日前,全国信息安全标准化技术委员会发布了《信息安全技术移动互联网应用(App)收集个人信息基本规范(草案)》(以下简称为“《规范》”),并面向社会公开征求意见。这也意味着,App收集个人信息有了“国标”。
《规范》提出了最少信息和最小权限范围的概念,并明确了App收集个人信息的基本要求(管理要求和技术要求)。
最少信息:保障某一服务类型正常运行所必需的个人信息,包括与服务类型直接相关,一旦缺少将导致该类型服务无法实现或无法正常运行的个人信息,以及法律法规等规范性文件要求必须收集的个人信息。
最小权限范围:保障某一服务类型正常运行所必需的最少系统权限。
管理要求
•当用户同意App收集某服务类型的最少信息时,App不得因用户拒绝提供最少信息之外的个人信息而拒绝提供该类型服务。(注:附录还列举了App常见的服务类型以及服务类型对应的最少信息。)
•App不得收集与所提供的服务无关的个人信息。
•对外共享、转让个人信息前,App应事先征得用户明示同意。当用户不同意,则不得对外共享、转让用户个人信息。
•App不得收集不可变更的设备唯一标识(如IMEI号、MAC地址等),用于保障网络安全或运营安全的除外。
•用户明确拒绝使用某服务类型后,App不得频繁(如每48小时超过一次)征求用户同意使用该类型服务,并保证其他服务类型正常使用。
•App应对其使用的第三方代码、插件的个人信息收集行为负责。第三方代码、插件收集个人信息视同App收集,App应防止第三方代码、插件收集无关的个人信息。
注:如第三方代码、插件自行向用户明示其收集、使用个人信息的目的、方式、范围,并征得用户同意,则第三方代码、插件独立对其个人信息收集行为承担责任。
技术要求(App收集个人信息应满足以下技术要求)
•当收集的个人信息超出服务类型的最少信息时,超出部分的个人信息,App 应逐项 征得用户明示同意。
•当同一App有2种或2种以上服务类型时,App应允许用户逐项开启和退出服务类型,开启或退出的方式应易于操作。
•当用户退出某服务类型后,App应终止该服务类型收集个人信息的活动,并对仅用于该服务的个人信息进行删除或匿名化处理。
•当申请个人信息相关权限或要求用户输入个人信息时,App应向用户同步明示申请权限或收集信息的目的。
•App应向用户提供实时查询已收集个人信息类型的功能;查询结果应以独立界面展示,且查询方式应易于操作。
•存在对外共享、转让个人信息的,App 应向用户提供查询数据接收方身份的功能; 查询结果应以独立界面展示,且查询方式应易于操作。
•在技术可行且不影响终端和服务正常的情况下,App 应优先在用户终端中存储、使用所收集的个人信息。
•App 应以实现服务所必需的最低合理频率向后台服务器发送个人信息。
