App收集個人信息將有國標：不能再強制索要用戶信息

IT之家8月10日消息 日前，全國信息安全標準化技術委員會發布了《信息安全技術 移動互聯網應用（App）收集個人信息基本規範（草案）》（以下簡稱為「《規範》」），並面向社會公開徵求意見。這也意味著， App收集個人信息有了「國標」。

《規範》提出了最少信息和最小許可權範圍的概念，並明確了App收集個人信息的基本要求（管理要求和技術要求）。

最少信息：保障某一服務類型正常運行所必需的個人信息，包括與服務類型直接相關，一旦缺少將導致該類型服務無法實現或無法正常運行的個人信息，以及法律法規等規範性文件要求必須收集的個人信息。

最小許可權範圍：保障某一服務類型正常運行所必需的最少系統許可權。

管理要求

? 當用戶同意App收集某服務類型的最少信息時，App不得因用戶拒絕提供最少信息之外的個人信息而拒絕提供該類型服務。（註：附錄還列舉了App常見的服務類型以及服務類型對應的最少信息。）

? App不得收集與所提供的服務無關的個人信息。

? 對外共享、轉讓個人信息前，App應事先徵得用戶明示同意。當用戶不同意,則不得對外共享、轉讓用戶個人信息。

? App不得收集不可變更的設備唯一標識（如IMEI號、MAC地址等），用於保障網路安全或運營安全的除外。

? 用戶明確拒絕使用某服務類型後，App不得頻繁（如每48小時超過一次）徵求用戶同意使用該類型服務，並保證其他服務類型正常使用。

? App應對其使用的第三方代碼、插件的個人信息收集行為負責。第三方代碼、插件收集個人信息視同App收集，App應防止第三方代碼、插件收集無關的個人信息。

註：如第三方代碼、插件自行向用戶明示其收集、使用個人信息的目的、方式、範圍，並徵得用戶同意，則第三方代碼、插件獨立對其個人信息收集行為承擔責任。

技術要求（App收集個人信息應滿足以下技術要求）

? 當收集的個人信息超出服務類型的最少信息時，超出部分的個人信息，App 應逐項
徵得用戶明示同意。

? 當同一App有2種或2種以上服務類型時，App應允許用戶逐項開啟和退出服務類型，開啟或退出的方式應易於操作。

? 當用戶退出某服務類型後，App應終止該服務類型收集個人信息的活動，並對僅用於該服務的個人信息進行刪除或匿名化處理。

? 當申請個人信息相關許可權或要求用戶輸入個人信息時，App應向用戶同步明示申請許可權或收集信息的目的。

? App應向用戶提供實時查詢已收集個人信息類型的功能；查詢結果應以獨立界面展示，且查詢方式應易於操作。

? 存在對外共享、轉讓個人信息的，App 應向用戶提供查詢數據接收方身份的功能；
查詢結果應以獨立界面展示，且查詢方式應易於操作。

? 在技術可行且不影響終端和服務正常的情況下，App 應優先在用戶終端中存儲、使用所收集的個人信息。

? App 應以實現服務所必需的最低合理頻率向後台伺服器發送個人信息。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！