公开征求意见。

　　征求意见稿提出，收集使用个人信息应当向个人信息主体充分告知收集使用规则，并取得个人信息主体同意；收集使用敏感个人信息的，应当取得个人信息主体的单独同意。收集使用个人信息应当采取对个人信息主体权益影响最小的方式，限于提供产品或者服务所必需，不得超范围收集使用个人信息。不得以个人信息主体不同意收集使用其个人信息或者撤回同意为由，拒绝提供产品或者服务，个人信息属于提供产品或者服务所必需的除外。

　　此外，征求意见稿还对互联网应用程序、以及为互联网应用程序收集使用个人信息活动提供服务的软件开发工具包、分发平台、智能终端等分别提出了明确的运营安全管理需求。

　　针对互联网应用程序，征求意见稿提出，互联网应用程序向第三方提供个人信息的，应当取得用户的单独同意。不得通过调用通讯录、通话记录、短信权限收集使用用户以外其他个人信息主体的个人信息，确需用于满足通讯联系、添加好友、数据备份的除外。应当仅在用户主动选择使用拍照、发送语音、录音录像等功能时调用相机、麦克风权限，不得在用户停止使用相关功能或者无关场景调用相机、麦克风权限。收集人脸、指纹、声纹等生物识别信息应当具有特定的目的和充分的必要性，采取对个人权益影响最小的方式，并实施严格的保护措施。

　　针对软件开发工具包，征求意见稿提出，软件开发工具包应当提供基于功能的个人信息配置选项，允许互联网应用程序按照不同功能需要对软件开发工具包个人信息收集行为进行管理配置。通过自动化决策方式向用户进行信息推送、商业营销的，应当向互联网应用程序提供个性化推荐关闭选项，在关闭后停止将用户相关个人信息用于个性化推荐目的。

　　针对应用程序分发平台，征求意见稿提出，分发平台应当加强互联网应用程序上架审核，建立互联网应用程序收集使用个人信息规范性档案，在受理互联网应用程序发布及版本更新上架申请时，登记并核验互联网应用程序运营者信息，记录互联网应用程序个人信息收集使用问题以及因违法违规收集使用个人信息被省级以上履行个人信息保护职责的部门通报或行政处罚的情况。并要求分发平台应当自本规定生效之日起6个月内，完成对在架存量互联网应用程序的审核，审核不通过的予以清理下架。

　　针对智能终端，征求意见稿提出，互联网应用程序索要日历、通话记录、相机、通讯录、位置、麦克风、电话、短信、存储、身体活动等权限时，智能终端操作系统应弹窗征得用户同意，根据权限特点提供可基于时间、频度、精度等精细化授权模式选项。同时，应当在屏幕顶部等显著位置，以易于理解的图标等显著标识，如实地向用户提示当前正在调用的麦克风、摄像头、位置等权限。

　　征求意见稿提出，互联网应用程序运营者对嵌入的软件开发工具包、分发平台运营者对分发的互联网应用程序、智能终端厂商对预置的互联网应用程序依法履行审核义务。未能进行有效审核，对个人信息主体权益造成损害的，依法承担相应责任。

　　中国信息通信研究院总工程师魏然发文指出，征求意见稿系统规定了App收集使用个人信息的制度框架，明确了App及SDK安全运营、分发平台上架审核、智能终端权限管理等重点事项，推动我国个人信息保护工作从立法完善走向实践深化的新阶段。

互联网应用程序个人信息收集使用规定

（征求意见稿）