ICS 33.030 CCS M21 YD 中华人民共和国通信行业标准 YD/T XXXXXXXXX 移动互联网应用程序（APP）收集使用个人 信息最小必要评估规范 第2部分：位置信息 Application personal information collection and usage minimization and necessity evaluation specification -: Part 2:Location (报批稿） XXXX-XX-XX 发布 XXXX-XX-XX 实施 中华人民共和国工业和信息化部 发布 YD/TXXXXXXXXX 目 次 1范围.. 2规范性引用文件 3术语、定义和缩略语 3.1术语和定义 3.2缩略语..... 4基本原则. 5数据来源及分类 6典型应用场录.. 7最小必要处理活动 7.1告知同意.. 7.2收集 7.3存储... 7.4使用.. 7.5传输.. 7.6删除... 8测试评估方法 8.1告知同意 8.2收集阶段 8.3存储阶段.. 8.4使用阶段... 8.5传输阶段 8.6删除阶段， 附录A（规范性）APP个人位置信息数据业务场录及使用原则 参考文献。 16 YD/T XXXXXXXXX 前言 言 本文件按照GB/T1.1一2020标准化工作导则 第1部分：标准化文件的结构和起草规则”的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国通信标准化协会提出并归口。 本标准起草单位：中国信息通信研究院、北京三快在线科技有限公司、北京字节跳动科技有限公司、 深圳荣耀智能机器有限公司、华为技术有限公司 本标准主要起草人：未恺、王艳红、方强、吴斌、方锦涛、王芳、徐辉、段航、李晓旺、于磊、杜 瑶、喻杨、安潇羽、刘凯红、赵晓娜、常新苗、衣强 2 YD/TXXXXX-XXXX 引言 随若移动应用种类和数量呈爆发式增长，APP侵害用户权益事件层出不穷，个人信息保护态势愈加 严，如何保护用户个人信息，尤其是人脸、通讯录、短信、位置、图片等个人敏感信息受到国家和社 会公众高度关注。 APP收集使用个人信息最小必要评估旨在对移动互联网行业收集使用用户人脸、通讯录、短信、位 置、图片等个人敏感信息进行规范，落实最小、必要的原则。YD/TXXXX拟由16个部分构成： 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第1部分：总则： 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第2部分：位置信息： 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第3部分：图片信息： 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第4部分：终端通讯录： 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第5部分：位置信息： 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第6部分：软件列表： 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第7部分：人脸信息： 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第8部分：录像信息： 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第9部分：录音信息： 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第10部分：通话记录： 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第11部分：短信信息： 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第12部分：好友列表： 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第13部分：传感器信息： 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第14部分：应用日志信息： 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第15部分：身份信息： 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第16部分： 剪切板信息 3 YD/T XXXXX-XXXX 移动互联网应用程序（APP）收集使用个人信息最小必要评估规范 第2部分：位置信息 1 范围 本文件规定了移动互联网应用程序（APP）在处理涉及用户个人信息（位置信息）的告知同意、收 集、存储、使用、删除、传输、删除等活动中的最小必要评估规范，并通过设备信息在处理活动中的典 型应用场景来说明如何落实最小必要原则。 本文件适用于移动互联网应用程序（APP）提供者规范用户个人信息（位置信息）的处理活动，也 适用于第三方评估机构等组织对移动应用软件收集使用设备信息行为进行监督、管理和评估。 2 规范性引用文件 下列文件对于本标准的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本标准。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本标准 GB/T4754-2017 国民经济行业分类 GB/T35273 信息安全技术个人信息安全规范 YD/T XXXX-XXXX.1 移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第1部分： 总则 3术语、定义和缩略语 3.1术语和定义 YD/TXXXX-XXX.1中界定的以及下列术语和定义适用于本文件。 3.1.1 移动智能终端smartmobileterminal 能够接入移动通信网，具有能够提供应用软件开发接口的操作系统，具有安装、加载和运行应用软 件能力的终端。 3.1.2 移动应用软件mobileapplication 针对移动智能终端所开发的应用程序，包括移动智能终端预置应用软件以及互联网信息服务提供者 提供的可以通过智能终端下载、安装、升级、卸载的应用软件。 3.2缩略语 下列缩略语适用于本文件。 APP：应用软件（Application） IP：互联网协议（InternetProtocol） 4 基本原则 4 YD/TXXXXX-XXXX 对个人信息处理活动中位置信息收集使用的原则应满足YD/TXXXX-XXXX.1《移动互联网应用程序 （APP）收集使用个人信息最小必要评估规范第1部分：总则》中的最小必要原则。 APP收集使用个人信息位置信息分类如图1所示。位置信息数据来源于终端定位信息，用户填写 的位置信息，图片、视频数据中的位置信息，APP将这些信息经过处理后应用广告服务、搜索服务等8 类应用场录， 最终形成居民和家庭服务、健康服务等12类典型业务场景中的APP功能用户提供服务。 用产管理限弄 国片，我来的量中的位是 图1APP收集使用个人位置信息分类 数据来源及分类 根据APP业务场景，APP可收集的位置信息数据分类包括： 终端定位信息（卫星定位信息、无线网络信息、移动通信基站定位、传感器、IP地址等）： 用户填写的位置信息： 一图片、录像数据中的位置信息。 典型应用场景 在完成个人位置信息数据收集后，APP服务提供商可对个人位置信息进行数据处理。 位置信息数据加工后的典型应用场景如表1所示： 表1位置信息使用的典型场累 典型场景 使用目的 地图服务 a) 定位服务 6.1 b) 逆地理编码 c) 位置披索与推荐 d) 路径服务《如步行、骑行、驾车路径规划、生成行 5 YD/T XXXXXXXXX 踪轨迹等服务） e) 路况服务 广告服务 实现广告定向推送 6. 2 调度服务 配送等场景的运力调度服务 6. 3 资产管理服务 依据位置信息的资产识别服务 6. 4 搜索服务 实现基于位置信息的服务搜索功能 6. 5 推荐服务 实现推荐服务 6.6 画像服务 实现用户画像服务 6. 7 风控服务 实现对APP功能的风险控制 6.8 注：当应用的使用场景未包含在表1位置信息使用典型场景中时，应用可根据实际需要进行最小必要评估。 最小必要处理活动 7. 1 告知同意 告知同意应符合以下要求： a) 收集位置信息应获得用户投权，不应在用户不知情的情况下使用位置信息信息。 b) 收集位置信息信息应告知用户收集位置信息的实际目的，不应扩大位置信息信息的使用目的。 c) 对于符合GB/T35273中征得投权同意的例外的情形，可告知用户但不需要个人信息主体投权同意。 7.2收集 收集阶段应符合以下要求： a) 收集的位置信息类型应与实现产品或服务的业务功能有直接关联。 b) 从其他数据提取位置信息的，应在获取该数据时对数据用途明示，使用该数据中的位置信息时可不 单独明示同意。 根据收集位置信息后加工应用的典型场录不同，APP可收集的位置信息来源应满足表2APP收集 位置信息来源要求。 注1：权限要求为“X”的应在满足7.1及7.2a）要求基础上，单独征得用户明示同意，并保障用户可拒绝或撤回 同意个人信息收集的权利。 表2 APP收集位置信息来源 典型场景 终增定位信息 用户填写的位量信息 图片和视娠激据中的 位量信息 地图服务 、 、 a) b) 广告服务 X 6 YD/TXXXXX-XXXX c) 调度服务 X d) 资产管理服务 e) 搜索服务 X t) 推荐服务 画像服务 X h) 风控服务 X 7.3存储 存储阶段应符合以下要求： a) 位置信息的存储时间应保证最小化： (q 若法律法规或行业监管对信息保存期限另有要求，要遵守该保存期限的要求（例如物流行业）。政 策监管无具体要求的，存储期限应满足移动应用功能所需的最高时限。 7.4使用 使用阶段应符合以下要求： a) 使用位置信息时，不应超出与收集个人信息时所声称的目的具有直接或合理关联的范围。因业务需 要，确需超出上述范围使用个人信息的，应再次征得个人信息主体明示同意， b) 若所收集的位置