移动互联网应用服务用户权益保护合规管理指南（2025年）

中国互联网协会中国信息通信研究院2025年7月 目录 一、总则.................................................1 （一）目的............................................1（二）适用范围........................................1（三）基本概念........................................1 二、用户权益保护重点合规方面..............................3 （一）服务提供方面....................................3（二）个人信息保护方面................................6（三）算法推荐方面....................................9（四）服务收费方面...................................11（五）用户投诉处理方面...............................13（六）客服热线方面...................................14 三、用户权益保护合规管理体系.............................16 （一）用户权益保护合规管理组织机制...................16（二）用户权益保护合规管理运行机制...................21（三）用户权益保护合规管理保障机制...................29 四、附则.................................................33 一、总则 （一）目的 为支持和引导企业建立健全移动互联网应用服务用户权益保护合规管理体系，明晰用户权益保护合规要求，增强用户权益保护合规风险识别和处置能力，提升用户信任水平，促进持续健康发展，制定本指南。 （二）适用范围 面向个人用户提供移动互联网应用服务（服务载体包括但不限于含小程序、快应用、互联网用户公众账号在内的APP，SDK，分发平台，智能终端等）的企业开展用户权益保护合规管理工作，适用于本指南。 （三）基本概念 本指南所称移动互联网应用服务用户权益保护合规，是指企业在面向个人用户提供移动互联网应用服务的过程中，确保其经营管理行为及其员工履职行为符合用户权益保护相关法律、行政法规、部门规章和规范性文件等（以下统称“用户权益保护相关规定”），以及企业为落实上述要求而制定的内部规范。 本指南所称移动互联网应用服务用户权益保护合规风险，是指企业及其员工因违反用户权益保护相关规定，引发法律责任、大规模用户投诉或大范围负面舆情，为用户造成一定程度财产或声誉损失，以及其他负面影响的可能性。 本指南所称移动互联网应用服务用户权益保护合规管理，是指企 业以预防和降低移动互联网应用服务用户权益保护合规风险为目的，以经营管理行为和员工履职行为为对象，开展包括建立组织架构、制定管理制度、完善运行机制、增强保障机制等有组织、有计划、全流程的管理活动。 二、用户权益保护重点合规方面 数字经济时代，用户权益保护是综合性、多元化的范畴，全面性、系统性提升用户权益保护水平，对于提升广大用户在数字消费服务中的获得感、幸福感、安全感，以及促进数字服务市场的创新和繁荣具有重要意义。本指南根据当前的用户权益保护相关规定1将移动互联网应用服务用户权益保护合规归纳总结为六大重点方面，包括服务提供、个人信息保护、算法推荐、服务收费、用户投诉处理、客户热线服务，并梳理了各方面所须遵循的现行有效的合规要求，为移动互联网应用服务提供者开展用户权益保护合规管理工作提供参考。 （一）服务提供方面 在移动互联网服务提供过程中，要保障用户知情权、自主选择权、公平交易权等合法权益，不得有欺骗、误导、强迫用户的行为，这对于营造公平、透明、安全的消费服务环境，以及促进市场的健康发展具有重要意义。现行有效的用户权益保护相关规定对相关行为进行了清晰界定，并提出了具体的细化要求，包括但不限于以下内容： 1.应用预置、分发：a)移动智能终端应用软件预置行为应遵循依法合规、用户至上、安全便捷、最小必要的原则，依据谁预置、谁负责的要求，落实企业主体责任，尊重并依法维护用户知情权、选择权，保障用户合法权益2。b)从事应用商店等移动应用分发平台服务的互联网信息服务提供者，以及在移动智能终端中预置了移动应用分发平台 的生产企业对所提供的应用软件负有管理责任3。c)加强对APP的动态巡查，确保公示信息真实准确。对与公示信息不一致，或对与公示信息不一致，或采用“热更新、热切换”等方式擅自更改APP主要功能、申请的权限、个人信息收集使用的场景和范围等违规APP，应当停止提供服务4。 2.应用下载、安装、使用和卸载：a)向用户推荐下载APP应遵循公开、透明原则，真实、准确、完整地明示开发运营者、产品功能、隐私政策、权限列表等必要信息，并同步提供明显的取消选项，经用户确认同意后方可下载安装，切实保障用户知情权、选择权。不得通过“偷梁换柱”“强制捆绑”“静默下载”等方式欺骗误导用户下载安装5。b)在用户浏览页面内容时，未经用户同意或主动选择，不得自动或强制下载APP，或以折叠显示、主动弹窗、频繁提示等方式强迫用户下载、打开APP，影响用户正常浏览信息。无正当理由，不得将下载APP与阅读网页内容相绑定6。c)开屏和弹窗信息窗口提供清晰有效的关闭按钮，保证用户可以便捷关闭；不得频繁弹窗干扰用户正常使用，或利用“全屏热力图”、高灵敏度“摇一摇”等易造成误触发的方式诱导用户操作7。d)除基本功能软件外，APP应当可便捷卸载，不得以空白名称、透明图标、后台隐藏等方式恶意阻挠用户卸载8。 3.发送商业信息：网络交易经营者未经消费者同意或者请求，不 得向其发送商业性信息。网络交易经营者发送商业性信息时，应当明示其真实身份和联系方式，并向消费者提供显著、简便、免费的拒绝继续接收的方式。消费者明确表示拒绝的，应当立即停止发送，不得更换名义后再次发送9。 4.商业宣传：a)经营者应当采用通俗易懂的方式，真实、全面地向消费者提供商品或者服务相关信息，不得通过虚构经营者资质、资格或者所获荣誉，虚构商品或者服务交易信息、经营数据，篡改、编造、隐匿用户评价等方式，进行虚假或者引人误解的宣传，欺骗、误导消费者10。b)网络交易经营者不得以下列方式，作虚假或者引人误解的商业宣传，欺骗、误导消费者：虚构交易、编造用户评价；采用误导性展示等方式，将好评前置、差评后置，或者不显著区分不同商品或者服务的评价等；采用谎称现货、虚构预订、虚假抢购等方式进行虚假营销；虚构点击量、关注度等流量数据，以及虚构点赞、打赏等交易互动数据11。 5.搭售商品或服务：网络交易经营者以直接捆绑或者提供多种可选项方式向消费者搭售商品或者服务的，应当以显著方式提醒消费者注意。提供多种可选项方式的，不得将搭售商品或者服务的任何选项设定为消费者默认同意，不得将消费者以往交易中选择的选项在后续独立交易中设定为消费者默认选择12。 6.人工智能生成合成：a)深度合成服务提供者提供深度合成服 务，可能导致公众混淆或者误认的，应当在生成或者编辑的信息内容的合理位置、区域进行显著标识，向公众提示深度合成情况13。b)服务提供者应当在用户服务协议中明确说明生成合成内容标识的方法、样式等规范内容，并提示用户仔细阅读并理解相关的标识管理要求14。 7.反网络不正当竞争：a)经营者不得利用互联网、大数据、算法等技术手段，通过影响用户选择或者其他方式，实施流量劫持、干扰、恶意不兼容等行为，妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行。前款所称的影响用户选择，包括违背用户意愿和选择权、增加操作复杂性、破坏使用连贯性等15。b)经营者不得利用技术手段，通过下列方式，实施妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为：违背用户意愿下载、安装、运行应用程序；无正当理由，对其他经营者合法提供的网络产品或者服务实施拦截、拖延审查、下架，以及其他干扰下载、安装、运行、更新、传播等行为；对相关设备运行非必需的应用程序不提供卸载功能或者对应用程序卸载设置不合理障碍16。 （二）个人信息保护方面 个人信息权益是用户权益的重要组成，现行有效的法律法规等文件对个人信息保护提出了具体的细化要求，包括但不限于以下内容： 1.个人信息处理规则 （1）通用个人信息处理规则：处理个人信息应当遵循合法、正 当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息；处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式；收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息；处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围17。 （2）特殊个人信息处理规则 未成年人个人信息处理规则：a)信息处理者通过网络处理未成年人个人信息的，应当遵循合法、正当和必要的原则。处理不满十四周岁未成年人个人信息的，应当征得未成年人的父母或者其他监护人同意，但法律、行政法规另有规定的除外18。b)个人信息处理者处理不满十四周岁未成年人个人信息的，应当制定专门的个人信息处理规则19。 人脸个人信息处理规则：a)基于个人同意处理人脸信息的，应当取得个人在充分知情的前提下自愿、明确作出的单独同意。法律、行政法规规定处理人脸信息应当取得个人书面同意的，从其规定20。b)实现相同目的或者达到同等业务要求，存在其他非人脸识别技术方式的，不得将人脸识别技术作为唯一验证方式。个人不同意通过人脸信息进行身份验证的，应当提供其他合理、便捷的方式21。 生成式人工智能服务个人信息处理规则：生成式人工智能服务提 供者对使用者的输入信息和使用记录应当依法履行保护义务，不得收集非必要个人信息，不得非法留存能够识别使用者身份的输入信息和使用记录，不得非法向他人提供使用者的输入信息和使用记录22。 2.保障个人主体权利：个人在个人信息处理活动中依法具备知情权、决定权、查阅复制权、更正补充权、删除权、请求转移权、要求解释权、作为近亲属代死者行权等主体权利，并可以向个人信息处理者提出行权申请。个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的，应当说明理由。个人信息处理者拒绝个人行使权利的请求的，个人可以依法向人民法院提起诉讼23。 3.履行个人信息处理者义务：个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取相应措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失。处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人。按照法律规定要求开展个人信息保护影响评估、合规审计。提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者应当履行其相应义务24。 4.个人信息跨境提供规则：个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：依 照本法第四十条的规定通过国家网信部门组织的安全评估；按照国家网信部门的规定经专业机构进行个人信息保护认证；按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；法律、行政法规或者国家网信部门规定的其他条件25。 （三）算法推荐方面 加强算法推荐管理，一方面有助于保障用户的知情决定和公平交易权，使用户在资源获取、服务享受等方面可以自主选择和公平交易，不受不合理的算法偏差影响，避免算法歧视发生；另一方面有助于提升用户获取信息和服务的效率，避免用户被大量低质量、无关或重复的信息所困扰，从而提升用户体验。现行有效