《移动互联网应用程序(APP)收集个人信息基本要求》(GB/T 41391-2022)

 

为贯彻落实《中华人民共和国个人信息保护法》《常见类型移动互联网应用程序必要个人信息范围规定》《App违法违规收集使用个人信息行为认定方法》等有关要求,针对App违法违规收集使用个人信息的突出问题,结合当前移动互联网技术和应用现状,国家市场监督总局、国家标准化管理委员会于2022年4月15日正式发布《信息安全技术移动互联网应用程序(App)收集个人信息基本要求(GB/T 41391-2022)》(以下简称“《基本要求》”),该标准将于2022年11月1日正式实施。

适用范围

《基本要求》实施对象为App,包括移动智能终端预置App、下载安装的App和小程序。其中,“小程序”是指基于应用程序开放接口实现的,用户无需安装即可使用的移动互联网应用程序。

核心概念

《基本要求》中主要覆盖以下三个核心概念:

 

 

服务类型

包括App类型、其他服务类型。其中,App类型为实现用户最主要使用目的的一种服务类型,常见服务类型如地图导航、网络约车、即时通信、网上购物等。

 

业务功能

包括基本业务功能、扩展业务功能。其中,基本业务功能是App实现用户根本使用需求的业务功能,基本业务功能之外的其他业务功能属于扩展业务功能。

 

必要个人信息

依据App收集的必要性可分为必要个人信息、非必要但有关联个人信息。其中必要个人信息是保障App基本业务功能正常运行所必需的个人信息,缺少该信息App即无法实现基本业务功能;非必要但有关联个人信息包括App基本业务功能可选收集的个人信息,以及扩展业务功能收集的个人信息。

同时,《基本要求》还规定了“无关个人信息”——与App所提供服务目的无直接关联的个人信息,并指出App不应收集、也不应向用户征求同意收集无关个人信息。

 

App、业务功能与必要个人信息之间的关系

主要内容

《基本要求》规定了39类常见类型App必要个人信息范围以及12种特定类型个人信息的使用要求,整体要求涵盖以下7个方面:

 

最小必要收集

《基本要求》规定的个人信息收集原则包括:目的明确、最小范围、最小影响、直接相关、时机恰当、必要个人信息。

 

必要个人信息

《基本要求》给出了确定“必要个人信息”的方法,即当App类型属于39类常见服务类型时,应按照App对应服务类型确定必要个人信息范围;当App类型不属于附录A中的常见服务类型时,依据业务功能划分App的基本业务功能和扩展业务功能,再将保障App基本业务功能正常运行所必需的个人信息确定为必要个人信息。

 

 

确定App基本业务功能与必要个人信息的流程

 

特定类型个人信息

《基本要求》还规定了如下所述特定类型个人信息的收集要求,包括:日历信息、应用程序列表、设备信息、短信信息、通话记录信息、通讯录信息、位置信息、生物识别信息、传感器信息、录音及拍摄录像信息、存储文件信息,相册信息等。

告知同意

《基本要求》指出在满足GB/T35273-2020要求的基础上,告知同意还应包括:明确告知、显著区分、选择开启、拆分同意、不强制退出、不频繁打扰、不影响基本业务功能、已收集个人信息查询等。同时,还针对敏感个人信息、多种服务类型App个人信息收集的告知同意以及用户拒绝或撤回同意提出了具体要求。

系统权限申请使用

《基本要求》对App申请收集个人信息权限提出了不强制、可关闭、申请时机、申请方式、最少所需、调用时机与读取频率、不捆绑、用户知情等方面的要求,还明确App通过权限获得的个人信息和能力,不应在未经用户同意的情况下提供给App接入的第三方应用或嵌入的第三方SDK使用。

第三方管理

《基本要求》明确了App对接入的第三方应用、嵌入的第三方SDK的安全管理要求,包括:处理规则、保护责任、协助响应、审核监督、告知同意、授权管理、不私自截留、嵌入SDK前评估、SDK热更新等。

其他要求

 

此外,《基本要求》还规定了定向推送和用户画像、剪切板、公共存储区、静默状态与后台运行、自启动与关联启动等行为场景的个人信息收集要求,要求不得欺骗误导、敏感信息应予以显著提示、设计开发阶段应同步规划建设个人信息保护措施等。

标准应用

《基本要求》适用于支撑主管监管部门开展App个人信息安全治理、指导第三方机构进行App个人信息安全测评和认证,也适用于App运营者规范其个人信息收集活动,建立个人信息保护合规体系,防范违法违规处理个人信息风险,落实个人信息保护法规政策的有关要求等。