App提供服务需要调取用户哪些信息?现在有规范可依了。
8月8日,全国信息安全标准化技术委员会发布关于开展国家标准《信息安全技术移动互联网应用(App)收集个人信息基本规范(草案)》征求意见工作的通知。
通知称,为落实《网络安全法》对个人信息保护的相关要求,加快相应标准化工作,全国信息安全标准化技术委员会秘书处组织起草了《信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)》,现面向社会公开征求意见。
全国信息安全标准化技术委员会章程显示,全国信息安全标准化技术委员会由国家标准化管理委员会领导,业务上受中央网络安全和信息化领导小组办公室指导。全国信息安全标准化技术委员会的印章由国家标准化管理委员会颁发。
《信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)》显示,该标准明确了移动互联网应用收集个人信息时应满足的基本要求,用以规范移动互联网应用运营者收集个人信息的行为。
草案先明确了几个重要的定义,比如最少信息 least(minimum) information ,指保障某一服务类型正常运行所必需的个人信息,包括与服务类型直接相关,一旦缺少将导致该类型服务无法实现或无法正常运行的个人信息,以及法律法规等规范性文件要求必须 收集的个人信息。
以及最小权限范围 least(minimum) permission range ,即保障某一服务类型正常运行所必需的最少系统权限。
依照管理要求, 当用户同意App收集某服务类型的最少信息时,App不得因用户拒绝提供最少信息之外的个人信息而拒绝提供该类型服务。对外共享、转让个人信息前,App 应事先征得用户明示同意。当用户不同意, 则不得对外共享、转让用户个人信息。
在《草案》的附录中,规定了地图导航、网络约车、即时通讯、博客论坛、网络支付、新闻资讯、网上购物等 21 种常用服务类型可收集的最少信息。
以网约车为例,网约车类最少信息分为两种,一是法律法规要求的个人信息,包括手机号码、用户发布的信息内容、身份认证信息、订单日志、上网日志、行驶轨迹日志、交易信心;二是实现服务所需的个人信息,包括账号信息和位置信息和第三方支付方式。
《草案》附录还针对 Android 6.0 及以上的危险权限,给出了服务类型的最小权限范围,如下所示:
a) 地图导航:位置权限、存储权限。
b) 网络约车:位置权限、拨打电话权限。
c) 即时通讯:存储权限。
d) 博客论坛:存储权限。
e) 网络支付:存储权限。
f) 新闻资讯:无。
g) 网上购物:无。
h) 短视频:存储权限。
i) 快递配送:无。
j) 餐饮外卖:位置权限、拨打电话权限。
k) 交通票务:无。
l) 婚恋相亲:存储权限。
m) 求职招聘:存储权限。
n) 金融借贷:存储权限。
o) 房屋租售:存储权限。
p) 二手车交易:存储权限。
q) 运动健身:位置权限、传感器权限。
r) 问诊挂号:存储权限。
s) 浏览器:无。
t) 输入法:无。
u) 安全管理:存储权限、获取应用账户、读取电话状态权限、短信权限。
《草案》称,App收集个人信息应满足以下管理要求:
a) App 运营者应履行个人信息保护义务,采取必要安全措施,保障用户个人信息安全。
b) 当用户同意App收集某服务类型的最少信息时,App不得因用户拒绝提供最少信息之外的个人信息而拒绝提供该类型服务。
c) App 不得收集与所提供的服务无关的个人信息。
d) 对外共享、转让个人信息前,App 应事先征得用户明示同意。当用户不同意, 则不得对外共享、转让用户个人信息。
e) App 不得收集不可变更的设备唯一标识(如 IMEI 号、MAC 地址等),用于保障网络安全或运营安全的除外。
f) 用户明确拒绝使用某服务类型后,App 不得频繁(如每 48 小时超过一次)征求用户同意使用该类型服务,并保证其他服务类型正常使用。
g) App 应对其使用的第三方代码、插件的个人信息收集行为负责。第三方代码、插件收集个人信息视同 App 收集,App 应防止第三方代码、插件收集无关的个人信息。 注:如第三方代码、插件自行向用户明示其收集、使用个人信息的目的、方式、范围,并征得用户同意,则第三方代码、插件独立对其个人信息收集行为承担责任。
《草案》称,App收集个人信息应满足以下技术要求:
a) 当收集的个人信息超出服务类型的最少信息时,超出部分的个人信息,App 应逐项征得用户明示同意。
b) 当同一App有2种或2种以上服务类型时,App应允许用户逐项开启和退出服务类型,开启或退出的方式应易于操作。
c) 当用户退出某服务类型后,App 应终止该服务类型收集个人信息的活动,并对仅用于该服务的个人信息进行删除或匿名化处理。
d) 当申请个人信息相关权限或要求用户输入个人信息时,App应向用户同步明示申请权限或收集信息的目的。
e) App应向用户提供实时查询已收集个人信息类型的功能;查询结果应以独立界面展示,且查询方式应易于操作。
f) 存在对外共享、转让个人信息的,App应向用户提供查询数据接收方身份的功能;查询结果应以独立界面展示,且查询方式应易于操作。
g) 在技术可行且不影响终端和服务正常的情况下,App 应优先在用户终端中存储、使用所收集的个人信息。
h) App 应以实现服务所必需的最低合理频率向后台服务器发送个人信息。
关键词:
