GB/T-英文版信息安全技术移动互联网应用程序(App)收集个人信息基本要求
提供更多标准英文版。
1范围
本文件规定了App收集个人信息的基本要求,给出了常见服务类型App必要个人信息范围和使用要求。
本文件适用于App运营者规范其个人信息收集活动,也适用于监管部门,第三方评估机构等对App个人信息收集活动进行监督﹑管理和评估。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T信息安全技术术语
GB/T——信息安全技术个人信息安全规范
3术语和定义
GB/T,GB/T—界定的以及下列术语和定义适用于本文件。
3.1
移动互联网应用程序mobileinternetapplication运行在移动智能终端上的应用程序。
注:包括移动智能终端预置,下载安装的应用程序和小程序,简称App。
3.2
移动互联网应用程序运营者mobileinternetapplicationoperator移动互联网应用程序的所有者.管理者或提供者。
注:简称App运营者。
3.3
小程序miniprogram
基于应用程序开放接口实现的,用户无需安装即可使用的移动互联网应用程序。
注。应用程序通过公开其应用程序编程接口(API)或雨数,使外部的程序可以增加该应用程序的功能或使用该应用
程序的资源.面不需要更改该应用程序的源代码。
3.4
业务功能businessfunction满足用户具体使用目的的功能。
注:App的业务功能,可分为基本业务功能和扩展业务功能。[来源;GB/T——,3.17,有修改]
4缩略语
下列缩略语适用于本文件。
5App功能划分
App收集个人信息要求与其功能密切相关,应首先按照以下要求明确划分App的基本业务功能和扩展业务功能
/p>
a)应明确实现用户主要使用目的的业务功能所属的服务类型为该App的类型;
b)当App类型属于附录A给出的常见服务类型时,应按照附录A中所对应的服务类型划分App的基本业务功能,
注1。附录A按照(常见类型移动互联网应用程序必要个人信息范围规定,给出了常见服务类型App的基本业务功能和必要个人信息范围,以及必要个人信息的使用要求,其中.常见服务类型App的基本业务功能,必耍个人信息范围,均与《.常见类型移动互联网应用程序必要个人信息范围规定》保持一致。
c)当App类型不属于附录A给出的常见服务类型时,应将实现用户主要使用目的的业务功能划分为App的基本业务功能,将App提供的基本业务功能之外的业务功能划分为扩展业务功能;注2:如App提供多种类型服务.App类型之外的服务类型称为"其他服务类型"",其他服务类型的业务功能属于扩展业务功能。例如地图导航类App还提供网上购物,网络约车类服务﹐则网上购物﹑网络约车服务的业务功能均属于扩展业务功能。
d仅为实现改善服务质量﹑提升使用体验、定向推送信息、研发新产品等目的的业务功能,应划分为扩展业务功能/p>
e)外部第三方或关联公司提供的业务功能应划分为扩展业务功能,附录A给出的常见服务类型App的基本业务功能除外;
f)如基本业务功能有多种可选的实现方式,对用户个人权益影响更大的实现方式应划分为扩展业务功能。
注3:基本业务功能因技术发展而出现的新实现方式,如果新方式相较传统方式收集更为敏感的个人信息,对个人权益影响更大的,可视为扩展业务功能,通常作为基本业务功能的可选替代,补充使用。例如因生物特征识别技术发展出现的身份鉴别新方式(例如人脸识别.声纹识别,指纹识别等),收集生物识别信息替代口令,对个人权益影响更大。
6App收集个人信息基本要求
6.1最小必要收集
App收集个人信息应在满足GB/T—中5.1,5.2要求的基础上,遵守以下要求/p>
a)收集的个人信息应具有明确、合理,具体的个人信息处理目的;
b)收集的个人信息应限于实现处理目的所必要的最小范围;
注1:范围通常涉及收集个人信息的类型,额率,数量,精度等。
c应采取对个人权益影响最小的方式收集个人信息﹔
注2。个人权益影响通常与个人信息的敏感程度相关,个人信息越敏感其处理活动对个人权益影响越大,权益影响评价见GB/T——.
注3,当收集一般个人信息或敏感个人信息均能满足App服务目的时,收集一般个人信息属于对个人权益影响较小的方式。
d收集的个人信息应与处理目的直接相关;
e)应仅在用户使用业务功能期间,收集该业务功能所需的个人信息。
注4用户使用业务功能期间,通常是从用户点击触发该业务功能或切换到业务功能页面开始,用户在前台操作业务功能或业务功能在后台提供必要服务,到业务功能目的完成或用户主动关闭,退出该业务功能时结束。
6.2必要个人信息
App应确定必要个人信息范围,满足以下要求/p>
a)当App类型属于附录A给出的常见服务类型时,应按照附录A中所对应的服务类型确定App的必要个人信息范围,必要个人信息的使用应符合附录A要求;
注。附录A的必要个人信息范围,主要指消费侧用户个人信息,不包括服务供给恻用户个人信息。
6.3特定类型个人信息
App收集特定类型个人信息,应满足附录C的要求。
6.4告知同意
6.4.1通用要求
App收集个人信息应在满足GB/T—中5.3,5.4,5.5要求的基础上,还应满足以下告知同意要求;
GB/T-英文版bzfyw.
