感謝IT之家網友 劍指架構師 的線索投遞!
IT之家6月15日消息 據新華社報道,日前,針對目前移動網際網路應用中存在的超範圍收集、強制授權、過度索權等個人資訊收集安全問題,全國資訊安全标準化技術委員會在其官網釋出了《網絡安全實踐指南——移動網際網路應用基本業務功能必要資訊規範》(以下簡稱《規範》),為移動網際網路應用收集個人資訊提供實踐指引。
《規範》指出,依據《中華人民共和國網絡安全法》中的相關要求,以及個人資訊最少夠用原則,針對App的基本業務功能,明确界定了保障其正常運作所需收集的個人資訊,給出了每類業務功能相關的必要資訊範圍,其中包括地圖導航、網絡約車、即時通訊社交、社群社交、網絡支付、新聞資訊、網上購物、短視訊、快遞配送、餐飲外賣、交通票務、婚戀相親、求職招聘、金融借貸、房産交易、汽車交易。
《規範》中明确劃定了地圖導航類應用和短視訊類應用可擷取的必要資訊僅一項,大大縮小了擷取範圍。比如,地圖導航類應用其基本業務功能必要資訊僅為位置資訊,包括精準定位資訊和行蹤軌迹;短視訊類應用隻能擷取使用者關注的賬号資訊,但自媒體使用者則需要提供姓名、證件和證件号碼等用于實名認證的資訊。
針對目前較多App讀取使用者通訊錄的要求,《規範》也給出了明确的範圍限制。比如金融借貸類應用,《規範》要求,應允許使用者手動輸入兩位緊急聯系人資訊,而不應強制讀取使用者的通訊錄;即時通訊社交應用,應該允許使用者手動添加好友,而不應強制讀取使用者的手機通訊錄。
《規範》中還指出,浏覽、搜尋、點選等操作記錄通常是非必要資訊,收集時應告知使用者并征得其同意;儲存和使用個人上網記錄時,對個人資訊進行去辨別化處理;使用個人上網記錄用于分析使用者畫像進行個性化展示和推薦時,告知使用者使用目的,并提供使用者退出定向推送模式選項。
以新聞資訊類應用為例,其基本業務功能必要資訊僅為關注的賬号和自媒體使用者資訊。随着新聞資訊應用的發展,也存在以個性化推薦資訊内容為核心業務模式的聚合類新聞應用,其需收集使用者的浏覽操作記錄,以便向使用者推送可能感興趣的内容。根據《規範》,該業務功能應告知使用者并征得其同意,如果使用者拒絕,App應提供讓其退出定向推送模式的管道。
此外,《規範》中還指出,此套标準适用于主管監管部門、第三方評估機構等對于個人資訊收集行為進行監督、管理和評估。