中新经纬客户端11月27日电 26日,电信终端产业协会在官网公布了《APP收集使用个人信息最小必要评估规范》,旨在对移动互联网行业收集使用用户人脸、通讯录、短信、位置、图片等个人敏感信息进行规范,落实最小、必要的原则。
截图来源:电信终端产业协会网站
据介绍,随着移动应用种类和数量呈爆发式增长,APP侵害用户权益事件层出不穷,个人信息保护态势愈加严峻,如何保护用户个人信息,尤其是人脸、通讯录、短信、位置、图片等个人敏感信息受到国家和社会公众高度关注。
APP收集使用个人信息最小必要评估旨在对移动互联网行业收集使用用户人脸、通讯录、短信、位置、图片等个人敏感信息进行规范,落实最小、必要的原则。
据悉,该标准明确APP收集使用个人信息最小必要评估规范系列标准中术语定义,规定了收集使用的最小必要原则及要求,是APP收集使用个人信息最小必要评估规范系列标准的引领部分,或为其他移动终端数据相关标准提供参考。该标准适用于各种制式的移动智能终端及移动终端上的应用软件,个别条款不适用于特殊行业、专业应用,其他终端也可参考使用。
据介绍,APP进行个人信息处理时应遵循以下最小必要原则,即处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的的最小范围,不得进行与处理目的无关的个人信息处理。
具体来看,在告知同意要求方面,告知同意应遵循最小必要原则,即APP所提供服务涵盖多项业务功能的,收集使用个人敏感信息时,宜按业务功能进行单项或分项征得用户同意,不宜要求用户一次性接受并授权同意其未申请或使用的业务功能收集个人信息的请求。
告知同意的时机及频率应遵循最小必要原则,宜在收集使用之前或收集使用之际的适当时机告知,增进用户对告知与所收集的个人信息之间关联性的理解;并以必要最小限度的频率告知,确保用户的服务体验质量。
在权限要求方面,权限的申请应遵循最小必要原则,即只申请与业务功能相关的权限,不应过度申请权限。对于第三方SDK等外部代码的引用,APP应确认其相关权限的申请同样满足最小化原则,限制SDK过度申请权限。如APP的业务场景中,不包含位置相关场景,则不应申请位置权限。
APP宜优先采用系统自身功能,代替调用相关敏感权限。在存在替代功能实现方式的情况下,不应以提升用户体验为由,强迫用户授予权限。
权限的使用应遵循最小必要原则,即应合理使用申请的权限,不应滥用权限,且实际使用的权限不应超出告知同意的范围。
在收集要求方面,收集个人信息的类型应遵循最小必要原则,即在收集个人信息的类型,不应超出业务场景的实际需要,法律法规要求的除外。
收集个人信息的数量应遵循最小必要原则,即在收集个人信息的数量,不应超出业务场景的实际需要。
收集个人信息的频率应遵循最小必要原则,即收集个人信息的频率,不应超出业务场景的实际需要。
在使用要求方面,使用个人信息的类型、数量及频率应遵循最小必要原则,不应超出业务场景的实际需要,法律法规要求的除外。
使用个人信息时,除目的所必需外,应消除明确身份指向性,避免精确定位到特定个人。
使用个人信息进行定向推送应遵循最小必要原则,即对用户进行用户画像的个人信息不应超出业务场景的实际需要。
使用个人信息进行定向推送应告知用户使用的个人信息来源,是APP收集还是来源于其他第三方。
使用个人信息进行定向推送应显著区分个性化展示和非个性化展示,显著区分的方式包括但不限于:标明“推荐”、“猜你喜欢”等字样,或通过不同的栏目、版块、页面分别展示等。
使用个人信息进行定向推送应当同时向该用户提供关闭个性化展示的选项。此外,APP宜建立用户对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制,保障用户调控定向推送展示相关性程度的能力。
在传输要求方面,传输个人信息的类型及数量应遵循最小必要原则,不应超出业务场景的实际需要,法律法规要求的除外。
传输个人信息的频率应遵循最小必要原则,不应超出业务场景的实际需要。
第三方共享要求方面,个人信息的第三方共享均应遵循最小必要原则,即委托处理、共享、转让、公开披露的个人信息类型、数量及频率,不应超出业务场景的实际需要,法律法规要求的除外。其中,共享个人身份信息、网络身份标识等个人信息前,应征得用户的授权同意。
删除要求方面,超出存储期限后,应对个人信息进行删除或匿名化处理。
据了解,电信终端产业协会是由中国信息通信研究院联同国内电信运营商、电信终端设备制造商、系统设备制造商、认证检测机构和研究机构共同发起的自愿性、非盈利的国家级社会组织,主管单位为工业和信息化部。(中新经纬APP)
【编辑:万可义】