网络安全实践指南移动互联网应用基本业务功能必要信息规范全国信息安全标准化技术委员会年月本文档可从以下网址获得前言网络安全实践指南以下简称实践指南是全国信息安全标准化技术委员会以下简称信安标委发布的技术文件实践指南旨在推广网络安全标准应对网络安全事件改善网络安全状况提高网络安全意识声明本实践指南版权属于全国信息安全标准化技术委员会未经委员会书面授权不得以任何方式复制抄袭影印翻译本指南的任何部分凡转载或引用本指南的观点数据请注明来源全国信息安全标准化技术委员会技术支持单位本实践指南得到中国电子技术标准化研究院中国网络安全审查技术与认证中心北京信息安全测评中心北京大学华为技术有限公司小米科技有限责任公司方达律师事务所以及百度地图高德地图滴滴出行微信百度贴吧知乎微博支付宝财付通今日头条搜狐新闻抖音短视频快手淘宝京东顺丰速运菜鸟裹裹美团饿了么铁路中国国航百合佳缘直聘京东金融贝壳找房瓜子二手车毛豆新车网人人车等移动互联网应用运营单位的技术支持引言为落实网络安全法第四十一条提出的网络运营者收集使用个人信息应当遵循合法正当必要的原则公开收集使用规则明示收集使用信息的目的方式和范围并经被收集者同意和网络运营者不得收集与其提供的服务无关的个人信息等要求本文件依据相关国家标准提出的个人信息最少够用原则针对当前移动互联网应用中存在的超范围收集强制授权过度索权等个人信息安全问题结合当前移动互联网技术及应用现状围绕用户数量大社会关注度高的移动互联网应用基本业务功能给出了保障其正常运行所需收集的个人信息为移动互联网应用收集个人信息提供实践指引目录一适用范围二术语定义三个人信息收集原则四基本业务功能相关必要信息一地图导航二网络约车三即时通讯社交四社区社交五网络支付六新闻资讯七短视频八网上购物九快递配送十餐饮外卖十一交通票务十二婚恋相亲十三求职招聘十四金融借贷十五房产交易十六汽车交易五通用功能相关必要信息一适用范围本规范给出了移动互联网应用收集个人信息的原则以及地图导航网络约车即时通讯社交社区社交网络支付新闻资讯网上购物短视频快递配送餐饮外卖交通票务婚恋相亲求职招聘金融借贷房产交易汽车交易类基本业务功能正常运行所需的个人信息本规范适用于移动互联网应用提供者规范个人信息收集行为也适用于主管监管部门第三方评估机构等对个人信息收集行为进行监督管理和评估还可为移动互联网应用开发者移动互联网应用分发平台运营者和移动智能终端厂商提供参考二术语定义移动互联网应用安装运行在移动智能终端上的应用程序业务功能满足个人信息主体的具体使用需求的业务或功能如地图导航网络约车即时通讯社交社区社交网络支付新闻资讯网上购物快递配送交通票务等基本业务功能满足个人信息主体选择使用移动互联网应用的最主要需求和根本期待的业务或功能非基本业务功能移动互联网应用所提供的基本业务功能之外的其他业务或功能必要信息保障移动互联网应用基本业务功能正常运行所需的个人信息关于个人信息的范围和类型参见信息安全技术个人信息安全规范附录移动互联网应用提供者提供移动互联网应用的组织或个人移动互联网应用开发者设计开发移动互联网应用程序的组织或个人包括移动互联网应用程序的开发者以及移动互联网应用集成的第三方代码开发者和提供者移动互联网应用分发平台运营者面向公众提供移动互联网应用分发服务的组织负责管理移动互联网应用分发平台对移动互联网应用开发者上传的应用软件进行内容审核版权保护发布和管理同时向移动互联网应用消费者提供应用软件搜索浏览下载的渠道移动智能终端厂商生产移动智能终端的组织移动智能终端是指能够接入移动通信网具备能够提供应用程序开发接口的开放操作系统并能够安装和运行应用软件的移动终端三个人信息收集原则移动互联网应用个人信息收集活动主要依据信息安全技术个人信息安全规范的个人信息安全基本原则遵循以下基本原则权责一致原则个人信息收集应遵循法律法规要求不采用非法的方式和渠道收集个人信息不收集法律法规禁止的个人信息不违反与用户的约定收集使用个人信息并对因个人信息处理活动对个人信息主体合法权益造成的损害承担责任目的明确原则向用户明示收集使用个人信息的目的方式和范围收集的个人信息及申请的权限应具有合法正当必要明确的收集使用目的和业务功能最少够用原则不收集与其提供的服务无关的个人信息不申请打开可收集无关个人信息的权限只收集满足业务功能所必需的最少类型和数量的个人信息自动收集个人信息的频率不超过业务功能实际所需的频率选择同意原则仅当用户知悉收集使用规则并明确同意后网络运营者方可收集个人信息不以改善服务质量提升用户体验定向推送信息研发新产品等为由以默认授权功能捆绑等形式强迫误导个人信息主体同意其收集个人信息不因个人信息主体拒绝或者撤销同意收集必要信息以外的其他信息而拒绝提供基本业务功能服务或频繁征求用户同意公开透明原则以明确具体简单通俗易于访问的方式公开收集使用个人信息的规则并接受外部监督确保安全原则采用足够的安全技术和管理措施保障个人信息收集安全防范数据窃取违规爬取采集传输泄密等安全风险四基本业务功能相关必要信息依据个人信息收集最少够用的原则本规范针对地图导航网络约车网上购物等类基本业务功能给出了每类业务功能相关的必要信息范围必要信息主要包括基本业务功能相关必要信息和通用功能相关必要信息基本业务功能相关必要信息是与基本业务功能直接关联一旦缺少会导致基本业务功能无法实现或无法正常运行的个人信息通用功能相关必要信息是相关法律法规要求保障移动互联网应用安全风险管控所必需的个人信息一地图导航地图导航是指基于用户地理位置为用户提供互联网地图和导航服务的业务功能包括基于用户地理位置定位提供地图搜索和展示服务及根据用户指令提供由起点到终点的路线规划导航服务地图导航基本业务功能收集的必要信息如表所示表地图导航基本业务功能必要信息业务功能地图导航收集信息位置信息使用要求精准定位信息仅用于确定用户位置精准定位信息进行地图搜索展示和导航服务行踪轨迹行踪轨迹仅用于在导航服务中判断实时路况及重新规划导航路线二网络约车网络约车是指为用户提供网络预约汽车服务不包含汽车租赁服务的业务功能涉及网络预约快车专车豪华车出租车顺风车等网络约车基本业务功能收集的必要信息如表所示表网络约车基本业务功能必要信息业务功能收集信息使用要求手机号码仅用于满足注册用户实名认证要求及司机与乘客联系账号信息账号口令仅用于标识网络约车用户和保障账号信息安全位置信息精准定位信息仅用于确定用户当前精准定位信息位置推荐周围上车点搜索显示附行踪轨迹近车辆信息行踪轨迹仅用于保障行程安全及处网络约车理用户纠纷满足网络预约出租汽车经营服务管理暂行办法要求交易信息仅用于处理用户纠纷满足网络预约订单出发地出租汽车经营服务管理暂行办法要订单到达地求订单金额下单时间第三方支付信息支付方式支付状态仅用于用户使用第三方支付方式对叫车订单付款表所列个人信息主要是收集的网约车乘客用户的个人信息不包含网约车车主用户的个人信息三即时通讯社交即时通讯社交是指为用户提供即时通讯和社交服务例如采用文字图片语音视频等形式聊天进行语音通话视频通话建立和反映用户关系提供社交互动和社交空间展示等功能即时通讯社交基本业务功能收集的必要信息如表所示表即时通讯社交基本业务功能必要信息业务功能收集信息手机号码使用要求仅用于用户注册满足注册用户实名认证要求账号信息即时通讯社账号口令昵称头像好友列表仅用于标识即时通讯用户保障账号信息安全和用户聊天交流仅用于建立和管理用户在即时通讯社交应用的联系人关系交应允许用户在即时通讯社交应用中手动添加好友而不应强制读取用户的通讯录好友信息好友账号仅用于向用户展示好友基本信息或经本人同意后授权第三方平台登录使用好友昵称好友头像群列表仅用于实现群组聊天功能四社区社交社区社交是指为具有相同兴趣和共性特征的用户提供社区和社交服务包括话题讨论信息分享和关注互动等功能社区社交基本业务功能收集的必要信息如表所示表社区社交基本业务功能必要信息业务功能社区社交收集信息使用要求手机号码仅用于用户注册满足注册用户实名认证要求账号信息账号口令昵称头像仅用于标识社区社交用户保障账号信息安全和用户社区互动交流用户关注的内容仅用于建立和管理用户和社区内容如关注的栏目关注的话题关注的吧等的关注关系以及向用户展示和推送关注的内容关注用户列表仅用于建立和管理社区用户间的关注关系以及向用户展示和推送关注的用户发布的图文资讯音视频链接等应允许用户在社区社交应用中手动设置关注用户而不应强制读取用户的通讯录公众账号用户信息仅仅用于满足互联网用户公众账号相对公众账号用户收集关管理规定要求对公众账号用户姓名进行真实身份信息的实名强认证证件类型证件号码五网络支付网络支付是指为用户提供在收付款人之间转移货币资金的服务的业务功能包括充值与提现转账交易账单等功能用户通常远程发起支付指令且付款客户电子设备不与收款客户特定专属设备交互网络支付基本业务功能收集的必要信息如表所示表网络支付基本业务功能必要信息业务功能收集信息使用要求手机号码仅用于用户注册满足注册用户实名认证要求网络支付账号信息仅用于标识网络支付用户和保障账账号口令号信息安全身份信息仅用于对支付客户进行实名制管姓名理满足非银支付相关规范性文件身份证件种类要求身份证件号码身份证件有效期限身份证件复印件或影印件银行账户信息仅用于实现银行卡和支付账号绑开户行名称卡银行卡身份认证充值提现银行卡卡号转账功能银行卡有效期限银行预留手机号码交易信息支付指令交易金额交易对象交易商品交易时间交易渠道交易类型交易币种仅用于实现收款转账等支付功能满足相关法律法规要求交易身份验证信息用户仅用于对用户真实身份进行验证支付时可任选一种静态密码数字证书电子签名动态密码以确保用户账户与资金安全此外支付机构通常还会提供基于生物特征的身份验证方式会涉及个人生物特征信息但由于生物特征信息比较敏感应再次告知用户并获得用户明示同意并应优先采取本地终端认证机制六新闻资讯新闻资讯是指为用户提供浏览搜索和发布图文音视频等新闻资讯信息服务的业务功能包括实时新闻热门资讯等功能新闻资讯业务基本功能收集的必要信息如表所示表新闻资讯基本业务功能必要信息业务功能收集信息使用要求关注的账号仅用于向用户展示和推送关注的账号所发布的新闻资讯自媒体用户信息新闻资讯仅用于满足相关法律法规的实名认仅对自媒体用户收证要求对自媒体用户进行真实身集份信息的实名强认证姓名证件类型证件号码新闻资讯业务功能应以提供新闻资讯浏览为主要目的传统新闻类应用在用户浏览时通常不收集个人信息但随着新闻资讯应用的发展也存在以个性化推荐资讯内容为核心业务模式的聚合类新闻应用该定制化新闻资讯推送功能通常会收集用户的浏览操作记录用于挖掘用户可能感兴趣的内容及最有价值的新闻进行推送该业务功能需要告知用户并征得其同意如果用户拒绝可退出定向推送模式七短视频短视频是指为用户提供浏览搜索制作上传发布短视频等服务的业务功能短视频基本业务