政策法规

App收集个人信息将有“国标” 禁止强制读取用户通讯录

移动应用程序提供服务调取用户信息将有规范可依。近日,由全国信息安全标准化技术委员会秘书处组织起草,国家市场监督管理总局和国际标准化委员会共同发布的《信息安全技术移动互联网应用收集个人信息基本规范《草案)》(以下简称《草案》),面向社会公开征求意见。《草案》明确提出App不得收集与所提供的服务无关的个人信息,对外共享、转让个人信息前,App应事先征得用户明示同意。

《草案》列出了地图导航、网络约车、即时通讯等21种常用类型的App可收集到的最少信息及使用要求。根据《草案》,“最少信息”是指保障某一服务类型正常运行所必需的个人信息,包括与服务类型直接相关,一旦缺少将导致该类型服务无法实现或无法正常运行的个人信息,以及法律法规等规范性文件要求必须收集的个人信息。

其中,明确可收集的最少信息中包含个人身份信息的APP类型为网络约车、网络支付、交通票务、金融借贷、房屋租售、二手车交易等;即时通讯、博客论坛、新闻资讯、短视频等类别仅对公众账号信息发布服务使用者收集个人身份信息,求职招聘类仅对招聘者用户收集个人身份信息,问诊挂号类则仅对患者收集身份信息;地图导航、网上购物、快递配送、餐饮外卖、婚恋相亲、运动健身类等APP如要收集个人身份信息,需要征得用户明示同意。浏览器、输入法、安全管理这三类APP只可收集网络日志信息。

《草案》明确,当用户同意App收集某服务类型的最少信息时,App不得因用户拒绝提供最少信息之外的个人信息而拒绝提供该类型服务;当收集个人信息超出服务类型的最少信息时,超出部分的个人信息,App应逐项征得用户明示同意;用户明确拒绝使用某服务类型后,App不得频繁(如每48小时超过一次)征求用户同意使用该类型服务,并保证其他服务类型正常使用;当用户退出某服务类型后,App应终止该服务类型收集个人信息的活动,并对仅用于该服务的个人信息进行删除或匿名化处理。

此外,《草案》明确,App应对其使用的第三方代码、插件的个人信息收集行为负责。第三方代码、插件收集个人信息视同App收集,App应防止第三方代码、插件收集无关的个人信息。据悉,《草案》征求意见截止时间为8月31日24:00。