修订汇总 |《移动互联网应用（App）收集个人信息基本规范》（草案）主要修订内容汇总

注：为方便理解，本文序号与征求意见稿保持一致。

将最小必要信息原定义的 “保障某一服务类型正常运行所必需的个人信息，包括与服务类型直接相关……的个人信息”中“必需”调整为“最少够用”，删除“与服务类型直接相关”的表述。整体最小必要信息的主要标识即成为调整后的“最少够用”、“缺少将导致该类型服务无法实现或无法正常实现”及“法律法规要求必须收集”。

调整系统权限定义，由原“保障某一服务类型正常运行所必需的最少系统权限”，调整为“用于收集某一服务类型最小必要信息且需要个人信息主动授予的智能移动终端操作系统权限”。

运营者身份由原“移动互联网应用程序的所有者和管理者”增加“移动互联网应用程序服务的提供者”。

• 新增:

-       App应在首次运行时通过弹窗等明显方式向个人信息主体告知收集最小必要信息规则，如隐私政策的核心内容；

-       App运营者不应在征得个人信息主体授权同意前，产生个人信息收集行为。

• 规定App运营者收集与所提供的服务无关的个人信息的除外情形：法律法规的强制性要求；

• 对于“个人信息主体明确拒绝使用某服务类型后，app运营者不得频繁（如每48小时超过一次）征求个人信息主体同意使用该类型服务，并保证其他服务的正常使用”的规定增加除外情形：个人信息主体主动触发导致的征求同意相关提示。

• 删除“App 应对其使用的第三方代码、插件的个人信息收集行为负责。第三方代码、插件收集个人信息视同 App 收集”的内容，同步为与《个人信息安全规范》一致的个人信息控制者对无感知接入的第三方的监管责任，即，“在App运营者使用第三方代码或插件满足其特定功能时，如该第三方代码或插件具备个人信息收集功能且个人信息主体无法拒绝的，App运营者应确保第三方代码或插件履行个人信息安全保护义务”。

• 将超范围收集的个人信息应当应逐项征得用户明示同意的范围由“个人信息”缩小范围至为“个人敏感信息”。

• 对“个人信息主体关闭某服务类型后，App运营者应终止该服务类型收集个人信息的活动，并对仅用于该服务的个人信息进行删除或匿名化处理”设置“法律法规的强制性要求”的除外情形。

• 对“关闭服务类型”进行列举式定义：包括个人信息主体明确表明放弃使用该服务类型、或通过操作关闭该服务类型相关的交互式界面等。

该服务类型收集的最少信息类型中法律法规要求的个人信息范围除原草案中针对“仅对公众账号信息发布服务使用者收集”的身份证件号码外，根据《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》，新增允许收集“仅对使用信息发布功能的用户收集”的个人信息，包括：操作时间、操作类型、网络源地址和目标地址、网络源端口、客户端硬件特征、用户发布信息记录。

该服务类型收集的最少信息类型中，根据《支付机构反洗钱和反恐怖融资管理办法》的规定，依照法律法规要求收集的个人信息范围新增“身份基本信息”，包括：国籍、性别、职业、住址、联系方式。

该服务类型收集的最少信息类型中，根据《小额贷款公司网络小额贷款业务风险专项整治实施方案》与《个人贷款管理暂行办法》的要求，依照法律法规要求收集的个人信息范围新增“偿付能力”、“贷款用途”。

该服务类型收集的最少信息类型中，考虑到该类型应用的基本业务功能和目的需要“更好地给出运动和健康建议”，在实现服务所需个人信息新增允许收集“基本健康资料”信息，包括：性别、年龄、身高、体重。

该服务类型收集的最少信息类型中，考虑到该类型应用的基本业务功能和目的需要供“医生判断患者病情”，在实现服务所需个人信息中“医患沟通信息”新增允许收集“过往病史”信息。