8月8日,全国信息安全标准化技术委员会发布关于开展国家标准《信息安全技术移动互联网应用(App)收集个人信息基本规范(草案)》征求意见工作的通知。
通知称,为落实《网络安全法》对个人信息保护的相关要求,加快相应标准化工作,全国信息安全标准化技术委员会秘书处组织起草了《信息安全技术移动互联网应用(App)收集个人信息基本规范(草案)》,现面向社会公开征求意见。
《信息安全技术移动互联网应用(App)收集个人信息基本规范(草案)》显示,该标准明确了移动互联网应用收集个人信息时应满足的基本要求,用以规范移动互联网应用运营者收集个人信息的行为。
草案先明确了几个重要的定义,比如最少信息least(minimum)information,指保障某一服务类型正常运行所必需的个人信息,包括与服务类型直接相关,一旦缺少将导致该类型服务无法实现或无法正常运行的个人信息,以及法律法规等规范性文件要求必须收集的个人信息。以及最小权限范围least(minimum)permission range,即保障某一服务类型正常运行所必需的最少系统权限。
依照管理要求,当用户同意App收集某服务类型的最少信息时,App不得因用户拒绝提供最少信息之外的个人信息而拒绝提供该类型服务。对外共享、转让个人信息前,App应事先征得用户明示同意。当用户不同意,则不得对外共享、转让用户个人信息。
在《草案》的附录中,规定了地图导航、网络约车、即时通讯、博客论坛、网络支付、新闻资讯、网上购物等21种常用服务类型可收集的最少信息。
以网约车为例,网约车类最少信息分为两种,一是法律法规要求的个人信息,包括手机号码、用户发布的信息内容、身份认证信息、订单日志、上网日志、行驶轨迹日志、交易信心;二是实现服务所需的个人信息,包括账号信息和位置信息和第三方支付方式。
《草案》称,App收集个人信息应满足以下管理要求:
a)App运营者应履行个人信息保护义务,采取必要安全措施,保障用户个人信息安全。
b)当用户同意App收集某服务类型的最少信息时,App不得因用户拒绝提供最少信息之外的个人信息而拒绝提供该类型服务。
c)App不得收集与所提供的服务无关的个人信息。
d)对外共享、转让个人信息前,App应事先征得用户明示同意。当用户不同意,则不得对外共享、转让用户个人信息。
e)App不得收集不可变更的设备唯一标识(如IMEI号、MAC地址等),用于保障网络安全或运营安全的除外。
f)用户明确拒绝使用某服务类型后,App不得频繁(如每48小时超过一次)征求用户同意使用该类型服务,并保证其他服务类型正常使用。
g)App应对其使用的第三方代码、插件的个人信息收集行为负责。第三方代码、插件收集个人信息视同App收集,App应防止第三方代码、插件收集无关的个人信息。注:如第三方代码、插件自行向用户明示其收集、使用个人信息的目的、方式、范围,并征得用户同意,则第三方代码、插件独立对其个人信息收集行为承担责任。
《草案》称,App收集个人信息应满足以下技术要求:
a)当收集的个人信息超出服务类型的最少信息时,超出部分的个人信息,App应逐项征得用户明示同意。
b)当同一App有2种或2种以上服务类型时,App应允许用户逐项开启和退出服务类型,开启或退出的方式应易于操作。
c)当用户退出某服务类型后,App应终止该服务类型收集个人信息的活动,并对仅用于该服务的个人信息进行删除或匿名化处理。
d)当申请个人信息相关权限或要求用户输入个人信息时,App应向用户同步明示申请权限或收集信息的目的。
e)App应向用户提供实时查询已收集个人信息类型的功能;查询结果应以独立界面展示,且查询方式应易于操作。
f)存在对外共享、转让个人信息的,App应向用户提供查询数据接收方身份的功能;查询结果应以独立界面展示,且查询方式应易于操作。
g)在技术可行且不影响终端和服务正常的情况下,App应优先在用户终端中存储、使用所收集的个人信息。
h)App应以实现服务所必需的最低合理频率向后台服务器发送个人信息。(本文来源于网络)
2019-08-06 2889
2019-03-21 1725
2023-04-10 405
2021-05-03 1004
2018-07-18 1414
2020-02-17 1347