新规重磅来袭,解读机不可失!带你学习《App收集个人信息基本要求》

近日，国家市场监督管理总局、国家标准化管理委员会正式发布了《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求（GB/T 41391-2022）》（以下简称“《基本要求》”）。《基本要求》全文分为正文与附录两大部分，正文部分包括：范围、规范性应用文件、术语和定义、缩略语、App功能划分以及App收集个人信息基本要求六部分。附录部分包括作为规范性附录的附录A与附录C，以及作为资料性附录的附录B、附录D、附录E及附录F。目前《基本要求》已全文公开在“国家标准全文公开系统”网站，并将于2022年11月1日正式实施。

本文以“国家标准全文公开系统”可公开查阅的《基本要求》为文本，旨在从移动互联网应用程序运营者（App运营者）的视角出发，对《基本要求》涵盖的相关概念界定、App功能划分与类型判断流程、App收集个人信息基本要求的新亮点等内容进行解读。

App运营者应首先判断App的业务功能，并确定App的基本业务功能。如上文所述，基本业务功能是实现用户主要使用目的的功能。例如，若某款App提供“网约车功能”、“导航功能”与 “支付功能”，而该款App主要为实现用户网约车需求的目的而设计，则“网约车功能”即为该款App的基本业务功能，除此之外的其他业务功能，即为该款App的扩展业务功能。对于App而言，其业务功能可能纷繁复杂，但只有主要实现用户目的的功能为基本业务功能，此外的业务功能均为扩展业务功能。《基本要求》规定：仅为实现改善服务质量、提升使用体验、定向推送信息、研发新产品等目的的业务功能应划分为扩展业务功能。

在判断完App的基本业务功能后，App运营者可进一步判断App类型。根据《基本要求》的定义，App基本业务功能所属的服务类型即为该App的类型。例如，某款App的基本业务功能为导航，则其业务功能所属的服务类型为“地图导航”，而该款App类型则为“地图导航类”App。《基本要求》规定，如App提供多种类型服务，App类型之外的服务类型称为“其他服务类型”，其他服务类型的业务功能属于扩展业务功能。例如“地图导航类App”还提供“网上购物”、“网约车类服务”，则“网上购物”、“网络约车服务”的业务功能均属于扩展业务功能。因此，每款App可以拥有多种业务功能，提供多种类型服务，但其“App类型”是唯一的，即该款App基本业务功能所属的服务类型。

判断完毕App类型后，App运营者可根据《基本要求》的附录A确定App是否属于39款常见服务类型App。例如，某款App的App类型为“网络约车类”，则其应当按照《基本要求》附录A规定的该类App的“必要个人信息”与“使用要求”履行合规义务。

在《基本要求》的附录A中，常见服务类型App的基本业务功能、必要个人信息范围，均与此前的《常见类型移动互联网应用程序必要个人信息范围规定》保持一致，但必要个人信息的使用要求则为《基本要求》的新增细化规定。如网络约车类App所收集的用户行踪轨迹信息，其使用要求为用于保障行程安全及处理用户纠纷，完成处理目的的行踪轨迹信息应及时删除或匿名化处理。

实际上，绝大部分面向普通用户的App类型均可囊括至《基本要求》附录A所列的39类常见服务类型之中。但也不可否认随着科技的进步，App运营者将设计出不属于常见服务类型的App类型。对于此类App，其应当按照《基本要求》的要求，首先根据为用户提供的主要使用目的划分App的基本业务功能与扩展业务功能，进而再将保障App基本业务功能正常运行所必需的个人信息确定为必要个人信息。在此，并非与基本业务功能相关的所有个人信息均为必要个人信息，App基本业务功能“可选收集”的个人信息则与扩展业务功能收集的个人信息一样，属于“非必要但有关联个人信息”。

这种判断逻辑实际上是《基本要求》对于必要个人信息判断的基本逻辑，只不过对于常见类型的App而言，基本业务功能与可收集的必要个人信息种类已经在App的运营实践中反复出现，并可统一提炼形成规则，因此App运营者可省去自行判断常见类型App的必要个人信息的流程，而参考《基本要求》中的规范性附录A。

（1）必要个人信息的收集、告知与同意：

《基本要求》规定，App要求用户必须提供的个人信息不应超出必要个人信息范围。对于必要个人信息与非必要个人信息（即为“非必要但有关联个人信息”，下同），应作显著区分并向用户明示，且应拆分App的必要个人信息与非必要个人信息的同意。

此外，不应通过捆绑不同类型服务、捆绑基本业务功能和扩展业务功能、批量申请授权等方式，诱导，强迫用户一次性同意个人信息收集请求。

（2）特定类型个人信息合规：

《基本要求》在附录C中规定了12类特定类型个人信息的收集要求，包括日历信息、应用程序列表、设备信息、短信信息、通话记录信息、通讯录信息、位置信息生物识别信息、录音及拍摄录像信息、传感器信息、相册信息以及存储文件信息。

（3）保障用户权利：

《基本要求》规定，当无须收集用户个人信息即可提供App基本业务功能时，应确保用户在不提供个人信息的情况下可正常使用App基本业务功能。当用户同意收集App必要个人信息时，应保障用户可拒绝或撤回同意收集非必要个人信息，且不应因用户拒绝或撤回同意提供非必要个人信息，而拒绝用户使用该App的基本业务功能。

扩展业务功能应由用户自主选择开启，如用户拒绝使用、关闭或退出扩展业务功能，不应影响用户使用基本业务功能。

（4）多种服务类型的告知同意：

当App提供多种类型服务时，App收集个人信息应满足以下告知同意要求：

a）应按照服务类型制定个人信息保护政策，明示各类服务处理个人信息的目的、方式、范围等。此时各类服务的个人信息保护政策，可以是各类服务制定单独的个人信息保护政策，也可以是按照服务类型汇总的个人信息收集使用规则；

b）应按照服务类型分别向用户申请处理个人信息的同意；

c）App类型之外的其他服务类型，宜由用户自主选择启用。当用户首次使用时，宜采用增强式告知方式明示该服务类型的个人信息处理规则，并取得用户明示同意。

（1）通过权限获得的个人信息和能力的对外提供：

《基本要求》规定，App通过权限获得的个人信息和能力，不应在未经用户同意的情况下提供给App接入的第三方应用或嵌入的第三方SDK使用。换言之，此种场景下的对外提供应取得用户的授权同意。

（2）特殊敏感权限的告知及单独同意：

《网络安全实践指南—移动互联网应用程序（App）系统权限申请使用指引（TC260-PG-20204A）》将设备管理器、辅助功能、监听通知栏、悬浮窗权限等规定为特殊敏感权限，《基本要求》在此基础上规定对此类权限的申请使用应具有明确的业务功能需求，向用户提供单独管理界面并详细说明申请目的，并取得用户单独同意。

（3）用户画像与定向推送场景下的唯一设备标识符的要求：

《基本要求》规定，App定向推送信息和用户画像场景采用唯一设备识别码标识用户时，应使用可变更的唯一设备识别码，且不应将其与用户身份信息或不可变更的唯一设备识别码关联。此处可变更的唯一设备识别码，是指用户可重置、变更或关闭追踪的唯一设备识别码；不可变更的唯一设备识别码，是指不因设备恢复出厂设置、应用安全卸载或用户操作而改变的硬件标识符，常见不可变更的唯一设备识别码，如IMEI，IMSI，MEID，MAC地址等，具体可见《基本要求》附录F。经随机化处理后的MAC地址不属于不可变更的唯一设备识别码。

（1）区别“第三方应用”与“第三方SDK”：

第三方的判定标准为：虽与App运营者属于不同法人实体，但与App运营者属于同一企业集团，且遵守同一套管理制度、统一进行安全和运维管理的，不属于App运营者的第三方。但关联公司通常属于App运营者的第三方。

（2）App运营者对第三方应用的管理：

（3）App运营者对第三方SDK的管理: