2024APP收集使用個(gè)人信息最小必要評估規(guī)范第1部分：總則

APPAPP1目次前言 I引言 II123目次前言 I引言 II1234‘6范圍 l規(guī)性用件 l術(shù)和義 l縮語 3基原則 3個(gè)信處最必評估求 36.16.26.36.46.‘6.66.76.86.9限求 3知意求 3集求 3儲求 4用求 4工求 4輸求 4供求 ±開求 ±6.10刪要求 ±評流程 ±77.17.27.37.47.‘7.6體求 ±估與評方 6擇估標(biāo) 6定估劃 F施估 F估論 F——第l部分：總則；——第l部分：總則；23——第4部分：終端通訊錄；±6F8l0lll2——第l3部分：傳感器信息；——第l4部分：應(yīng)用日志信息；l±l6lFAPP11 范圍本文件明確APP收集使用個(gè)人信息最小必要評估規(guī)范系列標(biāo)準(zhǔn)中術(shù)語定義，規(guī)定了收集使用的最小必要原則及要求，是APP收集使用個(gè)人信息最小必要評估規(guī)范系列標(biāo)準(zhǔn)的引領(lǐng)部分，或?yàn)槠渌苿咏K端數(shù)據(jù)相關(guān)標(biāo)準(zhǔn)提供參考。本文件適用于移動應(yīng)用軟件收集使用個(gè)人信息的設(shè)計(jì)、開發(fā)和評估，個(gè)別條款不適用于特殊行業(yè)、專業(yè)應(yīng)用，其他終端也可參考使用。2 （APP11 范圍本文件明確APP收集使用個(gè)人信息最小必要評估規(guī)范系列標(biāo)準(zhǔn)中術(shù)語定義，規(guī)定了收集使用的最小必要原則及要求，是APP收集使用個(gè)人信息最小必要評估規(guī)范系列標(biāo)準(zhǔn)的引領(lǐng)部分，或?yàn)槠渌苿咏K端數(shù)據(jù)相關(guān)標(biāo)準(zhǔn)提供參考。本文件適用于移動應(yīng)用軟件收集使用個(gè)人信息的設(shè)計(jì)、開發(fā)和評估，個(gè)別條款不適用于特殊行業(yè)、專業(yè)應(yīng)用，其他終端也可參考使用。2 （GB/T2±069–20l0信息安全技術(shù)術(shù)語3 下列術(shù)語和定義適用于本文件。3.1移動能端 ?martmobileterminal件能力的終端。3.2mobileAppli×ation3oftware者提供的可以通過網(wǎng)站、應(yīng)用商店等移動應(yīng)用分發(fā)平臺下載、安裝、升級的應(yīng)用軟件。3.3個(gè)人息 per?onalinformation以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息,不包括匿名化處理后的信息。3.4敏感人息 ?en?itiveper?onalinformation1一旦泄露或者非法使用,可能導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到嚴(yán)重危害的個(gè)人信息,包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個(gè)人信息。3.‘個(gè)人息體 per?onalinformation?ubje×t個(gè)人信息所標(biāo)識或者關(guān)聯(lián)的自然人。3.6個(gè)人息理 per?onalinformationpro×e??ing開、刪除等活動。一旦泄露或者非法使用,可能導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到嚴(yán)重危害的個(gè)人信息,包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個(gè)人信息。3.‘個(gè)人息體 per?onalinformation?ubje×t個(gè)人信息所標(biāo)識或者關(guān)聯(lián)的自然人。3.6個(gè)人息理 per?onalinformationpro×e??ing開、刪除等活動。3.7olle×t獲取個(gè)人信息的活動。3.8informon?ent獲個(gè)人信息主體做出自愿、明確授權(quán)的行為。3.9業(yè)務(wù)能 bu?ine??fun×tion滿足個(gè)人信息主體具體使用需求的服務(wù)能力。注：如地圖導(dǎo)航、網(wǎng)絡(luò)約車、即時(shí)通訊、網(wǎng)絡(luò)社區(qū)、網(wǎng)絡(luò)支付、新聞資訊、網(wǎng)上購物、快遞配送、交通票務(wù)等。3.10敏感限 ?en?itivepermi??ion?涉及用戶的個(gè)人信息或相關(guān)資源，或者可能對用戶存儲的數(shù)據(jù)或其他應(yīng)用的操作產(chǎn)生影響的權(quán)限，通常系統(tǒng)不會默認(rèn)授權(quán)，需要用戶授權(quán)使用。3.11dire×tionalpu?h推薦，具有相同含義。24 縮略語下列縮略語適用于本文件。AP移應(yīng)軟件（AligatoSDK：軟件工具開發(fā)包（So￡twareDevelopmentKit）‘4 縮略語下列縮略語適用于本文件。AP移應(yīng)軟件（AligatoSDK：軟件工具開發(fā)包（So￡twareDevelopmentKit）‘ APPAPPAPP6 6.1權(quán)限要求權(quán)限申請和使用應(yīng)遵循最小必要原則，要求如下：a)APPAPPAPP申請敏感權(quán)限時(shí)，應(yīng)同步告知權(quán)限使用的目的和用途；不得以改善服務(wù)質(zhì)量、提升使用體驗(yàn)和實(shí)施風(fēng)險(xiǎn)控制等為由，強(qiáng)迫個(gè)人信息主體授予權(quán)限；APP申請權(quán)限時(shí)，應(yīng)在使用對應(yīng)業(yè)務(wù)功能時(shí)申請，不應(yīng)提前申請、一攬子申請多個(gè)權(quán)限，不得默認(rèn)、捆綁或使用其他手段變相欺騙、誤導(dǎo)、強(qiáng)迫個(gè)人信息主體授予權(quán)限；對于第三方SDK等外部代碼的引用，APP應(yīng)要求SDK其相關(guān)權(quán)限的申請同樣滿足最小必要原則，不得過度申請權(quán)限。b)g)d)e)￡)g)6.2告知同意要求告知同意應(yīng)遵循最小必要原則，要求如下：APP體對告知與所處理收集的個(gè)人信息之間關(guān)聯(lián)性的理解。6.3收集要求收集個(gè)人信息應(yīng)遵循最小必要原則，要求如下：3APP超頻次、超范圍、超精度收集個(gè)人信息。6.4存儲要求APP個(gè)人信息的存儲包含本地存儲和服務(wù)器遠(yuǎn)端存儲，均應(yīng)遵循最小必要原則，要求如下：a)存儲個(gè)人信息的類型及數(shù)量不應(yīng)超出業(yè)務(wù)功能的實(shí)際需要；注：對于保存在端側(cè)的個(gè)人信息，只需對業(yè)務(wù)運(yùn)行過程中產(chǎn)生的包含個(gè)人信息的臨時(shí)文件，或過程文件指定刪除時(shí)間，其它個(gè)人信息由用戶自己管理和控制；信息分開存儲；APPAPP非授權(quán)訪問；APP超頻次、超范圍、超精度收集個(gè)人信息。6.4存儲要求APP個(gè)人信息的存儲包含本地存儲和服務(wù)器遠(yuǎn)端存儲，均應(yīng)遵循最小必要原則，要求如下：a)存儲個(gè)人信息的類型及數(shù)量不應(yīng)超出業(yè)務(wù)功能的實(shí)際需要；注：對于保存在端側(cè)的個(gè)人信息，只需對業(yè)務(wù)運(yùn)行過程中產(chǎn)生的包含個(gè)人信息的臨時(shí)文件，或過程文件指定刪除時(shí)間，其它個(gè)人信息由用戶自己管理和控制；信息分開存儲；APPAPP非授權(quán)訪問；（）b)g)d)e)￡)6.‘使用要求使用個(gè)人信息應(yīng)遵循最小必要原則，要求如下：a)b)g)d)使用個(gè)人信息進(jìn)行定向推送不應(yīng)超出業(yè)務(wù)功能的實(shí)際需要；若APP“”APP展示相關(guān)性程度的能力。e)￡)6.6加工要求加工個(gè)人信息應(yīng)遵循最小必要原則，要求如下：得個(gè)人信息主體的同意。6.7 4傳輸個(gè)人信息應(yīng)遵循最小必要原則，要求如下：能傳出終端。6.8 法律法規(guī)另有規(guī)定的除外。6.9 傳輸個(gè)人信息應(yīng)遵循最小必要原則，要求如下：能傳出終端。6.8 法律法規(guī)另有規(guī)定的除外。6.9 法律法規(guī)另有規(guī)定的除外。6.10 及時(shí)刪除的，應(yīng)在個(gè)人信息主體請求刪除后及時(shí)刪除或匿名化處理：a)b)g)d)e)處理目的已實(shí)現(xiàn)、無法實(shí)現(xiàn)或者為實(shí)現(xiàn)處理目的不再必要；個(gè)人信息處理者停止提供產(chǎn)品或者服務(wù)，或者保存期限已屆滿；個(gè)人信息主體撤回同意；個(gè)人信息處理者違反法律、行政法規(guī)或違法約定處理個(gè)人信息；法律、行政法規(guī)規(guī)定的其他情形。注：法律、行政法規(guī)規(guī)定的保存期限未屆滿，或者刪除個(gè)人信息從技術(shù)上難以實(shí)現(xiàn)的，個(gè)人信息處理者應(yīng)當(dāng)停止除存儲和采取必要的安全保護(hù)措施之外的處理。7 7.1 APP計(jì)劃、實(shí)施評估及得出評估結(jié)論這四個(gè)活動。5圖1 APP集用圖1 APP集用人息最必評流圖7.2 應(yīng)考慮以下方面，確定評估方和被評估方：被評估方可為APPAPPAPP7.3 應(yīng)考慮以下方面，確定評估指標(biāo)：a)APP67.4制定評估計(jì)劃應(yīng)考慮以下方面，制定評估準(zhǔn)則：a)b)g)評估方應(yīng)根據(jù)評估目標(biāo)，本著公平、公正、公開原則開展評估工作；評估準(zhǔn)則內(nèi)容應(yīng)至少包括評估對象和范圍、評估依據(jù)、評估環(huán)境、評估工具；評估準(zhǔn)則中應(yīng)明確評估通過/不通過準(zhǔn)則。7.‘實(shí)施評估應(yīng)考慮以下方面，實(shí)施評估工作：a)b)g)依據(jù)對應(yīng)的評估規(guī)范標(biāo)準(zhǔn)開展實(shí)施評估活動；通過各部分實(shí)施評估工作可順序開展也可并行開展，無完整的順序關(guān)系；7.4制定評估計(jì)劃應(yīng)考慮以下方面，制定評估準(zhǔn)則：a)b)g)評估方應(yīng)根據(jù)評估目標(biāo)，本著公平、公正、公開原則開展評估工作；評估準(zhǔn)則內(nèi)容應(yīng)至少包括評估對象和范圍、評估依據(jù)、評估環(huán)境、評估工具；評估準(zhǔn)則中應(yīng)明確評估通過/不通過準(zhǔn)則。7.‘實(shí)施評估應(yīng)考慮以下方面，實(shí)施