规范来了！App不可再“任性”收集这些个人信息：导航只可获取“位置”

　　YPS行业门户系统6月15日消息据新华社报道，日前，针对当前移动互联网应用中存在的超范围收集、强制授权、过度索权等个人信息收集安全问题，全国信息安全标准化技术委员会在其官网发布了《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》（以下简称《规范》），为移动互联网应用收集个人信息提供实践指引。

　　《规范》指出，依据《中华人民共和国网络安全法》中的相关要求，以及个人信息最少够用原则，针对App的基本业务功能，明确界定了保障其正常运行所需收集的个人信息，给出了每类业务功能相关的必要信息范围，其中包括地图导航、网络约车、即时通讯社交、社区社交、网络支付、新闻资讯、网上购物、短视频、快递配送、餐饮外卖、交通票务、婚恋相亲、求职招聘、金融借贷、房产交易、汽车交易。

　　《规范》中明确划定了地图导航类应用和短视频类应用可获取的必要信息仅一项，大大缩小了获取范围。比如，地图导航类应用其基本业务功能必要信息仅为位置信息，包括精准定位信息和行踪轨迹；短视频类应用只能获取用户关注的账号信息，但自媒体用户则需要提供姓名、证件和证件号码等用于实名认证的信息。

　　针对目前较多App读取用户通讯录的要求，《规范》也给出了明确的范围限制。比如金融借贷类应用，《规范》要求，应允许用户手动输入两位紧急联系人信息，而不应强制读取用户的通讯录；即时通讯社交应用，应该允许用户手动添加好友，而不应强制读取用户的手机通讯录。

　　《规范》中还指出，浏览、搜索、点击等操作记录通常是非必要信息，收集时应告知用户并征得其同意；保存和使用个人上网记录时，对个人信息进行去标识化处理；使用个人上网记录用于分析用户画像进行个性化展示和推荐时，告知用户使用目的，并提供用户退出定向推送模式选项。

　　以新闻资讯类应用为例，其基本业务功能必要信息仅为关注的账号和自媒体用户信息。随着新闻资讯应用的发展，也存在以个性化推荐资讯内容为核心业务模式的聚合类新闻应用，其需收集用户的浏览操作记录，以便向用户推送可能感兴趣的内容。根据《规范》，该业务功能应告知用户并征得其同意，如果用户拒绝，App应提供让其退出定向推送模式的渠道。

　　此外，《规范》中还指出，此套标准适用于主管监管部门、第三方评估机构等对于个人信息收集行为进行监督、管理和评估。