热点追踪 I App收集的最小必要信息有哪些?

百家 作者:甜橙安全应急响应中心 2020-11-02 16:55:38

本文转自@App个人信息举报


标准名称

《信息安全技术 移动互联网应用(App)收集个人信息基本规范》(报批稿),该国家标准由全国信息安全标准化技术委员会归口并组织编制。


适用范围

标准针对App存在的超范围收集个人信息过度或强制索权捆绑授权等突出问题,提出了App相关的38种常见服务类型最小必要个人信息范围。标准适用于移动互联网应用提供者规范个人信息收集活动,也适用于主管监管部门、第三方评估机构等组织对移动互联网应用收集个人信息行为进行监督、管理和评估


投票目的

为进一步验证标准内容合理性,保障标准在评估App等方面实施的效果App专项治理工作组联合全国信安标委秘书处,每批将对(3-5类)服务类型收集的最小必要信息范围以投票形式进行社会调研,同时,还可直接向pip-jbz@tc260.org.cn邮箱反馈意见。


核心概念



01 丨 服务类型




App所提供的满足用户具体使用需求、不同性质的业务功能类别。如地图导航、网络约车、即时通信等。

02 丨 最小必要个人信息



保障某一服务类型正常运行最少够用的个人信息,一旦缺少将导致该服务类型基本业务功能无法实现或无法正常运行。



01



地图导航类

为用户提供互联网地图和导航功能。

最小必要个人信息使用要求
1精准定位信息
用于确定用户位置,提供地图搜索展示和导航服务。
2行踪轨迹
用于在导航服务中判断实时路况及重新规划导航路线。

02


网络约车类

为用户提供网络预约汽车服务,不包括私人小客车合乘(顺风车)。

最小必要个人信息使用要求
1账号信息(含账号、口令)用于标识网络约车用户和保障账号信息安全。
2
手机号码
用于司机与乘客联系(包含用户注册手机号码及代叫车场景下的乘车人手机号码)。
3
位置信息(含出发地、到达地、精准定位信息、行踪轨迹)
精准定位信息用于确定用户当前位置,推荐周围上车点,搜索显示附近车辆信息。
行踪轨迹用于保障行程安全及处理用户纠纷。
4
订单记录
用于实现用户订单查询和处理用户纠纷。
5
第三方支付信息
用于用户使用第三方支付方式对约车订单付款,通常包括支付时间、支付金额、支付渠道等。

注:上表所列个人信息为网络约车乘客的个人信息,不包含网络约车驾驶员的个人信息。

此外,为保证行程安全,保障司乘合法权益,网络约车类移动互联网应用服务过程中还可能记录行程录音信息,但后台行程录音信息的使用应进行严格权限控制

03



即时通信类

为用户提供在线文字、语音、视频等形式的通信服务,或基于即时通信的交友互动等服务。

最小必要个人信息使用要求
1账号信息(含账号、口令、昵称、头像)
用于标识即时通信用户、保障账号信息安全和用户聊天交流。
2手机号码
用于用户注册,满足注册用户实名认证要求。
3
好友列表
用于建立和管理用户在即时通信应用的联系人关系。
应允许用户在即时通信应用中手动添加好友,而不应强制读取用户的通讯录。
4
群列表
用于实现群组聊天功能。
5仅对公众账号信息发布服务使用者收集:身份认证信息(含姓名、证件类型、证件号码)
用于满足互联网用户公众账号相关管理规定要求,对公众账号用户进行真实身份信息的实名强认证。

陌生人聊天匹配场景下,可能会收集用户的性别、年龄;如果是基于地理位置匹配时,可能会收集用户的位置信息,收集以上个人信息应告知用户并获得用户明示同意



———— / END / ————




-  -

burpsuite为啥能解https的包


- 甜橙安全小课堂 -

《手机丢了,第一时间一定要先做这件事!


- 热点追踪-

《 国家网络安全宣传周 “App个人信息保护”主题发布活动预告》



 




关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接