全國信息安全標準化技術委員會歸口的10項國家標準正式發(fā)布��,并于2022年11月1日正式實施����,其中包括一項個人信息保護方面的重點標準:《信息安全技術 移動互聯(lián)網應用程序(App)收集個人信息基本要求(GB/T 41391-2022)》(以下簡稱“《App收集個人信息基本要求》”)。該標準旨在落實《常見類型移動互聯(lián)網應用程序必要個人信息范圍規(guī)定》和《App違法違規(guī)收集使用個人信息行為認定方法》兩項部門工作文件����,沿襲了兩項部門工作文件的重要概念,并進一步細化了App收集個人信息的要求��,具有很強的實踐參考價值��。
適用范圍
App運營者規(guī)范其個人信息收集活動����,也適用于監(jiān)管部門、第三方評估機構等對App個人信息收集活動進行監(jiān)督�����、管理和評估。其中�,App包括移動智能終端預置、下載安裝的應用程序和小程序���。小程序指基于應用程序開放接口實現(xiàn)的���,用戶無需安裝即可使用的移動互聯(lián)網應用程序。
主要內容
《App收集個人信息基本要求》以App類型劃分為基礎��,區(qū)分不同類型以要求和附錄相結合的形式明確了App收集個人信息中如何貫徹最小必要原則���、如何確定必要個人信息范圍、特定類型個人信息的收集處理方式����、告知同意的具體要求、系統(tǒng)權限和第三方的管理方式���。
附件:新國標《App收集個人信息基本要求》:無單獨同意����,不應分析相冊中生物識別信息
反映當前App收集使用個人信息整體情況,為行業(yè)企業(yè)和全社會了解當前App個人信息安全形勢提供參考,對社會公眾提高個人信息安全意識起到宣傳促進作用
梳理和識別了企業(yè)開展個人信息保護合規(guī)審計工作所面臨的60余項主要風險點,給予企業(yè)可操作的審計指導,合規(guī)性 專業(yè)性 全面性 可操作性
從法律法規(guī),標準體系,檢測平臺,監(jiān)管實踐等方面,系統(tǒng)梳理了前期有關部門組織開展 APP 個人信息保護治理工作的情況
界定了適用范圍和監(jiān)管主體���;確立了知情同意,最小必要兩項重要原則���;細化了App開發(fā)運營者、分發(fā)平臺��、第三方服務提供者��、終端生產企業(yè)���、網絡接入服務提供者五類主體責任義務
T/TAF 078.4-2020 APP用戶權益保護測評規(guī)范權限索取行為�,適用于移動應用軟件提供者規(guī)范用戶收集使用個人信息處理活動
T/TAF 078.3-2020 APP用戶權益保護測評規(guī)范個人信息獲取行為���,適用于移動應用軟件提供者規(guī)范用戶收集使用個人信息處理活動
T/TAF 078.6-2020 APP用戶權益保護測評規(guī)范違規(guī)收集個人信息��,適用于移動應用軟件提供者規(guī)范用戶收集使用個人信息處理活動
T/TAF 078.5-2020 APP用戶權益保護測評規(guī)范違規(guī)使用個人信息�,適用于移動應用軟件提供者規(guī)范用戶收集使用個人信息處理活動
T/TAF 078.1-2020 APP用戶權益保護測評規(guī)范 超范圍收集個人信息����,適用于移動應用軟件提供者規(guī)范用戶收集使用個人信息處理活動
T/TAF 077.7-2020 APP收集使用個人信息最小必要評估規(guī)范人臉信息,旨在對移動互聯(lián)網行業(yè)收集使用用戶人臉信息進行規(guī)范�����,落實最小、必要的原則���,進一步促進移動互聯(lián)網行業(yè)的健康穩(wěn)定發(fā)展
T/TAF 077.6-2020 APP收集使用個人信息最小必要評估規(guī)范軟件列表���,對移動互聯(lián)網行業(yè)收集使用軟件列表進行規(guī)范,落實最小����、必要的原則
T/TAF 069.1-2020 移動應用分發(fā)平臺系列規(guī)范:APP信息展示規(guī)范,適用于生產企業(yè)和提供移動智能終端應用軟件分發(fā)服務的互聯(lián)網信息服務提供
