GBT 413912023信息基本要求.docx

《GBT 413912023信息基本要求.docx》由会员分享，可在线阅读，更多相关《GBT 413912023信息基本要求.docx（53页珍藏版）》请在第一文库网上搜索。

1、ICS35.030CeSI.80中年人民共和国国家标7传GB/T413912023信息安全技术移动互联网应用程序(APP)收集个人信息基本要求Informationsecuritytechno1ogy-Basicrequirementsforco11ectingpersona1informationinmobi1einternetapp1ications2023-11-01实施202304-15发布家市场监督管理总局田家标准化管理委员会目次徜言I11引百IVI范脚12现疮性引用文件13术语和定义1I缩略语35 ApP功能划分36 Ap收集个人信息基本要求46.1 坡小必要收集46.2 必要个人

2、信息46.3 特定类型个人借Jft56.4 告知同意56.5 系统权限66.6 第Y方收集管理76.7 犬他要求8附录A（现疱性）常处服务类根AP1）必耍个人信息疮闱及其使用要求!0附录B资料性）关fApp、业分功能、必要个人信息等概念的说明22附求C（规柩性）特定类N个人信息收集要求24附录D（资料性）可收集个人信息权限范围28附录E（资料性）1j常见服务类型相英程度较低的安卓系统权限32附录F（资料性）常见不可变更的唯一设备设别码I1叁号文献45本文件按照GBT1.12O2（X标准化厂作导则第1部分：标准化文件的结构和起草规则的规定起草,请注意本文件的某些内容可能涉及专利本文件的发布机构不

3、承担识别专利的贡任本文件由全国信息安全标准化技术委员会（SACTC260）提出并归.本文件起草单位，中国电子技术标准化研究院、北京理大学、中国网络安全审存技术与认证中心、公安部第一研究所、北京信息安全测评中心、国家计算机网络应急技术处理协调中心、中国信息通信研究院、华为技术有限公司、阿里巴巴（北京）软件服务为限公司、北京白度网讯科技分限公司、蚂蚊科技集团股份有限公司、北京小估科技有限公司、商德软件有限公诩、北京字方跳动科技有限公司、北京:快科技有限公H1、北京京东尚科信息技术行限公司、三六零科技集团有限公司、顺I速运行限公Hj、京东科技控股股份有限公阿、北京小米移动软件有限公司、北京快手科技有

4、限公司、中国移动通信集团有限公司、贝壳找房（北京）科技何限公司、北京智者天下科技4限公间、百合佳缘网络泰团股份杓限公司、浙江菜鸟供应链管理钉限公司、匕京爱自艺科技彳i限公司、中国铁道科学研究院奥团有限公司铁路12306科创中心、天翼电f商务仃限公司、财付通支付科技有限公司、汉庭星空（上海）酒店管理“限公司、招商银行股份行限公司、中信银行股份布一限公司.中国银行股份有限公司本文件主要起草人：杨建军、刘贤刚、上行晓阍、胡影、周发炜，洪延存、何延哲、刘行、陈舒,许静慧、熨华、帏煜、宋杰、李海东、刘海峰、李媛、寮禽、易立、陈海、葛奇，衣强m晓媛、费雪1邓峥、梦晋、张聊、徐彩曦、田中.刘笑岑、严少敏、马

5、可、黎琳、潘景燕、张向拓、李映妍、宜静、邱勤，张朝、门一机、赵净、洪小崇、奚海生、杨汇聃、焦伟、更广比、刘欣欣JE彬、封莎、陈力、何敬近年来移动互联网应用程序（App得到广泛应用Ap）超他国收集、强制授权、过度索权、私自调用权限上传个人信息、敏感权限灌川等现象普福存在违法违规收集使用个人信息的问题突H1本文件根据中华人艮共和国网络安全法妆中隼人民共和国数据安全法令中华人民共和国个人倡息保护法等法律，法规要求.取点用晓个人信息处理的嫌小必要晚则针时APp违法、违规收集使用个人信息的突出问题结合当前移动互联网技术及应用现状在GBT35273202的伤息安仝技术个人信息安全规范:要求的M础上给出TA

6、PP收集个人信息应满足的M本要求同时给出常见服务类型APP必要个人信息的使用要求旨在落实；关印发常见类型移动互联网应用程序必要个人信息延用规定:的通知（国信办秘字2023M号八C关于印发App违法违规收集使用个人信息彳j为认定A法、的通知*国信办秘字2019191号）等文件要求.规范APP个人信息收桀行为最大程度地保障个人信息权益本文件附录A中常见服务类型APP的基本业务功能、必要个人信息位闱.均字:常见类M移动互联网应用程序必要个人信息地南规定保持致信息安全技术移动互联网应用程序（APP）收集个人信息基本要求1范围本文件规定了APP收集个人信息的网本要求.给出厂常1服分类型APP必要个人信息

7、范附和使用要求。本文件适用于ARP运营者规范其个人信息收集活动.也适川于监管部门、第工方评估机构等而App个人信息收集活动进行监督.管理和评估,2规范性引用文件F列文件中的内容通过文中的规位性用川而构成本文件必不可少的条款，的中注日期的引用文件仅该日期对应的版本适用于本文件3不注日期的引用文件,优最新版本（包括所有的修改单）适用于本文件S1GBT25069信息安全技术术语GBT35273-2023信息安全技术个人信息安全规他3术语和定义；BT25069、GBT35273202。界定的以及下列术语和定义适用于本文件移动互联网应用程序mobi1einternetHPPIiCI1tiSn运行在移动智

8、能终端1.的应用程序.注：包括移动招旋终端琼置、F载安装的应用程序和小程序面称App移动互联网应用程序运营者nubi1einternetapp1icationoperator移动互联网应用程序的所有者、管理不或提供代崖：Appi&A#,3.3小程序miniprogram基丁应用程序开放按11实现的用户无需安装即可使用的移动互联网应用程序注，应用程序过公开其应用桎序埼程接口（AI”）或南数使外部的低序可以增加该应用程序的功能戒使用该应用解序的资深而不需雯更改该应用砰序的源代码业务功能businessunctin满足用户具体使用目的的功能注：APP的业后功能.可分为M本业务功能和V展业务功能来源米

9、BT352732023317力修改服务类型servicetype移动互联网应用程序提供的业务功能分类.注：常见限务类M如地图导航.网络约,即时通信、网上购物,网络支付等，处的聚A3.6基本业务功能basicbusinessfunction移动互联网应用程序实现用户主要使用的的业务功能3.7扩展业务功能extendedbusinessfunction移动互岐网应用程序所提供的旗本业务功能之外的犬他业务功能一3.8必要个人信息necessarypersona1informa1ion保障移动比联网应川程序基本业务功能正常运行所必甫的个人信息,缺少该信息移动”.联网应用程序即无法实现基本业务功能注1：

10、APPjG本业务功能、必要个人俏总之间的关系她附求JIKi注2,AMn1收集的个人信息低用分为必整个人信息.必鲁但有关联个人信息M必要。I有关联个人信息是指与App所提供服务相关但可选收集的个人侪/.K23.9用户user使用移动互联网应用程序的个人信息主体，注：一户逋常包括消费包用户和腰务供整禽用户.消费儡用户是使用ApPIK务的个人梢的者,一务供绐儡用户是通过ApP提供服芬的用户.例如网络妁乍类A叩的消费他用户是季客股务供给倒用户是，腆员3.10可收集个人信息权限systempermissiontoaccesspersona1information移动料能终端操作系统向移动江联网应川程序开

11、放的，收集个人信息功徒的系统权限注I简称系统权以成权保3.11唯一设备识别码uniquedciceidentifier可唯标识移动钾能终端的编码。注1也称这备唏标识得可分为可变更的唯没番识别日和不可交奥的暇谈符识别日注2：可变更的噬一设备U1别码.是指用户可前置、变更或美用造踪的唯一设番识刻码不可变更的唯一设否U1别利.是指不因设冬帙复出厂设火,应用安全和找或用户操作而枚变的健件标见符3.12定向推送Ianjctcdpush基于某一个人俏息主体的网络浏览历史、凫趣爱好、消费记录和习惯等个人倡息利用算法向该个人信息主体展示信息内容，提供商品或服务的搜索结果、推荐产品或服务、推送新闻信息、广告营精

12、等活动C注：也称为个性化发小或个性化推存来源：GBT352732023.3.16“修改3.13用户画像userprofi1ing通过收集,汇聚、分析个人信息.对某一白然人个人特征.如职业、经济、健康、教育、个人总好、信用.行为等方面进行分析或侦测形成其个人特征模型的过程来源：GBT352732023,3.8,有修改3.14软件开发工具包Mtarcdeve1opmentki1协助软件开发的软件库注：软件开裳件包通了包括相关进文件、文科、范例和通的集含3.15第三方软件开发工具包third-partysotwaredeve1opmentkit由移动互联网应用程序运营苦之外的其他法人实体提供的软件开

13、发I具包3.16权限申请systempermissionrequest移动互联网应用程序向移动智能终端操作系统声明并向用户请求授权以长得访问数据或功能的许可的过程.3.17第三方应用third-partyapp1ication由移动互联网应用程序运营者之外的其他法人实体提供.通过移动互联网应用程序面向用户提供服务的应用程序注h第：方应用提供的膨式，通常包括SDK、小程序、W5页面等如枭SDK与育直接向用户提供式翳财不典于本文件所你的第三方应用注2；员。App运营石闻不同法人立体.但1jAPP运营者Mr同企业集团J1遵守同隹管理制度.统进行安全和运堆管理的，不只尸A1中运营%的第关联公川通常Hf

14、Ai中运营音的第h4缩略语下列缩略语适用于本文件APIX应用程序编程接口(App1ica1icnProgrammingInterface)3PS：全球定位系统(G1Cba1PositioninKSystem)ICCIDi集成电路，识别码HntegnneCircuitCardIdeniity)IMEh国际移动设备识别码(ImeEHiOn1dMobi1eEquipmentIdentity)IMS1国际移动用户识别码UfHcrnaiioIw1Mobi1eSu1mriberIdentity)MAC媒体访问控制(MediaAccessContro1)MEIDS移动设备识别码(Mobi1eEquipmen

15、tIdentifier)S1)K:软件开发T.具包(SOhWarCDeVdOPmeIHKii)设备序列号(SCria1Number)WApi无线应川协议(WirCk、AppficatinnProtoco1)WCb:全球广域网(WOUdWideWeb)5 APP功能划分ApP收集个人信息要求功能密切相关应首先按照以下要求明确划分App的基本业务功徒和扩展业务功能：a)应明确实现用户E要使用U的的业务功能所属的服务类M为该App的类型：b）当APp类型属附求A给出的常处服务类型时，应按照附求中所对应的服务类依划分APP的基本业务功能：注1：附4A按照，:常见类型移动汇联网网用理序必赞个人伤患柩阐规定冷出广常见服苏类（B、”）的M小业务功能和必爱个人信息框图葭及必要个人信息的使用要求其中常兄服务类PAPP的基本业务助使、必要个人信息范网均勺常虬类型移动”一联网庖用租序必婴个人信息范陶说定保持ftO当APP类玻不属附录A给出的常