导读
NEWS
2022年4月24日,国家市场监督管理总局、国家标准化管理委员会发布公告,正式发布《信息安全技术移动互联网应用程序(App)收集个人信息基本要求(GB/T41391-2022)》(以下简称“《基本要求》”)、《信息安全技术网络数据处理安全要求(GB/T41479-2022)》、《信息安全技术信息安全风险评估方法(GB/T20984-2022)》等十项国家标准。
根据国家标准化管理委员会声明,相关标准文本将在《国家标准批准发布公告》发布后20个工作日内,于“国家标准全文公开系统”公开。
日前,《基本要求》牵头编制单位中国电子技术标准化研究院公布了《基本要求》的最新文本。我们结合该文本,对《基本要求》的重点内容进行了梳理。
《信息安全技术移动互联网应用程序(App)收集个人信息基本要求(GB/T41391-2022)》
一、适用范围与内容概览
《基本要求》适用于所有App的个人信息收集活动。App包括移动智能终端预置、下载安装的应用程序和小程序,其中,小程序指基于应用程序开放接口实现的,用户无需安装即可使用的移动互联网应用程序。
《基本要求》分为正文与附录两大部分。
1.正文
含“范围”“规范性引用文件”“术语和定义”“缩略语”“App功能划分”“App收集个人信息基本要求”六部分。
其中,“App收集个人信息基本要求”部分将App收集个人信息的要求细化为7个主要方面。
2.附录
两个规范性附录
1)附录A“常见服务类型App必要个人信息范围及其使用要求”:
明确39种常见类型App必要个人信息范围和使用要求,常见服务类型App的基本业务功能、必要个人信息范围与《常见类型移动互联网应用程序必要个人信息范围规定》保持一致。
2)附录C“特定类型个人信息收集要求”:
提出12种特定类型个人信息的收集要求,含日历信息、应用程序列表、短信信息、通话记录信息、通讯录信息、位置信息、生物识别信息、录音及拍摄录像信息、相册信息、存储文件信息等。
四个资料性附录
1)附录B“关于App、业务功能、必要个人信息等概念的说明”:
明确App的业务功能可分为基本业务功能(实现用户主要使用目的的功能)和扩展业务功能,App基本业务功能所必须的个人信息为必要个人信息。
2)附录D“可收集个人信息权限范围”:
梳理了30个安卓和15个iOS的可收集个人信息的权限,及其功能、可访问的个人信息、对应的业务功能示例。
3)附录E“与常见服务类型相关程度较低的安卓系统权限”:
梳理了39种常见类型App与30个安卓系统权限之间的常见关联度。
4)附录F“常见不可变更的唯一设备识别码”:
对IMEI\IMSI\MEID\SN\MAC地址\ICCID等常见不可变更的唯一设备识别码进行列举,并加以说明。
二、重点:App收集个人信息基本要求
《基本要求》明确判断App收集个人信息是否符合基本要求的前提为明确划分App的基本业务功能与扩展业务功能:
基本业务功能:实现用户主要使用目的的业务;
扩展业务功能:基本业务功能之外的功能,包括仅为实现改善服务质量、提升使用体验、定向推送信息、研发新产品目的的业务功能,外部第三方或关联公司提供的业务功能。此外,如基本业务功能有多种可选的实现方式,对用户个人权益影响更大的实现方式应划分为扩展业务功能。
明确App业务功能划分后,App收集个人信息应满足7个主要方面要求。
1、遵循最小必要原则
满足《信息安全技术个人信息安全规范(GB/T35273-2020)》中5.1、5.2的要求。
具有明确、合理、具体的个人信息处理目的。
限于实现处理目的所必要的最小范围(含类型、频率、数量、精度等)。
结合个人信息的敏感程度,采取对个人权益影响最小的方式收集。
与处理目的直接相关。
仅在用户使用业务功能期间(用户触发或切换至该功能页面至主动关闭、退出时),收集该业务所需的个人信息。
2、必要个人信息收集规则
必要个人信息为保障移动互联网应用程序
基本业务功能正常运行所必须的个人信息,缺少该信息移动互联网应用程序即无法实现基本业务功能。
要求用户必须提供的个人信息不应超出必要个人信息范围。
确保无须收集用户个人信息即可提供App基本业务功能时,用户在不提供个人信息的情况下可正常使用App基本业务功能。
3、特定类型个人信息收集规则
满足《基本要求》附录C的要求。
4、充分告知与有效同意
满足拆分App必要个人信息和非必要个人信息的同意等9项基本通用要求。
针对敏感个人信息告知同意,满足告知用户收集使用的明确具体、通俗易懂目的,取得单独同意等特殊要求。
未成年人个人信息处理规则的重点6项内容,包括处理未成年人个人信息的必要性及对未成年人个人权益的影响等。
App提供多种服务类型时,满足按照服务类型制定个人信息保护政策、分别获得用户同意等4项要求。
用户拒绝或撤回同意时,App应满足不频繁索权等3项要求。
5、系统权限管理
App申请可收集个人信息权限,应满足限于实现App服务目的最小范围的系统权限等6项要求。
App使用可收集个人信息权限,应满足申请使用设备管理器、辅助功能、监听通知栏、悬浮窗权限时具备明确业务功能需求,并向用户详细说明申请目的,取得用户单独同意等7项要求。
6、第三方收集管理
第三方:移动互联网应用程序运营者之外的其他法人实体,
包括关联公司,但
不包括与App运营者属于同一企业集团,遵守同一套管理制度、统一进行安全和运维管理的实体。
第三方应用:第三方提供,通过移动互联网应用程序面向用户提供服务的应用程序,提供形式
包括SDK、小程序、Web页面等,
若SDK没有直接向用户提供服务,则不属于《基本要求》所称的第三方应用。
对接入App的可收集个人信息的第三方应用进行安全管理,满足提醒用户关注第三方应用个人信息处理规则等4项要求。
对嵌入App的可收集个人信息的第三方SDK进行安全管理,满足向用户告知嵌入SDK名称、SDK收集的个人信息种类、使用目的及申请的系统权限、申请目的,并取得用户同意等7项要求。
7、其他要求
满足定向推送信息和用户画像场景采用唯一设备识别码标识用户时,应使用可变更的唯一设备识别码,且不应将其与用户身份信息或不可变更的唯一设备识别码关联等7项其他要求。
三、App个人信息收集合规可参考的其他规范
本次发布的《基本要求》为国家推荐性标准。除《基本要求》外,如下规范也对App收集个人信息提出了合规要求。
强制性规范:如《常见类型移动互联网应用程序必要个人信息范围规定》《App违法违规收集使用个人信息行为认定方法》《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》等。
推荐性规范:如《信息安全技术个人信息安全规范(GB/T35273-2020)》《移动互联网应用程序(App)收集使用个人信息自评估指南》《移动互联网应用程序(App)系统权限申请使用指南》《移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》《APP用户权益保护测评规范》等。
















































《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》发布
作者:TMT法律论坛来源:TMT法律论坛

导读 NEWS 2022年4月24日,国家市场监督管理总局、国家标准化管理委员会发布公告,正式发布《信息安全技术移动互联网应用程序(App)收集个人信息基本要求(GB/T41391-2022)》(以下