GB/T 41391-2022信息安全技术移动互联网应用程序(App)收集个人信息基本要求

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T41391—2022

信息安全技术移动互联网应用程序App

()

收集个人信息基本要求

Informationsecuritytechnology—Basicrequirementsfor

collectingpersonalinformationinmobileinternetapplications

2022-04-15发布2022-11-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T41391—2022

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………3

功能划分

5App……………3

收集个人信息基本要求

6App……………4

最小必要收集

6.1………………………4

必要个人信息

6.2………………………4

特定类型个人信息

6.3…………………5

告知同意

6.4……………5

系统权限

6.5……………6

第三方收集管理

6.6……………………7

其他要求

6.7……………8

附录规范性常见服务类型必要个人信息范围及其使用要求

A()App……………10

附录资料性关于业务功能必要个人信息等概念的说明

B()App、、…………………22

附录规范性特定类型个人信息收集要求

C()…………24

附录资料性可收集个人信息权限范围

D()……………28

附录资料性与常见服务类型相关程度较低的安卓系统权限

E()……32

附录资料性常见不可变更的唯一设备识别码

F()……………………44

参考文献

……………………45

Ⅰ

GB/T41391—2022

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位中国电子技术标准化研究院北京理工大学中国网络安全审查技术与认证中心

:、、、

公安部第一研究所北京信息安全测评中心国家计算机网络应急技术处理协调中心中国信息通信研

、、、

究院华为技术有限公司阿里巴巴北京软件服务有限公司北京百度网讯科技有限公司蚂蚁科技集

、、()、、

团股份有限公司北京小桔科技有限公司高德软件有限公司北京字节跳动科技有限公司北京三快科

、、、、

技有限公司北京京东尚科信息技术有限公司三六零科技集团有限公司顺丰速运有限公司京东科技

、、、、

控股股份有限公司北京小米移动软件有限公司北京快手科技有限公司中国移动通信集团有限公司

、、、、

贝壳找房北京科技有限公司北京智者天下科技有限公司百合佳缘网络集团股份有限公司浙江菜

()、、、

鸟供应链管理有限公司北京爱奇艺科技有限公司中国铁道科学研究院集团有限公司铁路科创

、、12306

中心天翼电子商务有限公司财付通支付科技有限公司汉庭星空上海酒店管理有限公司招商银行

、、、()、

股份有限公司中信银行股份有限公司中国银行股份有限公司

、、。

本文件主要起草人杨建军刘贤刚上官晓丽胡影周晨炜洪延青何延哲刘行陈舒许静慧

:、、、、、、、、、、

樊华韩煜宋杰李海东刘海峰李媛窦禹易立陈湉葛鑫衣强白晓媛贾雪飞邓婷彭晋张娜

、、、、、、、、、、、、、、、、

徐彩曦田申刘笑岑严少敏马可黎琳潘景燕张向拓李昳婧宜静邱勤张朝门一帆赵净

、、、、、、、、、、、、、、

洪小崇奚海生杨立鹏焦伟史广龙刘欣欣王彬封莎陈力何斌

、、、、、、、、、。

Ⅲ

GB/T41391—2022

引言

近年来移动互联网应用程序得到广泛应用超范围收集强制授权过度索权私自调

,(App),App、、、

用权限上传个人信息敏感权限滥用等现象普遍存在违法违规收集使用个人信息的问题突出

、,。

本文件根据中华人民共和国网络安全法中华人民共和国数据安全法中华人民共和国个人信

《》《》《

息保护法等法律法规要求重点围绕个人信息处理的最小必要原则针对违法违规收集使用个

》、,,App、

人信息的突出问题结合当前移动互联网技术及应用现状在信息安全技术个

,,GB/T35273—2020《

人信息安全规范要求的基础上给出了收集个人信息应满足的基本要求同时给出了常见服务类

》,App,

型必要个人信息的使用要求旨在落实关于印发常见类型移动互联网应用程序必要个人信息范

App,《<

围规定的通知国信办秘字号关于印发违法违规收集使用个人信息行为认定方

>》(〔2021〕14)、《<App

法的通知国信办秘字号等文件要求规范个人信息收集行为最大程度地保障个

>》(〔2019〕191),App,

人信息权益

。

本文件附录中常见服务类型的基本业务功能必要个人信息范围均与常见类型移动互联

AApp、,《

网应用程序必要个人信息范围规定保持一致

》。

Ⅳ

GB/T41391—2022

信息安全技术移动互联网应用程序App

()

收集个人信息基本要求

1范围

本文件规定了收集个人信息的基本要求给出了常见服务类型必要个人信息范围和使

App,App

用要求

。

本文件适用于运营者规范其个人信息收集活动也适用于监管部门第三方评估机构等对

App,、

个人信息收集活动进行监督管理和评估

App、。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

信息安全技术术语

GB/T25069

信息安全技术个人信息安全规范

GB/T35273—2020

3术语和定义

界定的以及下列术语和定义适用于本文件

GB/T25069、GB/T35273—2020。

31

.

移动互联网应用程序mobileinternetapplication

运行在移动智能终端上的应用程序

。

注包括移动智