App收集个人信息将面临“国标”约束

随着智能手机的不断升级，各类手机App在人们的日常生活中占据了越来越重要的地位。然而，部分App违规收集使用个人信息、侵犯用户隐私的问题也屡见不鲜。上个月，由中国消费者协会等相关部门共同成立的App专项治理工作组对网民举报存在个人信息收集使用问题的App进行评估。经评估发现，有40款App在个人信息收集使用方面存在问题，且未公开有效联系方式。

为落实《网络安全法》对个人信息保护的相关要求，加快相应标准化工作，全国信息安全标准化技术委员会日前发布了《信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)》，面向社会公开征求意见。

《规范》指出，App收集个人信息应满足下列管理要求：App运营者应履行个人信息保护义务，采取必要安全措施，保障用户个人信息安全;当用户同意App收集某服务类型的最少信息时，App不得因用户拒绝提供最少信息之外的个人信息而拒绝提供该类型服务;App不得收集与所提供的服务无关的个人信息;对外共享、转让个人信息前，App应事先征得用户明示同意，当用户不同意, 则不得对外共享、转让用户个人信息;App不得收集不可变更的设备唯一标识(如IMEI号、MAC地址等)，用于保障网络安全或运营安全的除外;用户明确拒绝使用某服务类型后，App不得频繁(如每48小时超过一次)征求用户同意使用该类型服务，并保证其他服务类型正常使用;App应对其使用的第三方代码、插件的个人信息收集行为负责，第三方代码、插件收集个人信息视同App收集，App应防止第三方代码、插件收集无关的个人信息。

《规范》也规定了App收集个人信息应满足的一系列技术要求，包括：当收集的个人信息超出服务类型的最少信息时，超出部分的个人信息，App应逐项征得用户明示同意;当用户退出某服务类型后，App应终止该服务类型收集个人信息的活动，并对仅用于该服务的个人信息进行删除或匿名化处理等等。

与此同时，在《规范》的附录中具体列出了地图导航、网络约车、即时通讯、博客论坛、网络支付、新闻资讯、网上购物等21 种常用服务类型可收集的最少信息。

以人们日常出行经常会使用的网络约车类App为例，《规范》规定此类App可收集的个人信息包括手机号码、用户发布的信息内容、身份认证信息、订单日志、上网日志、行驶轨迹日志、交易信息等，并且要依照《移动互联网应用程序信息服务管理规定》、《网络预约出租汽车经营服务管理暂行办法》、《电子商务法》、《网络交易管理暂行办法》等条例使用。同时，网络约车类App可收集实现服务所需的个人信息包括：账号、口令等账号信息、精准定位信息、用户出发地、到达地等位置信息以及第三方支付方式信息。且这些信息仅可用于标识网络约车用户和保障账号信息安全、确定用户当前位置以及使用第三方支付方式对约车订单付款等指定用途。

对于为用户提供网上购买商品或服务，包括商品展示、搜索、下单、交付等功能的网上购物类App，《规范》规定其可依照《移动互联网应用程序信息服务管理规定》、《网络交易管理暂行办法》、《电子商务法》等条例收集用户的网络日志、手机号码以及购物交易信息。收集的账号信息仅用于标识网上购物用户和保障账号信息安全，姓名、地址、手机号码等收货人信息仅用于网上购物收货时识别收货人、送达货物和联系收货人。而第三方支付信息仅用于用户使用第三方支付方式对网上购物订单进行付款。

而对于浏览器、输入法、安全管理类App，《规范》要求其只可以获取用户的网络日志，并依据《网络安全法》使用。

App在为广大用户提供服务的同时，更应该让用户安全、放心地使用。为满足企业单方面利益而无视用户隐私，必然无法长期良性发展，违法者也必将因为违法行为受到严惩。

文丨东方欲晓

图丨彭超