信息安全技术 移动互联网应用程序(App)收集个人信息基本要求 GBT 41391-2022.pdf

GB/T41391-2022前言本文件按照GB/T1.1一2020标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本文件起草单位：中国电子技术标准化研究院、北京理工大学、中国网络安全审查技术与认证中心、公安部第一研究所、北京信息安全测评中心、国家计算机网络应急技术处理协调中心、中国信息通信研究院，华为技术有限公司、阿里巴巴（北京）软件服务有限公司、北京百度网讯科技有限公司、蚂蚁科技集团股份有限公司、北京小桔科技有限公司、高德软件有限公司、北京字节跳动科技有限公司、北京三快科技有限公司、北京京东尚科信息技术有限公司、三六零科技集团有限公司、顺丰速运有限公司、京东科技控股股份有限公司、北京小米移动软件有限公司、北京快手科技有限公司、中国移动通信集团有限公司、贝壳找房（北京）科技有限公司、北京智者天下科技有限公司、百合佳缘网络集团股份有限公司、浙江菜鸟供应链管理有限公司、北京爱奇艺科技有限公司、中国铁道科学研究院集团有限公司铁路12306科创中心、天翼电子商务有限公司、财付通支付科技有限公司、汉庭星空（上海）酒店管理有限公司、招商银行股份有限公司、中信银行股份有限公司、中国银行股份有限公司。本文件主要起草人：杨建军、刘贤刚、上官晓丽、胡影、周晨炜、洪延青、何延哲、刘行、陈舒、许静慧、樊华、韩煜、宋杰、李海东、刘海蜂、李媛、实禹、易立、陈活、葛鑫、衣强、白晓媛、贾雪飞、邓婷、彭晋、张娜、徐彩曦、田申、刘笑岑、严少敏、马可、黎琳、潘景燕、张向拓、李肤婧、宜静、邱勤、张朝、门一帆、赵净、洪小崇、奚海生、杨立朋、焦伟、史广龙、刘欣欣、王彬、封莎、陈力、何斌。GB/T41391-2022引言近年来，移动互联网应用程序(App)得到广泛应用，App超范围收集，强制授权、过度索权、私自调用权限上传个人信息、敏感权限滥用等现象普遍存在，违法违规收集使用个人信息的问题突出。本文件根据中华人民共和国网络安全法双中华人民共和国数据安全法中华人民共和国个人信息保护法等法律、法规要求，重点围绕个人信息处理的最小必要原则，针对App违法、违规收集使用个人信息的突出问题，结合当前移动互联网技术及应用现状，在GB/T35273一2020信息安全技术个人信息安全规范要求的基础上，给出了Ap印收集个人信息应满足的基本要求，同时给出了常见服务类型App必要个人信息的使用要求，旨在落实关于印发常见类型移动互联网应用程序必要个人信息范围规定)的通知（国信办秘字C2021门14号）、关于印发App违法违规收集使用个人信息行为认定方法)的通知（国信办秘字2019）191号)等文件要求，规范App个人信息收集行为，最大程度地保障个人信息权益。本文件附录A中常见服务类型App的基本业务功能、必要个人信息范围，均与常见类型移动互联网应用程序必要个人信息范围规定保持一致。令