移动互联网应用服务
用户权益保护合规管理指南
(2025年)
目 录
一、 总则.....................................................................................................1
(一) 目的...........................................................................................1
(二) 适用范围...................................................................................1
(三) 基本概念...................................................................................1
二、用户权益保护重点合规方面 ..............................................................3
(一) 服务提供方面 ...........................................................................3
(二) 个人信息保护方面 ...................................................................6
(三) 算法推荐方面 ...........................................................................9
(四) 服务收费方面 .........................................................................11
(五) 用户投诉处理方面 .................................................................13
(六) 客服热线方面 .........................................................................14
三、用户权益保护合规管理体系 ............................................................16
(一) 用户权益保护合规管理组织机制 .........................................16
(二) 用户权益保护合规管理运行机制 .........................................21
(三) 用户权益保护合规管理保障机制 .........................................29
四、附则....................................................................................................33
(一) 指南的效力.............................................................................33
(二) 指南所参考的法律法规等文件 .............................................33
(三) 指南的解释.............................................................................37
一、总则
(一)目的
为支持和引导企业建立健全移动互联网应用服务用户权益保护合
规管理体系,明晰用户权益保护合规要求,增强用户权益保护合规风
险识别和处置能力,提升用户信任水平,促进持续健康发展,制定本
指南。
(二)适用范围
面向个人用户提供移动互联网应用服务(服务载体包括但不限于
含小程序、快应用、互联网用户公众账号在内的 APP,SDK,分发平台,
智能终端等)的企业开展用户权益保护合规管理工作,适用于本指南。
(三)基本概念
本指南所称移动互联网应用服务用户权益保护合规,是指企业在
面向个人用户提供移动互联网应用服务的过程中,确保其经营管理行
为及其员工履职行为符合用户权益保护相关法律、行政法规、部门规
章和规范性文件等(以下统称“用户权益保护相关规定”),以及企业
为落实上述要求而制定的内部规范。
本指南所称移动互联网应用服务用户权益保护合规风险,是指企
业及其员工因违反用户权益保护相关规定,引发法律责任、大规模用
户投诉或大范围负面舆情,为用户造成一定程度财产或声誉损失,以
及其他负面影响的可能性。
本指南所称移动互联网应用服务用户权益保护合规管理,是指企
业以预防和降低移动互联网应用服务用户权益保护合规风险为目的,
以经营管理行为和员工履职行为为对象,开展包括建立组织架构、制
定管理制度、完善运行机制、增强保障机制等有组织、有计划、全流
程的管理活动。
二、用户权益保护重点合规方面
数字经济时代,用户权益保护是综合性、多元化的范畴,全面性、
系统性提升用户权益保护水平,对于提升广大用户在数字消费服务中的
获得感、幸福感、安全感,以及促进数字服务市场的创新和繁荣具有重
要意义。本指南根据当前的用户权益保护相关规定
1
将移动互联网应用服
务用户权益保护合规归纳总结为六大重点方面,包括服务提供、个人信
息保护、算法推荐、服务收费、用户投诉处理、客户热线服务, 并梳理
了各方面所须遵循的现行有效的合规要求,为移动互联网应用服务提供
者开展用户权益保护合规管理工作提供参考。
(一)服务提供方面
在移动互联网服务提供过程中,要保障用户知情权、自主选择权、
公平交易权等合法权益,不得有欺骗、误导、强迫用户的行为,这对于
营造公平、透明、安全的消费服务环境,以及促进市场的健康发展具有
重要意义。现行有效的用户权益保护相关规定对相关行为进行了清晰界
定,并提出了具体的细化要求,包括但不限于以下内容:
1. 应用预置、分发:a)移动智能终端应用软件预置行为应遵循依法
合规、用户至上、安全便捷、最小必要的原则,依据谁预置、谁负责的
要求,落实企业主体责任,尊重并依法维护用户知情权、选择权, 保障
用户合法权益
2
。b)从事应用商店等移动应用分发平台服务的互联网信息
服务提供者,以及在移动智能终端中预置了移动应用分发平台
1
本指南所参考的用户权益保护相关规定,请参见第四章第(二)节。随着用户权益保护相关规定新增、修
订等情况的发生,用户权益保护的重点合规方面和要求可能发生变化,在此提请本指南的读者注意
2
《工业和信息化部 国家互联网信息办公室关于进一步规范移动智能终端应用软件预置行为的通告》第二
条
的生产企业对所提供的应用软件负有管理责任
3
。c)加强对 APP 的动态巡
查,确保公示信息真实准确。对与公示信息不一致,或对与公示信息不
一致,或采用“热更新、热切换”等方式擅自更改 APP 主要功能、申请的权
限、个人信息收集使用的场景和范围等违规 APP,应当停止提供服务4。
2. 应用下载、安装、使用和卸载:a)向用户推荐下载 APP 应遵循
公开、透明原则,真实、准确、完整地明示开发运营者、产品功能、
隐私政策、权限列表等必要信息,并同步提供明显的取消选项,经用
户确认同意后方可下载安装,切实保障用户知情权、选择权。不得通
过“偷梁换柱”“强制捆绑”“静默下载”等方式欺骗误导用户下载安装5。b)
在用户浏览页面内容时,未经用户同意或主动选择,不得自动或强制
下载 APP,或以折叠显示、主动弹窗、频繁提示等方式强迫用户下载、
打开 APP,影响用户正常浏览信息。无正当理由,不得将下 载 APP
与阅读网页内容相绑定
6
。c)开屏和弹窗信息窗口提供清晰有效的关闭
按钮,保证用户可以便捷关闭;不得频繁弹窗干扰用户正常使用,或
利用“全屏热力图”、高灵敏度“摇一摇”等易造成误触发的方式诱导用
户操作
7
。d)除基本功能软件外,APP 应当可便捷卸载, 不得以空白名
称、透明图标、后台隐藏等方式恶意阻挠用户卸载
8
。
3. 发送商业信息:网络交易经营者未经消费者同意或者请求,不
3
《移动智能终端应用软件预置和分发管理暂行规定》第八条,此处为简述,详细表述请参见原文
4
《工业和信息化部关于进一步提升移动互联网应用服务能力的通知》第二章第五条
5
《工业和信息化部关于进一步提升移动互联网应用服务能力的通知》第一章第一条
6
《工业和信息化部关于进一步提升移动互联网应用服务能力的通知》第一章第二条
7
《工业和信息化部关于进一步提升移动互联网应用服务能力的通知》第一章第四条
8
《工业和信息化部关于进一步提升移动互联网应用服务能力的通知》第一章第三条
得向其发送商业性信息。网络交易经营者发送商业性信息时,应当明
示其真实身份和联系方式,并向消费者提供显著、简便、免费的拒绝
继续接收的方式。消费者明确表示拒绝的,应当立即停止发送,不得
更换名义后再次发送
9
。
4. 商业宣传:a)经营者应当采用通俗易懂的方式,真实、全面地
向消费者提供商品或者服务相关信息,不得通过虚构经营者资质、资
格或者所获荣誉,虚构商品或者服务交易信息、经营数据,篡改、编
造、隐匿用户评价等方式,进行虚假或者引人误解的宣传,欺骗、误
导消费者
10
。b)网络交易经营者不得以下列方式,作虚假或者引人误解
的商业宣传,欺骗、误导消费者:虚构交易、编造用户评价;采用误
导性展示等方式,将好评前置、差评后置,或者不显著区分不同商品
或者服务的评价等;采用谎称现货、虚构预订、虚假抢购等方式进行
虚假营销;虚构点击量、关注度等流量数据,以及虚构点赞、打赏等
交易互动数据
11
。
5. 搭售商品或服务:网络交易经营者以直接捆绑或者提供多种可
选项方式向消费者搭售商品或者服务的,应当以显著方式提醒消费者
注意。提供多种可选项方式的,不得将搭售商品或者服务的任何选项
设定为消费者默认同意,不得将消费者以往交易中选择的选项在后续
独立交易中设定为消费者默认选择
12
。
6. 人工智能生成合成:a)深度合成服务提供者提供深度合成服
9
《网络交易监督管理办法》第十六条
10
《中华人民共和国消费者权益保护法实施条例》第九条第一款
11
《网络交易监督管理办法》第十四条第二款
12
《网络交易监督管理办法》第十七条
务,可能导致公众混淆或者误认的,应当在生成或者编辑的信息内容
的合理位置、区域进行显著标识,向公众提示深度合成情况
13
。b)服务
提供者应当在用户服务协议中明确说明生成合成内容标识的方法、样
式等规范内容,并提示用户仔细阅读并理解相关的标识管理要求
14
。
7. 反网络不正当竞争:a)经营者不得利用互联网、大数据、算法等
技术手段,通过影响用户选择或者其他方式,实施流量劫持、干扰、恶
意不兼容等行为,妨碍、破坏其他经营者合法提供的网络产品或者服务
正常运行。前款所称的影响用户选择,包括违背用户意愿和选择权、增
加操作复杂性、破坏使用连贯性等
15
。b)经营者不得利用技术手段,通过
下列方式,实施妨碍、破坏其他经营者合法提供的网络产品或者服务正
常运行的行为:违背用户意愿下载、安装、运行应用程序; 无正当理由,
对其他经营者合法提供的网络产品或者服务实施拦截、拖延审查、下架,
以及其他干扰下载、安装、运行、更新、传播等行为;对相关设备运行
非必需的应用程序不提供卸载功能或者对应用程序卸载设置不合理障
碍
16
。
(二)个人信息保护方面
个人信息权益是用户权益的重要组成,现行有效的法律法规等文
件对个人信息保护提出了具体的细化要求,包括但不限于以下内容:
1. 个人信息处理规则
(1) 通用个人信息处理规则:处理个人信息应当遵循合法、正
13
《互联网信息服务深度合成管理规定》第十七条第一款,此处为简述,详细表述请参见原文
14
《人工智能生成合成内容标识办法》第八条
15
《网络反不正当竞争暂行规定》第十二条第一、二款
当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信
息;处理个人信息应当具有明确、合理的目的,并应当与处理目的直
接相关,采取对个人权益影响最小的方式;收集个人信息,应当限于
实现处理目的的最小范围,不得过度收集个人信息;处理个人信息应
当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、
方式和范围
17
。
(2) 特殊个人信息处理规则
未成年人个人信息处理规则:a)信息处理者通过网络处理未成年
人个人信息的,应当遵循合法、正当和必要的原则。处理不满十四周
岁未成年人个人信息的,应当征得未成年人的父母或者其他监护人同
意,但法律、行政法规另有规定的除外
18
。b)个人信息处理者处理不满
十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则
19
。
人脸个人信息处理规则:a)基于个人同意处理人脸信息的,应当
取得个人在充分知情的前提下自愿、明确作出的单独同意。法律、行
政法规规定处理人脸信息应当取得个人书面同意的,从其规定
20
。b)
实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式
的,不得将人脸识别技术作为唯一验证方式。个人不同意通过人脸信
息进行身份验证的,应当提供其他合理、便捷的方式
21
。
生成式人工智能服务个人信息处理规则:生成式人工智能服务提
17
《中华人民共和国个人信息保护法》第五、六、七条,更多具体要求请参考《中华人民共和国个人信息保护法》
《App 违法违规收集使用个人信息行为认定方法》《工业和信息化部关于开展纵深推进 APP 侵害用户权益专项
整治行动的通知》《工业和信息化部关于开展 APP 侵害用户权益专项整治工作的通知》等
18
《中华人民共和国未成年人保护法》第七十二条第一款
19
《中华人民共和国个人信息保护法》第三十一条第二款
20
《人脸识别技术应用安全管理办法》第六条第一款
21
《人脸识别技术应用安全管理办法》第十条第一款
供者对使用者的输入信息和使用记录应当依法履行保护义务,不得收
集非必要个人信息,不得非法留存能够识别使用者身份的输入信息和
使用记录,不得非法向他人提供使用者的输入信息和使用记录
22
。
2. 保障个人主体权利:个人在个人信息处理活动中依法具备知情
权、决定权、查阅复制权、更正补充权、删除权、请求转移权、要求
解释权、作为近亲属代死者行权等主体权利,并可以向个人信息处理
者提出行权申请。个人信息处理者应当建立便捷的个人行使权利的申
请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。个
人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院
提起诉讼
23
。
3. 履行个人信息处理者义务:个人信息处理者应当根据个人信息
的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可
能存在的安全风险等,采取相应措施确保个人信息处理活动符合法律、行
政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失。
处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个
人信息保护负责人。按照法律规定要求开展个人信息保护影响评估、合
规审计。提供重要互联网平台服务、用户数量巨大、业务类型复杂的个
人信息处理者应当履行其相应义务
24
。
4. 个人信息跨境提供规则:个人信息处理者因业务等需要,确需
向中华人民共和国境外提供个人信息的,应当具备下列条件之一:依
22
《生成式人工智能服务管理暂行办法》第十一条第一款
23
涉及保障个人主体权利的法律原文要求,请参见《中华人民共和国个人信息保护法》第四章,及《网络数据
安全管理条例》第二十三条、第二十五条
24
涉及个人信息处理者义务的法律原文要求,请参见《中华人民共和国个人信息保护法》第五章
照本法第四十条的规定通过国家网信部门组织的安全评估;按照国家
网信部门的规定经专业机构进行个人信息保护认证;按照国家网信部
门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
法律、行政法规或者国家网信部门规定的其他条件
25
。
(三)算法推荐方面
加强算法推荐管理,一方面有助于保障用户的知情决定和公平交
易权,使用户在资源获取、服务享受等方面可以自主选择和公平交易,
不受不合理的算法偏差影响,避免算法歧视发生;另一方面有助于提升
用户获取信息和服务的效率,避免用户被大量低质量、无关或重复的信
息所困扰,从而提升用户体验。现行有效的法律法规等文件对算法推荐
中涉及的用户权益保护提出了具体的细化要求,包括但不限于以下内容:
1. 算法原理告知义务:算法推荐服务提供者应当以显著方式告知
用户其提供算法推荐服务的情况,并以适当方式公示算法推荐服务的
基本原理、目的意图和主要运行机制
26
。
2. 算法应用选择权保障:a)通过自动化决策方式向个人进行信息
推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个
人提供便捷的拒绝方式
27
。b)算法推荐服务提供者应当向用户提供不针
对其个人特征的选项,或者向用户提供便捷的关闭算法推荐服务的选
25
《中华人民共和国个人信息保护法》第三十八条第一款,涉及数据出境安全评估、个人信息出境标准合同等
更多详细规定请参见《促进和规范数据跨境流动规定》《数据出境安全评估办法》《个人信息出境标准合同办
法》等
26
《互联网信息服务算法推荐管理规定》第十六条
27
《中华人民共和国个人信息保护法》第二十四条第二款
项。用户选择关闭算法推荐服务的,算法推荐服务提供者应当立即停
止提供相关服务。算法推荐服务提供者应当向用户提供选择或者删除
用于算法推荐服务的针对其个人特征的用户标签的功能
28
。
3. 未成年人权益保护:算法推荐服务提供者向未成年人提供服务
的,应当依法履行未成年人网络保护义务,并通过开发适合未成年人
使用的模式、提供适合未成年人特点的服务等方式,便利未成年人获
取有益身心健康的信息。算法推荐服务提供者不得向未成年人推送可
能引发未成年人模仿不安全行为和违反社会公德行为、诱导未成年人
不良嗜好等可能影响未成年人身心健康的信息,不得利用算法推荐服
务诱导未成年人沉迷网络
29
。
4. 老年人权益保护:算法推荐服务提供者向老年人提供服务的,
应当保障老年人依法享有的权益,充分考虑老年人出行、就医、消费、
办事等需求,按照国家有关规定提供智能化适老服务,依法开展涉电信
网络诈骗信息的监测、识别和处置,便利老年人安全使用算法推荐服务
30
。
5. 新就业形态劳动者权益保护:a)算法推荐服务提供者向劳动者提
供工作调度服务的,应当保护劳动者取得劳动报酬、休息休假等合法
权益,建立完善平台订单分配、报酬构成及支付、工作时间、奖惩等
相关算法
31
。b)严防一味压缩配送时间导致配送超时率、交通违章率、事
故发生率上升等问题。详细公示时间预估、费用计算、路线规划等
28
《互联网信息服务算法推荐管理规定》第十七条第一款、第二款
29
《互联网信息服务算法推荐管理规定》第十八条
30
《互联网信息服务算法推荐管理规定》第十九条
31
《互联网信息服务算法推荐管理规定》第二十条
算法规则
32
。
6. 防范“信息茧房”问题:构建“信息茧房”防范机制,提升推送内
容多样性丰富性。严禁推送高度同质化内容诱导用户沉迷。不得强制
要求用户选择兴趣标签,不得将违法和不良信息记入用户标签并据以
推送信息,不得超范围收集用户个人信息用于内容推送。规范设置
“不感兴趣”等负反馈功能33。
(四)服务收费方面
加强服务收费管理是保障用户知情选择权、财产权、公平交易权
等权益的重要体现。通过明码标价和服务套餐透明化,使用户基于公
开明确信息作出自主决策,保障用户知情选择权;规范自动续费行为,
切实保护用户资金安全,防止财产权益侵害;禁止不合理的差异化定价,
确保消费者享有公平交易的权利。现行有效的法律法规等文件对服务收
费中涉及的用户权益保护提出了具体的细化要求,包括但不限于以下内
容:
1. 明码标价:a)经营者提供商品或者服务应当明码标价34。b)经营
者应当按照国家有关规定,以显著方式标明商品的品名、价格和计价
单位或者服务的项目、内容、价格和计价方法等信息,做到价签价目
齐全、内容真实准确、标识清晰醒目
35
。c)服务事项提前告知。清晰明示
产品功能权益及资费等内容,存在开通会员、收费等附加条件的, 应当
显著提示。未经明示,不得在提供产品服务过程中擅自添加限制
32
《关于开展“清朗·网络平台算法典型问题治理”专项行动的通知》主要任务第三点中的部分要求
33
《关于开展“清朗·网络平台算法典型问题治理”专项行动的通知》主要任务第一点
34
《中华人民共和国消费者权益保护法》第二十条第三款
性条件,并以此为由终止用户正常使用的产品功能和服务,或降低服
务体验
36
。d)优化网盘类服务提供方式。相关企业应优化产品服务资费
介绍,清晰明示存储空间、传输速率、功能权益及资费水平等内容,
不得进行误导宣传。在同一网络条件下,向免费用户提供的上传和下
载的最低速率应确保满足基本的下载需求
37
。
2. 自动展期续费提醒:a)经营者采取自动展期、自动续费等方式
提供服务的,应当在消费者接受服务前和自动展期、自动续费等日期
前,以显著方式提请消费者注意
38
。b)服务续期及时提醒。采取自动续
订、自动续费方式提供服务的,应当征得用户同意,不得默认勾选、
强制捆绑开通。在自动续订、自动续费前 5 日以短信、消息推送等显
著方式提醒用户,服务期间提供便捷的随时退订方式和自动续订、自
动续费取消途径
39
。c)网络交易经营者采取自动展期、自动续费等方式
提供服务的,应当在消费者接受服务前和自动展期、自动续费等日期
前,以显著方式提请消费者注意,由消费者自主选择。网络交易经营
者采取自动展期、自动续费等方式提供服务的,在服务期间内,应当
为消费者提供显著、简便的随时取消或者变更的选项,并不得收取不
合理费用
40
。
3. 禁止差异化定价:a)个人信息处理者利用个人信息进行自动化
决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易
36
《工业和信息化部关于进一步提升移动互联网应用服务能力的通知》第一章第五条
37
《工业和信息化部关于开展信息通信服务感知提升行动的通知》第二章服务举措“五优化”第五条
38
《中华人民共和国消费者权益保护法实施条例》第十条第二款
39
《工业和信息化部关于进一步提升移动互联网应用服务能力的通知》第一章第七条
价格等交易条件上实行不合理的差别待遇
41
。b)算法推荐服务提供者向
消费者销售商品或者提供服务的,应当保护消费者公平交易的权利,
不得根据消费者的偏好、交易习惯等特征,利用算法在交易价格等交
易条件上实施不合理的差别待遇等违法行为
42
。c)严禁利用算法实施大
数据“杀熟”。严禁利用用户年龄、职业、消费水平等特征,对相同商
品实施差异化定价行为
43
。
4. 未成年人网络服务收费:a)经营者提供网络游戏服务的,应当
符合国家关于网络游戏服务相关时段、时长、功能和内容等方面的规
定和标准,针对未成年人设置相应的时间管理、权限管理、消费管理
等功能,在注册、登录等环节严格进行用户核验,依法保护未成年人
身心健康
44
。b)网络游戏、网络直播、网络音视频、网络社交等网络服
务提供者应当针对不同年龄阶段未成年人使用其服务的特点,坚持融
合、友好、实用、有效的原则,设置未成年人模式,在使用时段、时
长、功能和内容等方面按照国家有关规定和标准提供相应的服务,并
以醒目便捷的方式为监护人履行监护职责提供时间管理、权限管理、
消费管理等功能。网络游戏、网络直播、网络音视频、网络社交等网
络服务提供者应当采取措施,合理限制不同年龄阶段未成年人在使用
其服务中的单次消费数额和单日累计消费数额,不得向未成年人提供
与其民事行为能力不符的付费服务
45
。
(五)用户投诉处理方面
41
《中华人民共和国个人信息保护法》第二十四条第一款
42
《互联网信息服务算法推荐管理规定》第二十一条
43
《关于开展“清朗·网络平台算法典型问题治理”专项行动的通知》主要任务第四点中的部分要求
44
《中华人民共和国消费者权益保护法实施条例》第十六条
45
《未成年人网络保护条例》第四十三条、第四十四条
加强用户投诉处理,一是可以畅通维权渠道,依法保障用户获得
救济的权利;二是提高问题解决效率,规范化时限要求可防止拖延推
诿,及时制止侵权行为,同时促进服务能力的进一步提升。因此提升
用户投诉处理能力对于保障用户权益具有积极意义。现行有效的法律
法规等文件对用户投诉处理提出了具体的细化要求,包括但不限于以
下内容:
1. 投诉举报渠道:a)电信业务经营者、互联网信息服务提供者应当
建立用户投诉处理机制,公布有效的联系方式,接受与用户个人信息保
护有关的投诉
46
。b)电子商务经营者应当建立便捷、有效的投诉、举报
机制,公开投诉、举报方式等信息,及时受理并处理投诉、举报
47
。c)算法
推荐服务提供者应当设置便捷有效的用户申诉和公众投诉、举报入口,
明确处理流程和反馈时限,及时受理、处理并反馈处理结果
48
。d)生成式人
工智能服务提供者应当建立健全投诉、举报机制,设置便捷的投诉、
举报入口,公布处理流程和反馈时限,及时受理、处理公众投诉举报
并反馈处理结果
49
。
2. 投诉处理时限:a)互联网信息服务提供者自接到投诉之日起十
五日内答复投诉人
50
。b)按照规范要求答复互联网信息服务投诉平台上
的投诉,确保 15 日内处理完成,提高投诉处理满意率51。
(六)客服热线方面
46
《电信和互联网用户个人信息保护规定》第十二条中的部分要求
47
《中华人民共和国电子商务法》第五十九条
48
《互联网信息服务算法推荐管理规定》第二十二条
49
《生成式人工智能服务管理暂行办法》第十五条
50
《规范互联网信息服务市场秩序若干规定》第十四条以及《电信和互联网用户个人信息保护规定》第十二条,
此处为简述,详细表述请参见原文
51
《工业和信息化部关于进一步提升移动互联网应用服务能力的通知》第一章第十二条中部分要求
客服热线能够及时响应用户诉求、提高服务质量、提供用户投诉
渠道。现行有效的法律法规等文件对客服热线提出了具体的细化要求,
包括但不限于以下内容:
1. 客服热线的设立与公示:鼓励互联网企业建立客服热线,主要
互联网企业在网站、APP 显著位置公示客服热线电话号码,简化人工
服务转接程序
52
。
2. 客服热线的响应能力:鼓励提高客服热线响应能力,月均响应
时限最长为 30 秒,人工服务应答率超过 85%53。
3. 老年人人工直连热线保障:鼓励具备条件的企业提供充足的人
工客服坐席,向老年人提供人工直连热线服务
54
。
52
《工业和信息化部关于进一步提升移动互联网应用服务能力的通知》第一章第十一条
53
《工业和信息化部关于进一步提升移动互联网应用服务能力的通知》第一章第十一条
54
《工业和信息化部关于开展信息通信服务感知提升行动的通知》第二章服务能力“四提升”第三条中的部分要
求
三、用户权益保护合规管理体系
(一) 用户权益保护合规管理组织机制
用户权益保护合规管理组织机制作为合规管理体系运作的“中枢”,
是构建权责清晰、协同高效合规组织生态的重要基础。通过科学合理
地确定企业董事会、高级管理层、合规管理部门、业务部门的合规权
责,构建层次分明、衔接有序的组织架构,为企业合规管理筑牢稳固
的组织根基。
1. 合规管理组织架构
企业可以根据自身规模、业务特点、经营成本等实际情况,在实
现有效合规的前提下,设置用户权益保护合规管理组织架构。用户权
益保护合规管理组织架构一般由董事会(如有)或高级管理层、合规
管理牵头部门、业务部门等共同组成。鼓励企业董事会(如有)或高
级管理层设立合规委员会或由已下设的其他相关的专门委员会履行用
户权益保护合规管理相关职责。企业用户权益保护合规管理牵头部门
可以专设或由有关部门承担相应职责。业务部门需要配合用户权益保
护合规管理工作的执行以及落实合规要求。若企业符合法律法规所规
定的大型网络平台要求,则还需成立独立的外部监督机构对相关事宜
进行监督。
根据不同规模和类型企业的实际情况,用户权益保护合规管理组
织架构可以有多种模式。参考示例如下:
示例 1:某企业是大型网络平台企业,业务类型多样,提供服务
过程中涉及用户权益保护多个细分方面。该企业董事会下设的隐
私保护委员会负责用户权益保护相关工作,并按照法律要求成立
了外部监督机构对公司个人信息保护情况进行监督。相应的合规
管理部门牵头负责日常用户权益保护工作,并建立了联席会机制,
与业务、算法、客服、会员管理、公共事务等相关部门协同,统筹
管理用户权益保护日常事务,包括建立用户权益保护相关制度、开
展用户权益保护相关的风险评估及审计、进行培训宣贯等。
示例 2:某企业是小型企业,业务类型单一,提供服务过程中涉
及个人信息保护、客服热线、投诉处理等方面的用户权益保护工
作,结合公司实际情况,由客户服务部作为用户权益保护的牵头
部门,客户服务部总监作为用户权益保护合规管理负责人,负责
日常的用户权益保护合规工作。
2. 董事会或高级管理层主要职责
企业董事会(如有)或高级管理层对用户权益保护合规管理工作
承担最终责任,主要履行以下职责:
(1) 审议并批准用户权益保护合规管理相关制度,明确公司用户
权益保护目标与规划;
(2) 建立和完善用户权益保护合规管理组织架构,决定用户权益
保护合规管理牵头部门设置及负责人任免;
(3) 评估公司用户权益保护合规管理体系的有效性,实施合规考
核和奖惩;
(4) 督导重大用户权益保护合规风险事件处置;
(5) 推动和加强用户权益保护合规文化建设;
(6) 定期听取用户权益保护合规管理工作汇报,研究决定用户权
益保护重大事项;
(7) 根据自身组织架构和管理需要确定的其他职责。
3. 合规管理牵头部门主要职责
合规管理牵头部门负责具体落实用户权益保护合规管理工作,需
要设置合规管理负责人、配备合规管理员,并明确合规管理负责人和
合规管理员的岗位职责。
合规管理负责人由企业高级管理人员担任,向董事会(如有)或
高级管理层负责,主要承担以下职责:
(1) 贯彻落实公司用户权益保护的目标与规划,领导用户权益保
护合规管理牵头部门统筹推进用户权益保护合规管理工作;
(2) 搭建用户权益保护合规管理基本制度体系,制定合规管理计
划,并做好监督执行;
(3) 参与公司经营决策并提出合规意见,向董事会(如有)或高
级管理层汇报重大风险和重大事项;
(4) 协调公司内部涉及的跨部门用户权益保护合规事务;
(5) 针对发生的用户权益保护重大事件,依法配合外部监管机构
开展调查;
(6) 总结公司用户权益保护合规管理年度工作情况,并纳入公司
合规年度报告;
(7) 加强公司用户权益保护合规管理人才培养和队伍建设;
(8) 根据自身组织架构和管理需要确定的其他职责。
合规管理员接受合规管理负责人的领导及指导,主要承担以下职
责:
(1) 协助制定用户权益保护合规管理制度、流程及操作手册;
(2) 检查用户权益保护合规管理制度、合规管理计划的执行情
况,以及合规风险管控措施的落实情况;
(3) 组织职责范围内的合规风险评估,出具合规意见,并协助或
督促相关部门及时采取处置措施;
(4) 组织开展用户权益保护合规培训,接受合规咨询和举报;
(5) 落实合规管理负责人交办的合规管理任务,定期向合规管理
负责人汇报合规管理执行情况;
(6) 其他合规管理职责。
4. 业务部门主要职责
业务部门承担用户权益保护合规的第一责任,主要承担以下职责:
(1) 将用户权益保护合规要求融入业务流程;
(2) 负责本部门的用户权益保护合规初审,开展合规自查与风险
预警,及时就潜在风险向合规管理牵头部门提出合规咨询;
(3) 配合合规管理牵头部门开展风险排查、举报调查、监督检查
和问题整改;
(4) 在各自业务部门配置业务合规对接人员,与合规管理员进行
协同,保障合规要求在各自业务中充分传达及落地实施;
(5) 定期参与合规管理部门组织的合规培训,增强合规意识;
(6) 其他与用户权益保护合规管理有关的工作。
根据企业的公司结构、经营业务类型等因素,可采取灵活的合规
管理员配置方式。参考示例如下:
示例 3:某企业为大型集团公司,旗下拥有众多关联公司,且经
营业务较为多样化,涉及金融、交通、医疗等多类行业领域,不
同业务除了遵循通用政策要求外,还须遵循不同行业主管部门的
政策要求,故该集团公司不仅在集团层面设置合规管理员,负责
集团合规管理统筹工作,还在下属关联公司中针对不同行业属性
的业务设置专职的合规管理员,下属关联公司的专职合规管理员
既要掌握通用合规知识,又要熟悉细分行业领域知识,在日常工
作中一方面要及时传达和落实集团层面的合规要求,另一方面要
与业务人员协同探索落地化的合规解决方案,赋能业务发展。
示例 4:某企业的经营业务较为单一,在合规管理员设置方面,
将合规管理员集中设置在合规管理部门。合规管理员针对公司经
营业务制定用户权益保护合规操作流程和指南,定期向各业务部
门进行培训和宣贯。同时,各个业务部门设置了兼职的业务合规
对接人员,主要负责日常传达合规要求、协助合规管理员开展合
规宣贯培训、支撑开展合规风险评估及审计等工作。
(二)用户权益保护合规管理运行机制
用户权益保护合规管理运行机制作为合规管理体系运作的“脉络”,
以合规管理制度为基础,通过持续开展风险评估、风险应对、合规审
计及合规整改等,促进企业合规管理水平持续提升。贯穿事前事中事
后的合规管理运行机制可以确保用户权益保护合规要求有效落实,实
现动态的合规闭环管理。
1. 建立用户权益保护合规管理制度
鼓励企业建立用户权益保护合规管理制度。用户权益保护合规管
理制度的建立需结合企业实际情况,可考虑建立专项制度,或在原有
相关制度基础上进行补充完善以覆盖用户权益保护相关要求。鼓励建
立“方针政策、管理规定、操作细则、表单模板”四个层级的制度文件
体系,提高制度的落地性和可执行性。并持续关注和跟踪最新的法律
法规变化,定期、及时进行制度更新迭代。
APP、SDK、分发平台、智能终端等不同服务提供企业在建立用
户权益保护合规管理制度、开展具体合规管理工作时各有侧重。
APP 开发运营者开展用户权益保护合规管理工作,可重点围绕以
下内容:一是加强 APP 统筹管理,建立APP 台账,对公司各业务所属
应用进行注册登记及备案,做好源头管理。二是规范 APP 开发测试过
程,将用户权益保护相关要求嵌入到软件需求、开发、测试、部署、
运维、下线等各个环节,并协助产研人员将用户权益保护相关要求转
化成具体的设计开发方案,做好引入 SDK 的合规性评估,配合开展 APP
上线前的符合性测试验证等。三是加强与移动应用分发平台的协同配
合,合规管理人员配合产研人员完成分发平台的资质核验、上架审核、问
题整改等工作,保障APP 顺利完成上架分发。四是做好APP 上线后的
合规运营,合规管理人员及时跟进 APP 方面的最新合规要求,协助产研
人员完成 APP 的改造优化;若发现当前APP 存在严重违规问题, 立即
通知产研人员进行风险处置。
SDK 服务提供者开展用户权益保护合规管理工作,可重点围绕以下
内容:一是规范 SDK 设计、开发、发布、运营、终止运营全过程管理,
合规管理人员需协助产研人员在各环节中落实用户权益保护相关要求,
包括合法合规收集使用个人信息、为APP 开发运营者提供功能模块及
个人信息收集的配置选项等。二是加强SDK 文档管理能力,合规管理
人员需制定及公开SDK 个人信息处理规则、合规使用指南、集成接入说
明等相关文档,并做好版本管理工作。三是与 APP 加强协同, 与 APP 开
发运营者签订SDK 服务协议明确双方责任义务,上线合规专区为APP
开发者提供合规学习资源。当个人信息处理规则变更或发现风险时,及
时告知受影响的 APP 开发运营者。
应用分发服务提供者开展用户权益保护合规管理工作,可重点围
绕以下内容:一是建立应用分发管理制度,覆盖 APP 开发运营者的信息
核验、APP 上架审核、信息公示、在架巡查、信用评价、风险提示、违
规处罚等要求,为分发平台运营管理及审核人员明确工作要求。二是制
定各类管理细则,包括开发者账号管理及信息核验规则、APP 审核规则、
APP 巡检处理流程及规则、风险APP 识别规则等等,为相关审核人员提
供具体的操作规范。三是加强与APP 开发运营者、相关公
根据现有制度建立和运行情况,考虑制度之间关联关系的复杂程
度、制度的制修订及废止对现有业务运行的影响等因素,用户权
益保护合规管理制度的建立可以选择不同的实现方式。参考示例
如下:
示例 5:某企业为大中型企业,一直持续开展合规管理工作,故
前期已分别针对APP 研发管理、个人信息保护、算法管理、用户
投诉处理、会员管理等用户权益的细分方面,制定了相应的管理
制度,因此在考虑新建用户权益保护合规管理制度时,该企业合
规管理负责人采取将用户权益保护合规要求融入现有制度中的实
共服务平台的协同,上线开发者合规专区为开发者提供合规问题答疑
及培训,以及与相关公共服务平台进行风险信息共享及联合应对处置
等。此外,一般情况移动应用分发服务提供者也是 APP 开发运营者,
因此同样需要做好应用商店自身APP 的用户权益保护合规管理工作。
智能终端服务提供者开展用户权益保护合规管理工作,可重点围
绕以下内容:一是制定预置应用软件管理规范,包括明确基础功能软
件范围、卸载要求、个人信息安全处理要求等,并对终端设备开展预
置应用软件审核验证。二是明确非预置应用软件管理要求,包括提供
应用自启动及关联启动关闭管理功能、对未知来源渠道下载的应用进
行风险扫描和安装预警提示、对应用静默安装和热更新等高风险行为
进行监测处置等。三是明确终端权限管理要求,建立权限在用状态明
显提示机制、增强对权限调用行为的记录能力。
2. 开展用户权益保护合规风险评估
企业可综合开展用户权益保护合规风险评估工作,包括进行用户
权益保护合规风险识别、建立动态合规风险清单,采取周期性与触发
式相结合的方式实施具体的评估工作,如针对持续性运行、变化较小
的业务可采取周期性风险评估的方式,对照合规风险清单以季度/半年
度/年度的频率进行评估,保障运行态业务实现持续合规,满足最新的合
规要求;而针对新业务上线、原有业务进行重大变更等情形,可采取
触发式风险评估的方式,及时开展专项评估工作,保障上线前和重大
变更后符合合规要求。针对法律法规等文件中所明确提及的评估类型,
如个人信息保护影响评估、个人信息数据出境安全评估、算法推荐服
务安全评估等,企业应按照法律法规要求执行落实。
现方式,即开展现有制度内容重检、与用户权益保护相关法律法
规政策要求进行对照和差距分析,在现有制度中补充完善用户权
益保护相关要求。
示例 6:某企业为初创企业,公司合规管理工作处于起步建设阶
段,现有制度中涉及用户权益保护的相关要求较少,为全面化系
统性开展用户权益保护合规管理工作,该企业合规管理负责人采
取专门制定用户权益保护合规管理制度的方式,结合业务实际明
确相关的规定要求,建立起用户权益保护的合规管理框架。后续
再根据需要针对用户权益的各个重点合规方面制定相应的管理规
范和流程。
APP、SDK、分发平台、智能终端等不同类型的企业需对现行有
效的用户权益保护相关法律法规等文件要求进行梳理和拆解,制定符
合自身服务特点的用户权益保护合规风险清单,基于合规风险清单实
施具体的风险评估工作。例如,APP 服务提供者开展风险评估侧重
APP 是否违法违规收集使用个人信息、是否过度索取权限、是否存在
欺骗强迫误导用户的行为、是否提供个性化推荐关闭选项、是否对引
入第三 方 SDK 进行安全评估、是否规范会员服务资费展示和续费操作、
是否提供客服热线及处理用户投诉等内容;SDK 服务提供者开展风险
评估侧重SDK 自身是否违规违规收集使用个人信息、是否制定专门的
SDK 个人信息处理规则、是否为APP 提供配置选项、公示功能说明信
息等内容;应用分发服务提供者开展风险评估侧重是否对 APP 开发者
进行信息核验、是否对 APP 进行上架审核、在架巡查、信用评价和风
险提示、是否提供用户投诉渠道等内容;智能终端服务提供者开展风
险评估侧重是否对应用软件预置及运行进行管理、是否建立终端权限
管理要求等。
示例 7:某企业为精准识别和管控用户权益保护风险,其合规管
理人员全面梳理形成了用户权益保护合规风险清单,并且结合各
业务情况标识出该业务应重点关注的要求,例如移动分发业务团
队重点关注分发管理和不良应用治理相关合规要求,会员管理业
务团队重点关注服务资费续费管理相关合规要求等,为不同业务
团队提供明确、清晰的合规指引。此外,为保障所制定的用户权
3. 进行用户权益风险事件应对处置
企业应针对发生或可能发生的侵害用户权益相关事件及时采取有
效的应对处置措施,确保快速有效地控制、减轻和消除事件造成的危
害或者影响。故企业需要提前制定应对预案,根据不同的事件等级,
明确对应的处理流程、配合人员、具体操作步骤、响应时效、向上汇
报、事后复盘等内容,并开展定期演练,以保障事件实际突发时应对
处置工作的有序开展。针对法律法规等文件中所明确提及的应急响应
类型,如个人信息安全事件应急响应等,企业应按照法律法规要求执
行落实。
针对不同类型的风险事件,企业需要提前制定针对性处置方案。
例如,对于个人信息泄露事件,企业可根据受影响的个人信息数量规
模确定不同的响应等级,明晰公司个人信息保护负责人及法律、系统
运维、安全、客服、公共事务等相关人员在应急处置工作中的职责划
分,明确具备操作性的安全技术补救措施,如切断网络连接、封堵攻
击源、数据备份恢复、日志分析取证等,并按照相关规定通知履行个
人信息保护职责的部门和个人等。对于用户投诉事件,企业可根据用
户投诉事件类型和紧迫程度制定不同的处理流程,如为一线客服人员
制定不同类型投诉事件的回复话术模板,并明确不同类型投诉事件的
益保护合规风险清单具备时效性,该企业合规管理负责人每年组
织重检更新,并积极参与行业会议、研讨交流,获取最新的合规
资讯信息,在外部环境或监管要求发生重大变化时及时调整。
处理责任部门,客服人员及时进行投诉处理工单的指派,再由处理责
任部门开展事件调查、分析原因并给出处理答复等,通过明确清晰的
事件处理分工和步骤,以保障在规定时间内完成用户投诉处理,避免
投诉事件负面影响进一步扩散。
示例 8:某企业为履行法律义务及有效提升自身个人安全事件应
对能力,规范化开展个人信息安全事件应急响应工作。首先成立
明确了公司信息安全与隐私委员会作为个人信息安全事件应急管
理的最高领导机构,对应急响应过程中的重要事项进行决策,信
息安全部与数据合规部共同作为应急响应的主责部门,与其他相
关部门共同执行应急响应工作;其次制定应急预案,明确不同等
级事件的操作步骤、责任人、详细操作内容及相关人员联系方式,
此外还提前制定了个人信息安全事件报告模板、通知个人用户的短
信/邮件/站内消息模板等以备紧急使用;最后定期开展应急演练和
培训,在每年年初制定应急演练计划,考虑过去一年事件发生的
频率、应急人员对事件处置流程的熟悉程度、应急资源满足等情
况,合理确定本年度的演练次数及培训次数,保障个人信息安全
事件应急响应工作的实施效果。
4. 开展用户权益保护合规审计
企业可定期开展用户权益保护合规审计,形成审计报告,提出整
改建议,跟踪整改落实,形成合规管理闭环。用户权益保护合规审计
内容可以包括企业遵守用户权益保护相关规定的情况,以及企业内部
用户权益保护合规管理的组织、制度、操作流程、系统及技术保护措
施的有效性等。鼓励企业在社会责任报告中主动向公众披露用户权益
保护合规审计的开展情况,提升用户信任水平。针对法律法规等文件
中所明确提及的审计类型,如个人信息保护合规审计、未成年人个人
信息保护合规审计等,企业应按照法律法规要求执行落实。
在实际开展合规审计工作过程中,企业遵循科学合理的路径以保
障审计的实施效果。一是设计定制化审计方案,APP、SDK、分发平台、
智能终端等不同类型企业在具体的合规审计内容方面会有所不同,需
要根据自身所提供的服务特点和所须遵循的合规要求,形成定制化的
用户权益保护合规审计方案,提升合规审计的针对性。二是规范审计
实施程序方法,企业需要在充分了解涉及用户权益相关的业务活动、
流程、环节及相关控制措施之后,综合利用控制测试和实质性测试两
种方式识别存在的合规风险和问题。三是精准定性审计发现问题,企
业需要针对审计发现问题导致或可能导致的影响及风险进行客观准确
评价。四是促进管理提升完善合规体系,深入研究审计问题背后在制
度、管理、执行方面的原因,针对问题成因提出有效的整改和管理提
升建议,促进企业不断完善内部管理机制,形成合规管理闭环。
5. 进行用户权益保护合规整改
企业应建立合规整改机制,针对用户权益保护合规自查、风险评
估、合规审计、监管检查等过程中发现的问题,制定整改计划,明确
责任部门与完成时限。
在合规整改阶段,合规管理人员应协助业务、产研等相关人员研
示例 9:某企业是大型集团,具备众多分子公司,为提升全集团
层面的合规管理水平,该集团绘制了全集团级的风险及整改地图,
对集团层面及分子公司在合规评估、审计中发现的问题进行汇总,
形成可视化风险定位及整改跟进地图,并汇聚分析各种问题背后的
深层次原因,如分析某类问题集中发生在某一区域是否存在关联
性,以及分析某类问题频繁重复发生是否是由于此前的整改措施并
未解决核心症结等,挖掘根因后进一步优化现有的合规整改措施,
从而提高集团公司整体的合规水位和合规管理能力。
究制定整改方案,如通过同业实践调研、并结合公司实际情况选择适
合的合规落地解决方案。同时还应及时跟踪整改方案的执行及完成情
况,在整改完成后进行效果评估,确保问题得到闭环处理。建议合规
管理人员对公司各个分子公司或业务团队在合规自查、风险评估、合
规审计、监管检查等过程中发现的问题及整改措施进行分类汇总,以
全面的视角分析当前的合规要求落实情况,挖掘出现违规问题的根因,
迭代优化合规整改举措,提升公司整体的合规水平和合规管理能力。
(三)用户权益保护合规管理保障机制
用户权益保护合规管理保障机制作为合规管理体系运作的“基石”,
通过加强合规履职保障、营造合规文化、明确合规考核奖惩、提升合
规数智化建设等方式,构建多维赋能体系,提升企业合规管理韧性,
为用户权益保护合规管理注入持久生命力。
1. 提升合规管理履职能力
企业董事会(如有)或高级管理层宜为开展用户权益保护合规管
理工作提供必要的履职支持和保障。一是为合规管理部门配备充足的、
与履行用户权益保护合规管理职责相适配的合规管理人员,选派具备专
业胜任力的人员担任合规管理负责人和合规管理员岗位。二是赋予合规
管理相关部门和人员根据履职需要,参加或者列席有关会议,查阅访问
有关文件、数据或系统,以及提出否定意见的权利。
2. 组织用户权益保护合规培训
企业宜建立常态化合规培训机制,将用户权益保护纳入新员工入
职培训、管理人员晋升培训以及全员年度培训等。可结合高级管理层、合
规管理人员、业务部门等不同岗位的工作需求开展针对性培训。合规培
训可以通过内部培训、专家讲座、专题研讨、网络课程等多种形式进行。
鼓励企业建立合规培训台账,结合用户权益保护相关要求及时更新培训
内容,定期评估培训效果。
3. 建立合规管理考核奖惩机制
鼓励企业建立合规考核机制,将用户权益保护合规履行及合规管
理纳入相关部门及员工绩效考核体系,建议采取有利于合规独立性的
示例 10:某企业重视合规文化建设,通过合规培训宣贯大力促进
员工合规意识增强,并且不断优化自身的培训体系,知识普及培
训和个性化专题培训并行,包括发布日常合规洞察及宣传文案、
法律法规宣贯解读、高风险和高频咨询业务研讨答疑等等,潜移
默化地宣贯用户权益保护合规知识、培养合规意识。
示例 11:某企业为提升应用上架的审核效率和准确率,自主搭建
了应用审核管理平台,基于该平台实现了从开发上传应用、自动
化检测、人工审核、上架通过的应用审核流程的信息化管理。在
自动化检测环节,该平台集成了常用的APP 检测工具和技术,审
核人员在平台上可直接开展APP 自动化检测,检测结果直接上传
到平台上,同时标记出需要人工复核的项目,提醒审核人员进行
复测。同时,该平台内置了涵盖应用基础信息、APP 备案、特殊
考核方式,并针对合规管理工作的执行情况设置合理的考核指标。 鼓
励企业建立合规奖惩机制,强化考核结果运用,将合规职责履
行情况作为员工考核、人员任用、评优评先等工作的重要依据,例如
对合规履行及合规管理成效显著的部门及个人,予以奖励;对积极参
加合规管理领域标准研究、行业自律等活动并贡献专业力量的员工予
以支持和表彰;对触犯用户权益保护相关规定的违规行为,依法依规
追究责任。
4. 加强合规管理数智化建设
企业宜加强合规管理信息化建设,结合实际将合规制度、流程管
控、典型案例、合规培训、违规行为记录等内容线上化、信息化,定
期梳理业务流程,查找合规风险点,运用信息化手段将合规要求和防
控措施嵌入流程,提高合规管理效率。并鼓励探索利用大数据、人工
智能等技术,加强对重点领域、关键节点的持续监测和预警等。
行业资质、广告合规、内容合规等多方面的审核项目和规则,审
核人员通过平台直接填写审核结果,实现了整个审核工作全过程
留痕记录。同时,质检人员基于平台上已审上架/更新的应用进行
抽测审核,并且将质检结果与自动化检测结果进行对比,反向促
进检测质量优化。通过该平台企业开展应用审核的效率和质量得
到了大幅提升。
示例 12:某企业合规管理部门在日常工作中会开展数据安全风险
评估、个人信息保护影响评估、数据跨境安全自评估、重要数据
风险评估等多项评估工作,并需要撰写对应的评估报告。为提升
评估工作的效率,该企业利用大模型的自然语言处理能力和智能
体技术,将各类评估要求自动解析为评估检查项清单,然后将被
评估对象反馈的文本、图片等材料与评估检查项要求进行对比分
析,形成初步的评估结论,并支持合规管理人员进行人工复核,
最后自动输出评估报告,通过大模型技术的应用在一定程度上提
升合规管理人员的评估效率。
四、附则
(一)指南的效力
本指南不具备强制性,鼓励企业予以参考和采用,并结合自身实
际情况进行适当调整。
(二)指南所参考的法律法规等文件
本指南第二章所列示的合规要求来源于以下现行有效的法律、行
政法规、部门规章、规范性文件及其他文件。若本指南与法律法规等
文件描述存在不一致之处,以最新的法律法规等文件为准。此外,涉
及特定业务领域的企业可进一步参考各业务领域对应的行业主管部门
所发布的细化要求。
1. 法律
序号 文件名称 发文机关
1 《中华人民共和国个人信息保护法》 全国人民代表大会
常务委员会
2 《中华人民共和国未成年人保护法》 全国人民代表大会
常务委员会
3 《中华人民共和国消费者权益保护法》 全国人民代表大会
常务委员会
4 《中华人民共和国电子商务法》 全国人民代表大会
常务委员会
2. 行政法规
序号 文件名称 发文机关及字号
1 《网络数据安全管理条例》 中华人民共和国国务院令
第 790 号
2 《未成年人网络保护条例》 中华人民共和国国务院令
第 766 号
3 《中华人民共和国消费者
权益保护法实施条例》
中华人民共和国国务院令
第 778 号
3. 部门规章
序号 文件名称 发文机关及字号
1 《电信和互联网用户个人信
息保护规定》
工业和信息化部令
第 24 号
2 《规范互联网信息服务市场
秩序若干规定》
工业和信息化部令
第 20 号
国家互联网信息办公室
中华人民共和国工业和信息化部
《互联网信息服务算法推荐
3 中华人民共和国公安部
管理规定》
国家市场监督管理总局
令 第 9 号
国家互联网信息办公室
《互联网信息服务深度合成 中华人民共和国工业和信息化部
4
管理规定》 中华人民共和国公安部
令 第 12 号
5
《生成式人工智能服务管理
暂行办法》
国家互联网信息办公室
中华人民共和国国家发展和改革
委员会
中华人民共和国教育部
中华人民共和国科学技术部
中华人民共和国工业和信息化部
中华人民共和国公安部
国家广播电视总局
令 第 15 号
6
《人脸识别技术应用安全管
理办法》
国家互联网信息办公室
中华人民共和国公安部
令 第 19 号
7 《促进和规范数据跨境流动
规定》
国家互联网信息办公室令
第 16 号
8 《个人信息出境标准合同办
法》
国家互联网信息办公室令
第 13 号
9 《数据出境安全评估办法》 国家互联网信息办公室令
第 11 号
10 《网络交易监督管理办法》 国家市场监督管理总局令
第 101 号修正
11 《网络反不正当竞争暂行规
定》
国家市场监督管理总局令
第 91 号
4. 规范性文件
序号 文件名称 发文机关及字号
1 《人工智能生成合成内容标识办法》 国信办
通字〔2025〕2 号
2 《工业和信息化部关于进一步提升
移动互联网应用服务能力的通知》
工信部
信管函〔2023〕26 号
3
《工业和信息化部 国家互联网信息
办公室关于进一步规范移动智能终
端应用软件预置行为的通告》
工信部
联信管函〔2022〕269 号
4 《工业和信息化部关于开展信息通
信服务感知提升行动的通知》
工信部
信管函〔2021〕292 号
5
《工业和信息化部关于开展纵深推
进 APP 侵害用户权益专项整治行动
的通知》
工信部
信管函〔2020〕164 号
6 《工业和信息化部关于开展APP 侵
害用户权益专项整治工作的通知》
工信部
信管函〔2019〕337 号
5. 其他文件
序号 文件名称 发文机关
1
《App 违法违规收集使用个
人信息行为认定方法》
国家互联网信息办公室秘书局
工业和信息化部办公厅
公安部办公厅
国家市场监督管理总局办公厅
中央网络安全和信息化委员会办
《关于开展“清朗·网络平 公室秘书局
2 台算法典型问题治理”专项 工业和信息化部办公厅
行动的通知》 公安部办公厅
国家市场监督管理总局办公厅
