GB/T 41391-2022
信息安全技術 移動互聯網應用程序(App)收集個人信息基本要求
Information security technology—Basic requirements for collecting personal information in mobile internet applications
GBT41391-2022, GB41391-2022
標準核心內容解讀
| 核心原則 | 具體要求 | 合規示例 |
|---|---|---|
| 最小必要收集 | 個人信息收集限于實現功能的最小范圍,頻率、精度需合理 | 地圖導航類App僅收集出發地、到達地、實時位置 |
| 功能劃分 | 區分基本業務功能與擴展業務功能,分別對應必要/非必要個人信息 | 電商App將商品購買列為基礎功能,個性化推薦列為擴展功能 |
| 告知同意 | 采用顯著方式告知核心政策,必要與非必要信息需拆分同意 | 通過分層彈窗明示生物識別信息的單獨使用目的 |
關鍵實施要求
權限管理規范
申請系統權限需滿足:
- 相機、位置等敏感權限需提供單次授權選項
- 禁止提前申請無關權限(如未使用社交功能時申請通訊錄權限)
- 權限拒絕后應提供替代方案(如手動輸入代替定位)
典型場景合規指引
| 服務類型 | 必要個人信息 | 敏感權限控制 |
|---|---|---|
| 網絡約車 | 出發地、到達地、行蹤軌跡 | 行程結束后立即匿名化軌跡數據 |
| 金融支付 | 姓名、身份證號、銀行卡號 | 生物識別信息不得作為唯一驗證方式 |
請注意,本內容不等同于標準原文,內容僅供參考,本站不保證內容的正確性。準確、完整的信息請參閱正式版文本。
點擊查看大圖
- 標準號
- GB/T 41391-2022
- 別名
- GBT41391-2022
GB41391-2022 - 發布
- 2022年
- 總頁數
- 52頁
- 發布單位
- 國家質檢總局
- 當前最新
- GB/T 41391-2022
- 引用標準
- GB/T 25069 GB/T 35273-2020
本文件規定了App 收集個人信息的基本要求,給出了常見服務類型App 必要個人信息范圍和使用要求。 本文件適用于App 運營者規范其個人信息收集活動,也適用于監管部門、第三方評估機構等對App 個人信息收集活動進行監督、管理和評估。