Information security technology—Basic requirements for collecting personal information in mobile internet applications
1 Scope
This document specifies the basic requirements for the collection of personal information by Apps, the necessary personal information scope and use requirements of Apps of common service types.
This document is applicable to the regulation of personal information collection activities by App operators, as well as the supervision, management and evaluation of personal information collection activities of Apps by regulatory authorities and third-party evaluation agencies.
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
GB/T 25069 Information security techniques—Terminology
GB/T 35273-2020 Information security technology—Personal information security specification
3 Terms and definitions
For the purposes of this document, the terms and definitions given in GB/T 25069, GB/T 35273-2020 and the following apply.
3.1
mobile internet application
applications running on smart mobile terminal
Note: Including applications and mini programs, referred to as App for short, that are preset, downloaded and installed on smart mobile terminals.
3.2
mobile internet application operator
owner, manager or provider of mobile internet application
Note: App operator for short.
3.3
mini program
a mobile internet application based on the application open interface, which may be used by users without installation.
Note: By exposing its application programming interface (API) or function, an application enables an external program to add functions on the application or use its resources without changing the source code of the application.
3.4
business function
any function that meets the specific purpose of users
Note: The business functions of App can be divided into basic business functions and extended business functions.
[Source: GB/T 35273-2020, 3.17, modified]
3.5
service type
classification of business functions provided by mobile internet applications
Note: See Annex A for common service types such as map navigation, online car hailing, instant communication, online shopping, online payment, etc.
3.6
basic business function
the business functions of mobile internet application serving the main purposes of users
3.7
extended business function
business functions other than the basic business functions provided by mobile internet application
3.8
necessary personal information
personal information necessary to ensure the normal operation of basic business functions of mobile internet application, without which, mobile internet application cannot perform basic business functions
Note 1: See B.1 in Annex B for the relationship among App, basic business function and necessary personal information.
Note 2: The scope of personal information that can be collected by App is divided into necessary personal information and non-necessary but relevant personal information. Non-necessary but relevant personal information refers to personal information related to the services provided by the App but whose collection is optional, see B.2.
3.9
user
personal information subject using mobile internet application
Note: Users usually include consumer-side users and service-supply-side users. Consumer-side users are individual consumers who use App services, while service-supply-side users are users who provide services through Apps. For example, consumer-side users of online car hailing Apps are passengers and service-supply-side users are drivers.
3.10
system permission to access personal information
system permission of operating system of smart mobile terminal which is open to the mobile internet application and with the function of collecting personal information
Note: System permission or permission for short.
3.11
unique device identifier
a code that uniquely identifies the smart mobile terminal
Note 1: It is also known as UDID, and can be divided into changeable unique device identifiers and unchangeable unique device identifiers.
Note 2: Changeable unique device identifier refers to the unique device identifier that can be reset and changed, or be used to turn off tracking by the user. Unchangeable unique device identifier refers to the hardware identifier that remains unchanged regardless of device factory reset, safe uninstallation of application or other user operations.
3.12
targeted push
based on the personal information such as the network browsing history, interests, purchasing records and habits, the information content, search results of goods or services, recommendations of products or services, news, advertisements, etc. may be displayed and provided to the personal information subject through algorithm
Note: It is also known as personalized presentation or personalized recommendation.
[Source: GB/T 35273-2020, 3.16, modified]
3.13
user profiling
process of personal characteristic model formation through analyzing or predicting the personal characteristics of a particular natural person, such as occupation, economy, health, education, personal preference, credit and behavior, on the basis of collecting, gathering, and analyzing personal information
[Source: GB/T 35273-2020, 3.8, modified]
3.14
software development kit
software library assisting in software development
Note: A software development kit usually includes a collection of related binaries, documents, examples and tools.
3.15
third-party software development kit
software development kits provided by legal entities other than mobile internet application operators
3.16
system permission request
the process by which a mobile internet application claims to the operating system of smart mobile terminal and requests authorization from user to obtain permission to access data or functions
3.17
third-party application
an application provided by a legal entity other than the mobile internet application operator that provides services to users through the mobile internet application
Note 1: The forms of third-party applications provided usually include SDK, mini programs, Web pages, etc. If SDK does not provide services directly to users, it is not a third-party application defined in this document.
Note 2: If an application provider is a legal entity different from the App operator but belongs to the same enterprise group as the App operator and complies with the same set of management system, conducting unified security and operation and maintenance management, such application is not a third-party application of the App operator. Affiliates are usually the third parties of App operators.
4 Abbreviations
For the purposes of this document, the following abbreviations apply.
API: Application Programming Interface
GPS: Global Positioning System
ICCID: Integrate Circuit Card Identity
IMEI: International Mobile Equipment Identity
IMSI: International Mobile Subscriber Identity
MAC: Media Access Control
MEID: Mobile Equipment Identifier
SDK: Software Development Kit
SN: Serial Number
WAP: Wireless Application Protocol
WEB: World Wide Web
5 App function division
The requirement for an App to collect personal information is closely related to its functions. The basic business functions and extended business functions of Apps shall be clearly divided according to the following requirements:
a) It shall be clear that the service type of the business function that realizes the main purpose of the user is the type of the App;
b) If the type of App is the common service type given in Annex A, the basic business function of the App shall be classified based on the corresponding service type in Annex A;
Note 1: Annex A provides the basic business functions and necessary personal information scope of Apps of common service types and the use requirements for necessary personal information in accordance with the Provisions on necessary personal information scope of common types of mobile internet applications. The basic business functions and necessary personal information scope of Apps of common service types in Annex A of this document are consistent with the Provisions on necessary personal information scope of common types of mobile internet applications.
c) If the type of App is not the common service type given in Annex A, the business functions that realize the main purpose of users shall be classified as the basic business functions of App, and the business functions other than the basic business functions provided by App shall be classified as extended business functions;
Note 2: If App provides various types of services, service types other than App types are called "other service types", and business functions of other service types are extended business functions. For example, the map navigation Apps also provide online shopping and online car-hailing services, so the business functions of online shopping and online car-hailing services are all extended business functions.
d) Business functions only for the purpose of improving service quality, enhancing user experience and targeted pushing of information and new product development shall be classified as extended business functions;
e) Business functions provided by external third parties or affiliates shall be classified as extended business functions, except for the basic business functions of Apps of common service types given in Annex A;
f) If there are multiple optional methods for implementing the basic business functions, the implementation methods that have a greater impact on users' personal rights and interests shall be classified as extended business functions.
Note 3: If new implementation methods of basic business functions appear due to technological development, and collect personal information more sensitive than that of the traditional methods and have a greater impact on personal rights and interests, they can be classified as extended business functions, which are usually used as optional alternatives and supplements for basic business functions. For example, new identification methods based on the development of biometric identification technology (such as face recognition, voiceprint recognition, fingerprint recognition, etc.) collect biometric information instead of passwords, which has a greater impact on personal rights and interests.
Foreword i
Introduction ii
1 Scope
2 Normative references
3 Terms and definitions
4 Abbreviations
5 App function division
6 Basic requirements for App to collect personal information
6.1 Minimum necessary collection
6.2 Necessary personal information
6.3 Specific types of personal information
6.4 Informed consent
6.5 System permission
6.6 Third party access management
6.7 Other requirements
Annex A (Nominative)
A.1 Map navigation Apps
A.2 Online car hailing Apps
A.3 Instant communication Apps
A.4 Online community Apps
A.5 Online payment Apps
A.6 Online shopping Apps
A.7 Food delivery Apps
A.8 Express mail delivery Apps
A.9 Transportation ticketing Apps
A.10 Online dating Apps
A.11 Recruitment Apps
Annex B (Informative) Explanation of concepts such as App, business functions and necessary personal information
Annex C (Nominative) Collection requirements for specific types of personal information
Annex D (Informative) Scope of system permission to access personal information
Annex E (Informative) Android system permissions of low relevance to common service types
Annex F (Informative) Common unchangeable unique device identifiers
信息安全技术 移动互联网应用程序(App)
收集个人信息基本要求
1 范围
本文件规定了App收集个人信息的基本要求,给出了常见服务类型App必要个人信息范围和使用要求。
本文件适用于App运营者规范其个人信息收集活动,也适用于监管部门、第三方评估机构等对App个人信息收集活动进行监督、管理和评估。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069 信息安全技术 术语
GB/T 35273-2020信息安全技术 个人信息安全规范
3 术语和定义
GB/T 25069、GB/T 35273-2020界定的以及下列术语和定义适用于本文件。
3.1
移动互联网应用程序 mobile internet application
运行在移动智能终端上的应用程序。
注:包括移动智能终端预置、下载安装的应用程序和小程序,简称App。
3.2
移动互联|网应用程序运营者 mobile internet application operator
移动互联网应用程序的所有者、管理者或提供者。
注:简称App运营者。
3.3
小程序 mini program
基于应用程序开放接口实现的,用户无需安装即可使用的移动互联网应用程序。
注:应用程序通过公开其应用程序编程接口(API)或函数,使外部的程序可以增加该应用程序的功能或使用该应用程序的资源,而不需要更改该应用程序的源代码。
3.4
业务功能 business function
满足用户具体使用目的的功能。
注:App的业务功能,可分为基本业务功能和扩展业务功能。
[来源:GB/T 35273-2020,3.17,有修改]
3.5
服务类型 service type
移动互联网应用程序提供的业务功能分类。
注:常见服务类型如地图导航、网络约车、即时通信、网上购物、网络支付等,见附录A。
3.6
基本业务功能 basic business function
移动互联网应用程序实现用户主要使用目的的业务功能。
3.7
扩展业务功能 extended business function
移动互联网应用程序所提供的基本业务功能之外的其他业务功能。
3.8
必要个人信息 necessary personal information
保障移动互联网应用程序基本业务功能正常运行所必需的个人信息,缺少该信息移动互联网应用程序即无法实现基本业务功能。
注1:App、基本业务功能、必要个人信息之间的关系,见附录B中B.1。
注2:App可收集的个人信息范围,分为必要个人信息非必要但有关联个人信息。非必要但有关联个人信息是指与App所提供服务相关但可选收集的个人信息,见B.2。
3.9
用户 user
使用移动互联网应用程序的个人信息主体。
注:用户通常包括消费侧用户和服务供给侧用户,消费侧用户是使用App服务的个人消费者,服务供给侧用户是通过App提供服务的用户,例如网络约车类App的消费侧用户是乘客,服务供给侧用户是驾驶员。
3.10
可收集个人信息权限 system permission to access personal information
移动智能终端操作系统向移动互联网应用程序开放的,具有收集个人信息功能的系统权限。
注:简称系统权限或权限。
3.11
唯一设备识别码 unique device identifier
可唯一标识移动智能终端的编码。
注1:也称设备唯一标识符,可分为可变更的唯一设备识别码和不可变更的唯一设备识别码。
注2:可变更的唯一设备识别码,是指用户可重置、变更或关闭追踪的唯一设备识别码。不可变更的唯一设备识别码,是指不因设备恢复出厂设置、应用安全卸载或用户操作而改变的硬件标识符。
3.12
定向推送 targeted push
基于某一个人信息主体的网络浏览历史、兴趣爱好、消费记录和习惯等个人信息,利用算法向该个人信息主体展示信息内容、提供商品或服务的搜索结果、推荐产品或服务、推送新闻信息、广告营销等活动。
注:也称为个性化展示或个性化推荐。
[来源:GB/T 35273-2020,3.16,有修改]
3.13
用户画像 user profiling
通过收集、汇聚、分析个人信息,对某一自然人个人特征,如职业、经济、健康、教育、个人喜好、信用、行为等方面进行分析或预测,形成其个人特征模型的过程。
[来源:GB/T 35273-2020,3.8,有修改]
3.14
软件开发工具包 software development kit
协助软件开发的软件库。
注:软件开发工具包通常包括相关二进制文件、文档、范例和工具的集合。
3.15
第三方软件开发工具包 third-party software development kit
由移动互联网应用程序运营者之外的其他法人实体提供的软件开发工具包。
3.16
权限申请 system permission request
移动互联网应用程序向移动智能终端操作系统声明,并向用户请求授权,以获得访问数据或功能的许可的过程。
3.17
第三方应用 third-party application
由移动互联网应用程序运营者之外的其他法人实体提供,通过移动互联网应用程序面向用户提供服务的应用程序。
注1:第三方应用提供的形式,通常包括SDK、小程序、Web页面等。如果SDK没有直接向用户提供服务,则不属于本文件所称的第三方应用。
注2:虽与App运营者属于不同法人实体,但与App运营者属于同一企业集团,且遵守同一套管理制度、统一进行安全和运维管理的,不属于App运营者的第三方。关联公司通常属于App运营者的第三方。
4 缩略语
下列缩略语适用于本文件。
API:应用程序编程接口(Application Programming Interface)
GPS:全球定位系统(Global Positioning System)
ICCID:集成电路卡识别码(Integrate Circuit Card Identity)
IMEI:国际移动设备识别码(International Mobile Equipment Identity)
IMSI:国际移动用户识别码(International Mobile Subscriber Identity)
MAC:媒体访问控制(Media Access Control)
MEID:移动设备识别码(Mobile Equipment Identifier)
SDK:软件开发工具包(Software Development Kit)
SN:设备序列号(Serial Number)
WAP:无线应用协议(Wireless Application Protocol)
Web:全球广域网(World Wide Web)
5 App功能划分
App收集个人信息要求与其功能密切相关,应首先按照以下要求明确划分App的基本业务功能和扩展业务功能:
a) 应明确实现用户主要使用目的的业务功能所属的服务类型为该App的类型;
b) 当App类型属于附录A给出的常见服务类型时,应按照附录A中所对应的服务类型划分App的基本业务功能;
注1:附录A按照《常见类型移动互联网应用程序必要个人信息范围规定》,给出了常见服务类型App的基本业务功能和必要个人信息范围,以及必要个人信息的使用要求。其中,常见服务类型App的基本业务功能、必要个人信息范围,均与《常见类型移动互联网应用程序必要个人信息范围规定》保持一致。
c) 当App类型不属于附录A给出的常见服务类型时,应将实现用户主要使用目的的业务功能划分为App的基本业务功能,将App提供的基本业务功能之外的业务功能划分为扩展业务功能;
注2:如App提供多种类型服务,App类型之外的服务类型称为“其他服务类型”,其他服务类型的业务功能属于扩展业务功能。例如地图导航类App还提供网上购物、网络约车类服务,则网上购物、网络约车服务的业务功能均属于扩展业务功能。
d) 仅为实现改善服务质量、提升使用体验、定向推送信息研发新产品等目的的业务功能,应划分为扩展业务功能;
e) 外部第三方或关联公司提供的业务功能应划分为扩展业务功能,附录A给出的常见服务类型App的基本业务功能除外;
f) 如基本业务功能有多种可选的实现方式,对用户个人权益影响更大的实现方式应划分为扩展业务功能。
注3:基本业务功能因技术发展而出现的新实现方式,如果新方式相较传统方式收集更为敏感的个人信息、对个人权益影响更大的,可视为扩展业务功能,通常作为基本业务功能的可选替代、补充使用。例如因生物特征识别技术发展出现的身份鉴别新方式(例如人脸识别、声纹识别、指纹识别等),收集生物识别信息替代口令,对个人权益影响更大。
6 App收集个人信息基本要求
6.1 最小必要收集
App收集个人信息应在满足GB/T 35273-2020中5.1、5.2要求的基础上,遵守以下要求:
a) 收集的个人信息应具有明确、合理、具体的个人信息处理目的;
b) 收集的个人信息应限于实现处理目的所必要的最小范围;
注1:范围通常涉及收集个人信息的类型、频率、数量、精度等。
c) 应采取对个人权益影响最小的方式收集个人信息;
注2:个人权益影响通常与个人信息的敏感程度相关,个人信息越敏感其处理活动对个人权益影响越大,权益影响评价见GB/T 39335-2020。
注3:当收集一般个人信息或敏感个人信息均能满足App服务目的时,收集一般个人信息属于对个人权益影响较小的方式。
d) 收集的个人信息应与处理目的直接相关;
e) 应仅在用户使用业务功能期间,收集该业务功能所需的个人信息。
注4:用户使用业务功能期间,通常是从用户点击触发该业务功能或切换到业务功能页面开始,用户在前台操作业务功能或业务功能在后台提供必要服务,到业务功能目的完成或用户主动关闭、退出该业务功能时结束。
6.2 必要个人信息
App应确定必要个人信息范围,满足以下要求:
a) 当App类型属于附录A给出的常见服务类型时,应按照附录A中所对应的服务类型确定App的必要个人信息范围,必要个人信息的使用应符合附录A要求;
注:附录A的必要个人信息范围,主要指消费侧用户个人信息,不包括服务供给侧用户个人信息。
b) 当App类型不属于附录A给出的常见服务类型时,应先按照第5章划分基本业务功能和扩展业务功能,再将保障App基本业务功能正常运行所必需的个人信息确定为必要个人信息;
c) 要求用户必须提供的个人信息不应超出必要个人信息范围;
d) 当无须收集用户个人信息即可提供App基本业务功能时,应确保用户在不提供个人信息的情况下可正常使用App基本业务功能。
6.3 特定类型个人信息
App收集特定类型个人信息,应满足附录C的要求。
6.4 告知同意
6.4.1 通用要求
App收集个人信息应在满足GB/T 35273-2020中5.3、5.4、5.5要求的基础上,还应满足以下告知同意要求:
a) 应采用显著方式(如弹窗、图文、动画等)向用户告知个人信息保护政策的核心内容(如所提供的基本业务功能、必要个人信息等),提示用户阅读个人信息保护政策,并取得用户明示同意;
b) 应向用户明示App基本业务功能、扩展业务功能和必要个人信息范围,并显著区分必要和非必要个人信息;
注1:本文件所称“非必要个人信息”是指“非必要但有关联个人信息”,见附录B。
c) 应拆分App的必要个人信息和非必要个人信息的同意;
d) 当用户同意收集 App必要个人信息时,应保障用户可拒绝或撤回同意收集非必要个人信息,且不应因用户拒绝或撤回同意提供非必要个人信息,而拒绝用户使用该App的基本业务功能;
注2:例如提供“退出”“上一步”“关闭”“取消”的按钮等方式供用户拒绝个人信息收集。
e) 扩展业务功能应由用户自主选择开启,如用户拒绝使用.关闭或退出扩展业务功能,不应影响用户使用基本业务功能;
注3:用户自主作出的开启动作属于自主选择开启,如主动点击、勾选、填写等。
不应通过捆绑不同类型服务、捆绑基本业务功能和扩展业务功能、批量申请授权等方式,诱导、强迫用户一次性同意个人信息收集请求;
g) 因法律法规规定收集个人信息,应明示依据的法律法规具体规定,并仅用于法律法规所规定的用途;
h) 应向用户提供已收集其个人信息类型的查询方法,查询宜通过App独立界面等方式展示;
i) 对于以间接获取方式收集的个人信息,宜向用户提供个人信息获取来源的查询方法。
6.4.2 敏感个人信息告知同意
App收集敏感个人信息,应满足以下告知同意要求。
a) 收集生物识别宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息时,应同步告知用户收集使用目的,目的描述应明确具体、通俗易懂,并取得用户单独同意。
b) 收集不满14周岁未成年人个人信息,应制定专门的个人信息处理规则,内容应包括但不限于:
1) App运营者的名称或者姓名和联系方式;
2) 未成年人个人信息的处理目的、处理方式;
3) 处理的未成年人个人信息种类、保存期限;
4) 用户行使个人信息权利的方式和程序;
5) 处理未成年人个人信息的必要性;
6) 对未成年人个人权益的影响。
c) 收集不满14周岁未成年人个人信息,应取得未成年人的父母或者其他监护人的单独同意。
6.4.3 多种服务类型告知同意
当App提供多种类型服务时,App收集个人信息应满足以下告知同意要求。
a) 应按照服务 类型制定个人信息保护政策,明示各类服务处理个人信息的目的、方式、范围等。
注1:各类服务的个人信息保护政策,可以是各类服务制定单独的个人信息保护政策,也可以是按照服务类型汇总的个人信息收集使用规则。
b) 应按照服务类型分别向用户申请处理个人信息的同意。
c) App类型之外的其他服务类型,宜由用户自主选择启用。当用户首次使用时,宜采用增强式告知方式明示该服务类型的个人信息处理规则,并取得用户明示同意。
注2:增强式告知通常用于帮助用户理解特定个人信息处理规则,采用专门页面或单独步骤等用户不易绕过的方式向用户告知,具体可参照个人信息告知同意相关标准。
d) 如App提供的其他服务类型属于附录A给出的常见服务类型,其他服务类型应按照附录A确定相应类型的基本业务功能和必要个人信息范围,同时满足6.4.1d)和e)的要求。
6.4.4 用户拒绝或撤回同意
当用户拒绝或撤回App个人信息收集、权限申请或业务功能使用的同意时,App应满足以下要求。
a) 不应强制退出或者关闭App。
b) 不应拒绝提供App基本业务功能或影响其他无关的业务功能使用,除非用户拒绝同意App必要个人信息或基本业务功能。
c) 不应频繁申请授权干扰用户正常使用,除非由用户主动触发业务功能,且没有该个人信息或权限参与此业务功能无法实现。“频繁”的形式包括但不限于:
1) 单个场景在用户拒绝授权后,48h内弹窗提示用户打开权限的次数超过1次;
2) 每当用户重新打开App或使用无关的业务功能时,都会再次向用户索要授权或提示用户缺少相关授权。
6.5 系统权限
6.5.1 权限申请
App申请可收集个人信息权限,应满足以下要求:
a) 应仅声明和申请实现App服务目的最小范围的系统权限,不应申请与App业务功能无关的系统权限;
注1:声明,是指在应用程序清单文件(如安卓的AndroidManifest. xml文件、iOS的Info. plist等)中向操作系统说明所需的系统权限。
注2:可收集个人信息权限范围见附录D,表D.1及表D.2的“可访问的个人信息”给出了通过权限可能访问的个人信息范围,表D.1的“业务功能示例”给出了需要申请权限的业务功能示例。
注3:附录E给出了与常见服务类型相关程度较低的安卓系统权限。
b) 在用户未使用相关业务功能时,不应提前申请与当前业务功能无关的权限;
c) 申请权限时应同步告知用户权限申请目的,目的应明确具体且易于理解,不包含任何欺诈、诱骗、误导用户授权的描述;
d) 不应以捆绑方式要求用户一次性同意打开多个系统权限;
注4:安卓App的目标API等级低于23(targetSdk Version<23)属于捆绑授权的常见情形。
e) 如操作系统支持,申请相机、位置、麦克风等可收集个人信息权限应向用户提供单次授权的选项;
f) 如用户拒绝或撤回同意系统权限授权,宜为用户提供无需系统权限亦可实现业务功能的替代解决方案。
注5:替代解决方案,例如当用户拒绝位置权限,仍可以通过自主输入地址的方式使用相关服务。
6.5.2 权限使用
App使用可收集个人信息权限,应满足以下要求。
a) 未经用户同意,不应更改用户的系统权限和业务功能设置。
注1:私自更改情形,例如在App更新升级后,未经用户同意将用户设置的可收集个人信息权限恢复到默认状态,或打开用户已关闭的可收集个人信息的业务功能。
b) 权限申请授权后收集个人信息的频率应在实现App业务功能所必需的最低合理频度范围内。
c) 权限申请授权后应仅访问满足业务功能需要的最少个人信息,且当实现相关功能不需要回传个人信息则不应回传至后台服务器。
注2:例如读取通讯录时,若实现相关业务功能仅需读取特定联系人则不应读取所有联系人。
d) 如权限的使用目的、使用场景发生变化,应重新告知用户并取得同意。
e) App通过权限获得的个人信息和能力,不应在未经用户同意的情况下提供给App接入的第三方应用或嵌入的第三方SDK使用。
f) 以下操作应由用户主动触发,且应在用户知情的情况下执行:
1) 执行拨打电话.发送短信等操作;
2) 打开或关闭蓝牙、定位、无线局域网,以及获取无线局域网内其他设备的信息等;
3) 拍摄、录音、截屏、录屏等;
4) 读写用户短信、联系人、相册等个人信息。
g) 申请使用设备管理器、辅助功能、监听通知栏、悬浮窗权限等权限,应具有明确的业务功能需求,向用户详细说明申请目的,并取得用户单独同意。
注3:设备管理器.辅助功能、监听通知栏、悬浮窗权限等权限,涉及设备、系统、其他App的安全和用户体验,一旦被恶意App获取可能侵犯用户隐私或设备安全,通常只有少数App在特定场景下申请,申请此类权限通常需要提供单独管理界面详细说明申请目的,并适当增加障碍设计避免用户误操作。
6.6 第三方收集管理
6.6.1 App接入第三方应用
App接入可收集个人信息的第三方应用,应对第三方应用收集个人信息进行安全管理,满足以下要求。
a) 第三方应用接入管理应符合GB/T 35273-2020中9.7的要求。
b) 应与第三方应用明确双方的个人信息处理规则和保护责任,包括:
1) 第三方应用收集个人信息的目的、方式、范围;
2) 第三方应用申请的系统权限和申请目的;
3) App提供给第三方应用的个人信息种类、保存期限、停止接入后的个人信息处理方式;
4) 双方的个人信息安全责任和保护措施;
5) 第三方应用协助App响应用户个人信息权利请求的措施。
c) 应为用户提供第三方应用授权管理的功能或渠道,确保用户可便捷地关闭或撤回对第三方应用可收集个人信息权限的授权,以及向第三方应用提供个人信息的授权,第三方应用提供该App基本业务功能的除外。
d) 应提醒用户关注第三方应用的个人信息处理规则,未经用户同意不应私自截留用户仅同意向第三方应用提供的个人信息。
注:例如信息查询类App,在用户仅同意向第三方应用提供相关个人信息时,App未经用户同意截留用户个人信息并上传至其后台服务器的行为属于私自截留个人信息。
6.6.2 App嵌入第三方SDK
App嵌入可收集个人信息的第三方SDK,应对第三方SDK收集个人信息进行安全管理,满足以下要求。
a) 应仅嵌入满足App业务功能需要的最少数量的SDK,App向第三方SDK提供的个人信息应限于实现处理目的所必要的最小范围。
b) 应在嵌入第三方SDK前,对SDK是否存在违法违规收集使用个人信息行为、个人信息出境行为进行评估。
c) 应与第三方SDK明确双方的个人信息处理规则和保护责任,包括:
1) SDK收集个人信息的目的、方式、范围;
2) SDK申请的系统权限和申请目的;
3) SDK收集个人信息的保存期限停止嵌入后的个人信息处理方式;
4) 个人信息安全责任和保护措施;
5) SDK是否存在热更新机制;
6) SDK是否存在自启动、关联启动;
7) SDK收集个人信息是否涉及向境外提供;
8) SDK协助App响应用户个人信息权利请求的措施。
d) 应向用户告知嵌入的第三方SDK名称、SDK收集的个人信息种类、使用目的及申请的系统权限、申请目的等,并取得用户同意。
e) 应对SDK申请使用权限进行审核,确保其申请的权限具有明确、合理的使用目的,并监督SDK的个人信息收集行为是否超出约定或用户同意的范围。
f) 如第三方SDK存在热更新机制,App应要求SDK:
1) 在热更新推送前向App运营者告知本次热更新的具体内容及可能造成的影响;
2) 如热更新内容涉及个人信息处理目的、方式和范围的变更,应通过邮件、电话等逐一送达方式告知App运营者。
g) 停止使用某SDK时,应及时从代码中移除该SDK的相关代码。
6.7 其他要求
App收集个人信息还应满足以下要求:
a) 定向推送信息和用户画像场景采用唯一设备识别码标识用户时,应使用可变更的唯一设备识别码,且不应将其与用户身份信息或不可变更的唯一设备识别码关联;
注1:常见不可变更的唯一设备识别码,如IMEI、IMSI、MEID,MAC地址等,见附录F.经随机化处理后的MAC地址不属于不可变更的唯一设备识别码。
b) 如存在读取剪切板或公共存储区的行为,应告知用户读取的信息范围和使用目的,不应在未取得用户同意的情况下,收集剪切板中包含的个人信息和公共存储区中的个人信息;
c) 当App在静默状态或在后台运行,且未向用户提供服务时,不应收集用户个人信息;
d) 在非服务所必需或者无合理场景下,不应自启动或者关联启动其他App;
注2:关联启动是指其他程序唤醒的启动。
e) 不应通过积分.奖励、优惠、红包等方式,欺骗误导用户提供与App业务功能无关的个人信息或权限;
f) 当拍摄 、录音、录屏、定位时,应采用显著方式提示用户;
g) 应参考有关国家标准在App设计、开发阶段考虑最小必要等个人信息保护原则,同步规划和建设App个人信息保护措施。
