26日,電信終端產業協會在官網公布了《APP收集使用個人信息最小必要評估規範》,旨在對移動網際網路行業收集使用用戶人臉、通訊錄、簡訊、位置、圖片等個人敏感信息進行規範,落實最小、必要的原則。
截圖來源:電信終端產業協會網站
據介紹,隨著移動應用種類和數量呈爆發式增長,APP侵害用戶權益事件層出不窮,個人信息保護態勢愈加嚴峻,如何保護用戶個人信息,尤其是人臉、通訊錄、簡訊、位置、圖片等個人敏感信息受到國家和社會公眾高度關注。
APP收集使用個人信息最小必要評估旨在對移動網際網路行業收集使用用戶人臉、通訊錄、簡訊、位置、圖片等個人敏感信息進行規範,落實最小、必要的原則。
據悉,該標準明確APP收集使用個人信息最小必要評估規範系列標準中術語定義,規定了收集使用的最小必要原則及要求,是APP收集使用個人信息最小必要評估規範系列標準的引領部分,或為其他移動終端數據相關標準提供參考。該標準適用於各種制式的移動智能終端及移動終端上的應用軟體,個別條款不適用於特殊行業、專業應用,其他終端也可參考使用。
據介紹,APP進行個人信息處理時應遵循以下最小必要原則,即處理個人信息應當具有明確、合理的目的,並應當限於實現處理目的的最小範圍,不得進行與處理目的無關的個人信息處理。
具體來看,在告知同意要求方面,告知同意應遵循最小必要原則,即APP所提供服務涵蓋多項業務功能的,收集使用個人敏感信息時,宜按業務功能進行單項或分項徵得用戶同意,不宜要求用戶一次性接受並授權同意其未申請或使用的業務功能收集個人信息的請求。
告知同意的時機及頻率應遵循最小必要原則,宜在收集使用之前或收集使用之際的適當時機告知,增進用戶對告知與所收集的個人信息之間關聯性的理解;並以必要最小限度的頻率告知,確保用戶的服務體驗質量。
在權限要求方面,權限的申請應遵循最小必要原則,即只申請與業務功能相關的權限,不應過度申請權限。對於第三方SDK等外部代碼的引用,APP應確認其相關權限的申請同樣滿足最小化原則,限制SDK過度申請權限。如APP的業務場景中,不包含位置相關場景,則不應申請位置權限。
APP宜優先採用系統自身功能,代替調用相關敏感權限。在存在替代功能實現方式的情況下,不應以提升用戶體驗為由,強迫用戶授予權限。
權限的使用應遵循最小必要原則,即應合理使用申請的權限,不應濫用權限,且實際使用的權限不應超出告知同意的範圍。
在收集要求方面,收集個人信息的類型應遵循最小必要原則,即在收集個人信息的類型,不應超出業務場景的實際需要,法律法規要求的除外。
收集個人信息的數量應遵循最小必要原則,即在收集個人信息的數量,不應超出業務場景的實際需要。
收集個人信息的頻率應遵循最小必要原則,即收集個人信息的頻率,不應超出業務場景的實際需要。
在使用要求方面,使用個人信息的類型、數量及頻率應遵循最小必要原則,不應超出業務場景的實際需要,法律法規要求的除外。
使用個人信息時,除目的所必需外,應消除明確身份指向性,避免精確定位到特定個人。
使用個人信息進行定向推送應遵循最小必要原則,即對用戶進行用戶畫像的個人信息不應超出業務場景的實際需要。
使用個人信息進行定向推送應告知用戶使用的個人信息來源,是APP收集還是來源於其他第三方。
使用個人信息進行定向推送應顯著區分個性化展示和非個性化展示,顯著區分的方式包括但不限於:標明「推薦」、「猜你喜歡」等字樣,或通過不同的欄目、版塊、頁面分別展示等。
使用個人信息進行定向推送應當同時向該用戶提供關閉個性化展示的選項。此外,APP宜建立用戶對個性化展示所依賴的個人信息(如標籤、畫像維度等)的自主控制機制,保障用戶調控定向推送展示相關性程度的能力。
在傳輸要求方面,傳輸個人信息的類型及數量應遵循最小必要原則,不應超出業務場景的實際需要,法律法規要求的除外。
傳輸個人信息的頻率應遵循最小必要原則,不應超出業務場景的實際需要。
第三方共享要求方面,個人信息的第三方共享均應遵循最小必要原則,即委託處理、共享、轉讓、公開披露的個人信息類型、數量及頻率,不應超出業務場景的實際需要,法律法規要求的除外。其中,共享個人身份信息、網絡身份標識等個人信息前,應徵得用戶的授權同意。
刪除要求方面,超出存儲期限後,應對個人信息進行刪除或匿名化處理。
據了解,電信終端產業協會是由中國信息通信研究院聯同國內電信運營商、電信終端設備製造商、系統設備製造商、認證檢測機構和研究機構共同發起的自願性、非盈利的國家級社會組織,主管單位為工業和信息化部。
(文章來源:中新經緯)