全国信息安全标准化技术委员会归口的10项国家标准正式发布,并于2022年11月1日正式实施,其中包括一项个人信息保护方面的重点标准:《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求(GB/T 41391-2022)》(以下简称“《App收集个人信息基本要求》”)。该标准旨在落实《常见类型移动互联网应用程序必要个人信息范围规定》和《App违法违规收集使用个人信息行为认定方法》两项部门工作文件,沿袭了两项部门工作文件的重要概念,并进一步细化了App收集个人信息的要求,具有很强的实践参考价值。
适用范围
App运营者规范其个人信息收集活动,也适用于监管部门、第三方评估机构等对App个人信息收集活动进行监督、管理和评估。其中,App包括移动智能终端预置、下载安装的应用程序和小程序。小程序指基于应用程序开放接口实现的,用户无需安装即可使用的移动互联网应用程序。
主要内容
《App收集个人信息基本要求》以App类型划分为基础,区分不同类型以要求和附录相结合的形式明确了App收集个人信息中如何贯彻最小必要原则、如何确定必要个人信息范围、特定类型个人信息的收集处理方式、告知同意的具体要求、系统权限和第三方的管理方式。
附件:新国标《App收集个人信息基本要求》:无单独同意,不应分析相册中生物识别信息
规范个人信息出境活动,保护个人信息权益,促进个人信息跨境安全,防范个人信息出境安全风险,保障个人信息依法有序自由流动,10个工作日内备案
反映当前App收集使用个人信息整体情况,为行业企业和全社会了解当前App个人信息安全形势提供参考,对社会公众提高个人信息安全意识起到宣传促进作用
梳理和识别了企业开展个人信息保护合规审计工作所面临的60余项主要风险点,给予企业可操作的审计指导,合规性 专业性 全面性 可操作性
从法律法规,标准体系,检测平台,监管实践等方面,系统梳理了前期有关部门组织开展 APP 个人信息保护治理工作的情况
界定了适用范围和监管主体;确立了知情同意,最小必要两项重要原则;细化了App开发运营者、分发平台、第三方服务提供者、终端生产企业、网络接入服务提供者五类主体责任义务
T/TAF 078.4-2020 APP用户权益保护测评规范权限索取行为,适用于移动应用软件提供者规范用户收集使用个人信息处理活动
T/TAF 078.3-2020 APP用户权益保护测评规范个人信息获取行为,适用于移动应用软件提供者规范用户收集使用个人信息处理活动
T/TAF 078.6-2020 APP用户权益保护测评规范违规收集个人信息,适用于移动应用软件提供者规范用户收集使用个人信息处理活动
T/TAF 078.5-2020 APP用户权益保护测评规范违规使用个人信息,适用于移动应用软件提供者规范用户收集使用个人信息处理活动
T/TAF 078.1-2020 APP用户权益保护测评规范 超范围收集个人信息,适用于移动应用软件提供者规范用户收集使用个人信息处理活动
T/TAF 077.7-2020 APP收集使用个人信息最小必要评估规范人脸信息,旨在对移动互联网行业收集使用用户人脸信息进行规范,落实最小、必要的原则,进一步促进移动互联网行业的健康稳定发展
T/TAF 077.6-2020 APP收集使用个人信息最小必要评估规范软件列表,对移动互联网行业收集使用软件列表进行规范,落实最小、必要的原则
T/TAF 069.1-2020 移动应用分发平台系列规范:APP信息展示规范,适用于生产企业和提供移动智能终端应用软件分发服务的互联网信息服务提供