酷应用

热点追踪 | App收集的最小必要信息有哪些？-运动健身、问诊挂号、网页浏览器、输入法、安全管理

百家作者：甜橙安全应急响应中心 2020-11-12 15:20:46

本文转自@App个人信息举报

标准名称

《信息安全技术移动互联网应用（App）收集个人信息基本规范》（报批稿），该国家标准由全国信息安全标准化技术委员会归口并组织编制。

适用范围

标准针对App存在的超范围收集个人信息、过度或强制索权、捆绑授权等突出问题，提出了App相关的38种常见服务类型的最小必要个人信息范围。标准适用于移动互联网应用提供者规范个人信息收集活动，也适用于主管监管部门、第三方评估机构等组织对移动互联网应用收集个人信息行为进行监督、管理和评估。

投票目的

为进一步验证标准内容合理性，保障标准在评估App等方面实施的效果，App专项治理工作组联合全国信安标委秘书处，每批将对（3-5类）服务类型收集的最小必要信息范围以投票形式进行社会调研，同时，还可直接向pip-jbz@tc260.org.cn邮箱反馈意见。

核心概念

01 丨服务类型

App所提供的满足用户具体使用需求、不同性质的业务功能类别。如地图导航、网络约车、即时通信等。

02 丨最小必要个人信息

保障某一服务类型正常运行最少够用的个人信息，一旦缺少将导致该服务类型基本业务功能无法实现或无法正常运行。

17

运动健身类

为用户提供运动记录和健康建议服务，包括健身运动管理、健康建议等功能。
	最小必要个人信息	使用要求
1	账号信息（含账号、口令）	用于标识运动健身用户和保障账号信息安全。
2	位置信息（含精准定位信息、运动轨迹）	用于实时确定用户位置和展示用户运动的轨迹。
3	个人运动信息	用于展示运动过程整体状态信息、运动效果信息及提供健身建议。
4	基本健康资料（含身高、体重）	用于结合个人运动信息给出更好的运动和健康建议。

注：上表仅列出通过运动健身类移动互联网应用线上收集的个人信息。目前运动健康服务所收集数据通常通过移动互联网应用和辅助设备（如智能手环）获取，直接或间接从辅助设备获得的用户个人健康数据未在本规范要求范围内。

18

问诊挂号类

为用户提供在线问诊、在线挂号的医疗服务。
	最小必要个人信息	使用要求
1	账号信息（含账号、口令）	用于标识问诊挂号用户和保障账号信息安全。
2	手机号码	用于满足注册用户实名认证要求，也可用于医生与患者之间的联系，也可用于预约挂号成功后的短信通知。
3	患者身份信息（含患者姓名、患者身份证件种类、患者身份证件号码）	用于在预约挂号时对用户身份进行认证。
4	医患沟通信息（含性别、年龄、病情描述（图文）、过往病史、是否首诊）	用于在线问诊时供当前医生判断患者病情。
5	预约挂号信息（含医院、科室）	用于帮助患者完成预约挂号流程。
6	订单记录	用于用户订单查询、客服售后等，保障用户权益。
7	第三方支付信息	用于用户使用第三方支付方式对问诊挂号订单付款，通常包括支付时间、支付金额、支付渠道等。

网页浏览器类

为用户提供通过输入网址或站点导航浏览网上信息资源功能的服务，包括网页浏览、文件下载、资源收藏等功能。
	最小必要个人信息	使用要求
1	无	无

20

输入法类

为用户提供通过键盘、手写、语音等方式输入字符功能的服务。
	最小必要个人信息	使用要求
1	无	无

21

安全管理类

为用户提供查杀木马病毒、清理恶意插件、修复漏洞、清理优化、骚扰拦截、权限管理等功能。
	最小必要个人信息	使用要求
1	应用程序列表可变设备识别码	用于查杀木马病毒、清理恶意插件功能。
2	SSID BSSID	用于恶意Wi-Fi热点检测。
3	URL访问记录	用于恶意网址检测。
4	来去电号码	用于识别诈骗骚扰电话，用于诈骗骚扰电话拦截。