GB/T 41391-2022标准规范下载简介:
内容预览由机器从pdf转换为word,准确率92%以上,供参考
GB/T 41391-2022 信息安全技术 移动互联网应用程序(App)收集个人信息基本要求.pdfb)当App类型不属于附录A给出的常见服务类型时,应先按照第5章划分基本业务功能和扩展 业务功能,再将保障ApP基本业务功能正常运行所必需的个人信息确定为必要个人信息; 要求用户必须提供的个人信息不应超出必要个人信息范围; d)当无须收集用户个人信息即可提供App基本业务功能时,应确保用户在不提供个人信息的情 况下可正常使用ApP基本业务功能。
6.3特定类型个人信息
App收集特定类型个人信息,应满足附录C的要求。
App收集个人信息应在满足GB/T35273一2020中5.3、5.4、5.5要求的基础上,还应满足以下告知 意要求: a)应采用显著方式(如弹窗、图文、动画等)向用户告知个人信息保护政策的核心内容(如所提供 的基本业务功能、必要个人信息等),提示用户阅读个人信息保护政策,并取得用户明示同意; b) 应向用户明示ApP基本业务功能、扩展业务功能和必要个人信息范围,并显著区分必要和非 必要个人信息; 注1:本文件所称“非必要个人信息”是指“非必要但有关联个人信息”,见附录B。 c)应拆分App的必要个人信息和非必要个人信息的同意; d) 当用户同意收集APP必要个人信息时,应保障用户可拒绝或撤回同意收集非必要个人信息 且不应因用户拒绝或撤回同意提供非必要个人信息,而拒绝用户使用该ApP的基本业务 功能; 注2:例如提供“退出”“上一步”关闭”“取消”的按钮等方式供用户拒绝个人信息收集。 e) 扩展业务功能应由用户自主选择开启YC/T 326.2-2009 烟用材料数据元 第2部分:代码集,如用户拒绝使用、关闭或退出扩展业务功能,不应影响 用户使用基本业务功能; 注3:用户自主作出的开启动作属于自主选择开启,如主动点击、勾选、填写等。 f)不应通过捆绑不同类型服务、捆绑基本业务功能和扩展业务功能、批量申请授权等方式,诱导 强迫用户一次性同意个人信息收集请求; g) 因法律法规规定收集个人信息,应明示依据的法律法规具体规定,并仅用于法律法规所规定的 用途; h)应向用户提供已收集其个人信息类型的查询方法,查询宜通过App独立界面等方式展示; 对于以间接获取方式收集的个人信息,宜向用户提供个人信息获取来源的查询方法。
6.4.2敏感个人信息告知同意
4)用户行使个人信息权利的方式和程序; 5)处理未成年人个人信息的必要性; 6)对未成年人个人权益的影响。 c)收集不满14周岁未成年人个人信息,应取得未成年人的父母或者其他监护人的单独
6.4.3多种服务类型告知同意
当App提供多种类型服务时,App收集个人信息应满足以下告知同意要求。 a)应按照服务类型制定个人信息保护政策,明示各类服务处理个人信息的目的、方式、范围等。 注1:各类服务的个人信息保护政策,可以是各类服务制定单独的个人信息保护政策,也可以是按照服务类型汇总 的个人信息收集使用规则。 b)应按照服务类型分别向用户申请处理个人信息的同意。 c)App类型之外的其他服务类型,宜由用户自主选择启用。当用户首次使用时,宜采用增强式 告知方式明示该服务类型的个人信息处理规则,并取得用户明示同意。 注2:增强式告知通常用于帮助用户理解特定个人信息处理规则,采用专门页面或单独步骤等用户不易绕过的方式 向用户告知,具体可参照个人信息告知同意相关标准。 d)如App提供的其他服务类型属于附录A给出的常见服务类型,其他服务类型应按照附录A 确定相应类型的基本业务功能和必要个人信息范围,同时满足6.4.1d)和e)的要求
6.4.4用户拒绝或撤回同意
当用户拒绝或撤回App个人信息收集、权限申请或业务功能使用的同意时,App应满足以下要求。 a)不应强制退出或者关闭App。 b)不应拒绝提供App基本业务功能或影响其他无关的业务功能使用,除非用户拒绝同意App必 要个人信息或基本业务功能。 C 不应频繁申请授权干扰用户正常使用,除非由用户主动触发业务功能,且没有该个人信息或权 限参与此业务功能无法实现。“频繁”的形式包括但不限于: 1)单个场景在用户拒绝授权后,48h内弹窗提示用户打开权限的次数超过1次; 2)每当用户重新打开App或使用无关的业务功能时,都会再次向用户索要授权或提示用户 缺少相关授权。
App申请可收集个人信息权限,应满足以下要求: a)应仅声明和申请实现App服务目的最小范围的系统权限,不应申请与ApP业务功能无关的系 统权限; 注1:声明,是指在应用程序清单文件(如安卓的AndroidManifest.xml文件、iOS的Info.plist等)中向操作系统说明 所需的系统权限。 注2:可收集个人信息权限范围见附录D,表D.1及表D.2的“可访问的个人信息”给出了通过权限可能访问的个人 信息范围,表D.1的“业务功能示例”给出了需要申请权限的业务功能示例。 注3:附录E给出了与常见服务类型相关程度较低的安卓系统权限。 b)在用户未使用相关业务功能时,不应提前申请与当前业务功能无关的权限; c)申请权限时应同步告知用户权限申请目的,目的应明确具体且易于理解,不包含任何欺诈、诱 骗、误导用户授权的描述;
d)不应以捆绑方式要求用户一次性同意打开多个系统权限; 注4:安卓App的目标API等级低于23(targetSdkVersion<23)属于捆绑授权的常见情形。 e) 如操作系统支持,申请相机、位置、麦克风等可收集个人信息权限应向用户提供单次授权的 选项; f 如用户拒绝或撤回同意系统权限授权,宜为用户提供无需系统权限亦可实现业务功能的替代 解决方案。 注5:替代解决方案,例如当用户拒绝位置权限,仍可以通过自主输入地址的方式使用相关服务
d)不应以捆绑方式要求用户一次性同意打开多个系统权限; 注4:安卓App的目标API等级低于23(targetSdkVersion<23)属于捆绑授权的常见情形。 e 如操作系统支持,申请相机、位置、麦克风等可收集个人信息权限应向用户提供单次授 选项; 如用户拒绝或撤回同意系统权限授权,宜为用户提供无需系统权限亦可实现业务功能的 解决方案。 注5:替代解决方案,例如当用户拒绝位置权限,仍可以通过自主输入地址的方式使用相关服务
6.6.1App接入第三方应用
ApP接人可收集个人信息的第三方应用,应对第三方应用收集个人信息进行安全管理,满足以 求。 a) 第三方应用接人管理应符合GB/T35273一2020中9.7的要求。 b) 应与第三方应用明确双方的个人信息处理规则和保护责任,包括: 1) 第三方应用收集个人信息的目的、方式、范围; 2) 第三方应用申请的系统权限和申请目的; 3) ApP提供给第三方应用的个人信息种类、保存期限、停止接入后的个人信息处理方式; 双方的个人信息安全责任和保护措施; 5) 第三方应用协助App响应用户个人信息权利请求的措施
ApP接人可收集个人信息的第三方应用,应对第三方应用收集个人信息进行安全管理,满足以 求。 a) 第三方应用接人管理应符合GB/T35273一2020中9.7的要求。 b) 应与第三方应用明确双方的个人信息处理规则和保护责任,包括: 1) 第三方应用收集个人信息的目的、方式、范围; 2) 第三方应用申请的系统权限和申请目的; 3) App提供给第三方应用的个人信息种类、保存期限、停止接入后的个人信息处理方式; 双方的个人信息安全责任和保护措施; 5) 第三方应用协助App响应用户个人信息权利请求的措施
GB/T413912022
6.6.2App嵌入第三方SDK
App收集个人信息还应满足以下要求: a)定向推送信息和用户画像场景采用唯一设备识别码标识用户时,应使用可变更的唯一设备识 别码,且不应将其与用户身份信息或不可变更的唯一设备识别码关联; 注1:常见不可变更的唯一设备识别码,如IMEI、IMSI、MEID、MAC地址等,见附录F。经随机化处理后的MAC 地址不属于不可变更的唯一设备识别码。 b)如存在读取剪切板或公共存储区的行为,应告知用户读取的信息范围和使用目的,不应在未取 得用户同意的情况下,收集剪切板中包含的个人信息和公共存储区中的个人信息;
附录A (规范性) 常见服务类型APP必要个人信息范围及其使用要求
地图导航类App的基本业务功能为定位和导航,如提供地图搜索、展示和导航功能, 地图导航类App的必要个人信息范围包括:位置信息、出发地、到达地。 地图导航类App的必要个人信息使用应符合表A.1的要求
地图导航类ApP必要个人信息范围和使用要求
表A.2网络约车类ApP必要个人信息范围和使用要求
GB/T41391—2022
即时通信类APP必要个人信息范围和使用要求
表A.4网络社区类App必要个人信息范围和使用要求
网络支付类APP必要个人信息范围和使用要求
表A.6网上购物类App必要个人信息范围和使用要求
表A.7餐饮外卖类ApP必要个人信息范围和使用要求
GB/T 413912022
表A.8邮件快件寄递类ApP必要个人信息范围和使用要求
表A,9交通票务类APP必要个人信息范围和使用要求
婚恋相亲类App的必要个人信息使用应符合表A.10的要求。
婚恋相亲类APP必要个人信息范围和使用要
求职招聘类ApP必要个人信息范围和使用要求
表A.12网络借贷类App必要个人信息范围和使用要求
问诊挂号类ApP必要个人信息范围和使用要
表A.16旅游服务类ApP必要个人信息范围和使用要求
酒店服务类ApP必要个人信息范围和使用要
NY/T 2838-2015 禽沙门氏菌病诊断技术表A.19学习教育类ApP必要个人信息范围和使用要求
本地生活类APP必要个人信息范围和使用要习
安性健康类App的基本业务功能为女性经期管理、备孕育儿、美容美体等健康管理服务。 女性健康类APP的必要个人信息范围为无
用户的证件类型和号码,驾驶证件信息;支付时间、支付金额、支付渠道等支付信息;使用共享单车、分时 租赁汽车服务用户的位置信息。 用车服务类App的必要个人信息使用应符合表A.21的要求。
TB/T 3149-2007 铁路液压组合式作业机械技术条件用车服务类ApP必要个人信息范围和使用要
表A.22投资理财类App必要个人信息范围和使用要求
表A.23手机银行类ApP必要个人信息范围和使用要求