TC260-PG-20191A 网络安全实践指南 —移动互联网应用基本业务功能必要信息 规范 v1.0-201906 全国信息安全标准化技术委员会 2019 年 6 月 本文档可从以下网址获得： www.tc260.org.cn 前 言 《网络安全实践指南》（以下简称“实践指南”）是全国 信息安全标准化技术委员会（以下简称“信安标委”，TC260） 发布的技术文件。实践指南旨在推广网络安全标准，应对网 络安全事件，改善网络安全状况，提高网络安全意识。 I 声 明 本实践指南版权属于全国信息安全标准化技术委员会。 未经委员会书面授权，不得以任何方式复制、抄袭、影印、 翻译本指南的任何部分。凡转载或引用本指南的观点、数据， 请注明“来源：全国信息安全标准化技术委员会”。 技术支持单位 本实践指南得到中国电子技术标准化研究院、中国网络安全 审查技术与认证中心、北京信息安全测评中心、北京大学、华为 技术有限公司、小米科技有限责任公司、方达律师事务所，以及 百度地图、高德地图、滴滴出行、微信、QQ、百度贴吧、知乎、 微博、支付宝、财付通、今日头条、搜狐新闻、抖音短视频、快 手、淘宝、京东、顺丰速运、菜鸟裹裹、美团、饿了么、铁路 12306、中国国航、百合佳缘、BOSS 直聘、京东金融、贝壳找 房、瓜子二手车、毛豆新车网、人人车等移动互联网应用运营单 位的技术支持。 II 引 言 为落实《网络安全法》第四十一条提出的“网络运营者 收集、使用个人信息，应当遵循合法、正当、必要的原则， 公开收集、使用规则，明示收集、使用信息的目的、方式和 范围，并经被收集者同意”和“网络运营者不得收集与其提 供的服务无关的个人信息”等要求，本文件依据相关国家标 准提出的个人信息最少够用原则，针对当前移动互联网应用 中存在的超范围收集、强制授权、过度索权等个人信息安全 问题，结合当前移动互联网技术及应用现状，围绕用户数量 大、社会关注度高的移动互联网应用基本业务功能，给出了 保障其正常运行所需收集的个人信息，为移动互联网应用收 集个人信息提供实践指引。 III 目 录 一、适用范围................................................................................................................ 2 二、术语定义................................................................................................................ 2 三、个人信息收集原则................................................................................................ 4 四、基本业务功能相关必要信息................................................................................ 5 （一）地图导航..................................................................................................... 5 （二）网络约车..................................................................................................... 6 （三）即时通讯社交............................................................................................. 6 （四）社区社交..................................................................................................... 7 （五）网络支付..................................................................................................... 8 （六）新闻资讯................................................................................................... 10 （七）短视频....................................................................................................... 10 （八）网上购物................................................................................................... 11 （九）快递配送................................................................................................... 12 （十）餐饮外卖................................................................................................... 13 （十一）交通票务............................................................................................... 14 （十二）婚恋相亲............................................................................................... 15 （十三）求职招聘............................................................................................... 15 （十四）金融借贷............................................................................................... 16 （十五）房产交易............................................................................................... 18 （十六）汽车交易............................................................................................... 19 五、通用功能相关必要信息...................................................................................... 20 1 一、适用范围 本规范给出了移动互联网应用收集个人信息的原则，以及地图导 航、网络约车、即时通讯社交、社区社交、网络支付、新闻资讯、网 上购物、短视频、快递配送、餐饮外卖、交通票务、婚恋相亲、求职 招聘、金融借贷、房产交易、汽车交易16类基本业务功能正常运行所 需的个人信息。 本规范适用于移动互联网应用提供者规范个人信息收集行为，也 适用于主管监管部门、第三方评估机构等对个人信息收集行为进行监 督、管理和评估，还可为移动互联网应用开发者、移动互联网应用分 发平台运营者和移动智能终端厂商提供参考。 二、术语定义 1、移动互联网应用 安装、运行在移动智能终端上的应用程序。 2、业务功能 满足个人信息主体的具体使用需求的业务或功能。如地图导航、 网络约车、即时通讯社交、社区社交、网络支付、新闻资讯、网上购 物、快递配送、交通票务等。 3、基本业务功能 满足个人信息主体选择使用移动互联网应用的最主要需求和根 本期待的业务或功能。 2 4、非基本业务功能 移动互联网应用所提供的基本业务功能之外的其他业务或功能。 5、必要信息 保障移动互联网应用基本业务功能正常运行所需的个人信息。关 于个人信息的范围和类型参见 GB/T 35273《信息安全技术 个人信息 安全规范》附录 A。 6、移动互联网应用提供者 提供移动互联网应用的组织或个人。 7、移动互联网应用开发者 设计开发移动互联网应用程序的组织或个人，包括移动互联网应 用程序的开发者，以及移动互联网应用集成的第三方代码开发者和提 供者。 8、移动互联网应用分发平台运营者 面向公众提供移动互联网应用分发服务的组织，负责管理移动互 联网应用分发平台，对移动互联网应用开发者上传的应用软件进行内 容审核、版权保护、发布和管理，同时向移动互联网应用消费者提供 应用软件搜索、浏览、下载的渠道。 9、移动智能终端厂商 生产移动智能终端的组织。移动智能终端，是指能够接入移动通 信网，具备能够提供应用程序开发接口的开放操作系统，并能够安装 和运行应用软件的移动终端。 3 三、个人信息收集原则 移动互联网应用个人信息收集活动，主要依据 GB/T 35273《信 息安全技术 个人信息安全规范》的“4 个人信息安全基本原则”， 遵循以下基本原则： 1）权责一致原则——个人信息收集应遵循法律法规要求，不采 用非法的方式和渠道收集个人信息，不收集法律法规禁止的个人信 息，不违反与用户的约定收集使用个人信息，并对因个人信息处理活 动对个人信息主体合法权益造成的损害承担责任。 2）目的明确原则——向用户明示收集使用个人信息的目的、方 式和范围，收集的个人信息及申请的权限应具有合法、正当、必要、 明确的收集使用目的和业务功能。 3）最少够用原则——不收集与其提供的服务无关的个人信息， 不申请打开可收集无关个人信息的权限。只收集满足业务功能所必需 的最少类型和数量的个人信息，自动收集个人信息的频率不超过业务 功能实际所需的频率。 4）选择同意原则——仅当用户知悉收集使用规则并明确同意后， 网络运营者方可收集个人信息。不以改善服务质量、提