《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范.docx》由会员分享,可在线阅读,更多相关《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范.docx(44页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、ICS35.040L80中华人民共和国国家标准GB/T XXXXXXXXX信息安全技术 移动互联网应用程序(App)收集个人信息基本规范Information security technology Basic specification for collecting personal information in mobile internet applications(征求意见稿)2020-1-15XXXX - XX - XX发布XXXX - XX - XX实施GB/T XXXXXXXXX目次前言31范围42规范性引用文件43术语与定义44App收集个人信息基本要求5附录A (规范性附录)
2、 常用服务类型的最小必要信息7A.1地图导航7A.2网络约车7A.3即时通讯8A.4网络社区9A.5网络支付11A.6新闻资讯12A.7网上购物13A.8短视频13A.9快递配送14A.10餐饮外卖15A.11交通票务16A.12婚恋相亲17A.13求职招聘18A.14金融借贷19A.15房屋租售20A.16二手车交易21A.17运动健身22A.18问诊挂号23A.19网页浏览器23A.20输入法24A.21安全管理24A.22旅游服务24A.23酒店服务25A.24网络游戏26A.25在线影音27A.26儿童教育27A.27电子图书28A.28拍摄美化28A.29应用商店29A.30网络直播
3、29附录B (资料性附录) 常用服务类型的最小必要权限范围31前言本标准按照GB/T 1.12009标准化工作导则第1部分:标准的结构和编写给出的规则起草。请注意本文件的其他内容可能涉及专利,本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。附录A为规范性附录。附录B为资料性附录。本标准起草单位:中国电子技术标准化研究院、北京信息安全测评中心、中国网络安全审查技术与认证中心、中国信息通信研究院、公安部第一研究所、华为技术有限公司、阿里巴巴(北京)软件服务有限公司、深圳市腾讯计算机系统有限公司、北京百度网讯科技有限公司、浙江蚂蚁小微金
4、融服务集团股份有限公司、北京小桔科技有限公司、高德软件有限公司、北京字节跳动科技有限公司、北京三快科技有限公司、北京京东尚科信息技术有限公司、北京搜狐新媒体信息技术有限公司、顺丰速运有限公司、京东数字科技控股有限公司、北京小米移动软件有限公司、华住酒店管理有限公司、北京快手科技有限公司、北京微梦创科网络技术有限公司等。本标准主要起草人:杨建军、刘贤刚、上官晓丽、胡影、洪延青、何延哲、周晨炜、陈舒、刘行、葛鑫、宋杰、李海东、李媛、许静慧、范为、衣强、顾伟、赵冉冉、张娜、张朝、徐彩曦、田申、刘笑岑、贾雪飞、冯坚坚、史广龙、严少敏、崔丽莎、洪小崇、康琼、李晓菲、刘欣欣、王彬、杜蕾、潘景燕、谢莉等。信
5、息安全技术移动互联网应用程序(App)收集个人信息基本规范1范围本标准明确了移动互联网应用程序收集个人信息时应满足的基本要求,用以规范移动互联网应用程序运营者收集个人信息的行为。本标准适用于移动互联网应用程序的开发和运营,也可用于移动互联网应用程序的技术评估、监督检查。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 250692010信息安全技术术语GB/T 35273 信息安全技术个人信息安全规范3术语与定义GB/T 250692010、GB/T 35273中
6、界定的以及下列术语和定义适用于本文件。3.1智能移动终端intelligent mobile terminal安装有开放式操作系统,能使用无线移动通信技术实现互联网接入,通过下载、安装应用软件和数字内容为用户提供服务的终端产品。3.2移动互联网应用程序mobile internet application安装、运行在智能移动终端上的应用程序,简称App。3.3服务类型service type移动互联网应用程序所提供的满足个人信息主体具体使用需求的业务功能。3.4最小必要信息minimum necessary personal information保障某一服务类型正常运行所最少够用的个人信息,
7、包括一旦缺少将导致该类型服务无法实现或无法正常运行的个人信息,以及法律法规要求必须收集的个人信息。3.5最小必要权限范围minimum necessary permission range用于收集某一服务类型最小必要信息且需要个人信息主体主动授予的智能移动终端操作系统权限。3.6移动互联网应用程序运营者mobile internet application operator移动互联网应用程序的所有者、管理者和移动互联网应用程序服务的提供者,简称App运营者。4App收集个人信息基本要求App收集个人信息应满足以下要求:a) App运营者应履行个人信息安全保护义务,采取必要措施,保障个人信息安全
8、;b) App应以制定隐私政策等方式公开收集使用个人信息规则;c) App应在首次运行时通过弹窗等明显方式向个人信息主体告知收集最小必要信息规则,如隐私政策的核心内容;d) App运营者不应在征得个人信息主体授权同意前,产生个人信息收集行为;e) App运营者不应在个人信息主体明确表示不同意后,仍通过技术等其他手段继续收集个人信息;f) 当个人信息主体同意App收集某服务类型的最小必要信息时,App运营者不应因个人信息主体拒绝提供最小必要信息之外的个人信息而拒绝提供该类型服务;注:附录A列举了App常见的服务类型以及服务类型对应的最小必要信息。g) 除法律法规的强制性要求外,App运营者不应收
9、集与所提供的服务无关的个人信息;h) App运营者不应收集不可变更的设备唯一标识(如IMEI号、MAC地址等),用于保障网络安全或运营安全的除外;i) 个人信息主体明确拒绝使用某服务类型后,App运营者不应频繁(如每48h超过一次)征求个人信息主体同意使用该类型服务,并保证其他服务的正常使用;注:个人信息主体主动触发导致的征求同意相关提示除外。j) 在App运营者使用第三方代码或插件满足其特定功能时,如该第三方代码或插件具备个人信息收集功能且个人信息主体无法拒绝的,App运营者应确保第三方代码或插件履行个人信息安全保护义务,并防止第三方代码或插件收集无关的个人信息;注:如第三方代码或插件自行向
10、个人信息主体明示其收集、使用个人信息的目的、方式、范围,并征得个人信息主体的授权同意,则第三方代码或插件独立对其个人信息收集行为承担责任。k) 当App运营者拟收集的个人信息超出服务类型的最小必要信息时,对于超出部分的个人信息,App运营者应征得个人信息主体的授权同意。涉及个人敏感信息的,应逐项征得个人信息主体的明示同意;l) 当App有两种或两种以上服务类型时,App运营者应允许个人信息主体逐项开启或关闭服务类型,开启或关闭的方式应易于操作;m) 除法律法规的强制性要求外,当个人信息主体关闭某服务类型后,App运营者应终止该服务类型收集个人信息的活动,并对仅用于该服务的个人信息进行删除或匿名
11、化处理;注:关闭服务类型包括个人信息主体明确表明放弃使用该服务类型、或通过操作关闭该服务类型相关的交互式界面等。n) 当App申请个人信息相关权限或要求个人信息主体输入个人信息时,App运营者应向个人信息主体同步明示申请权限或收集信息的目的;o) App运营者应向个人信息主体提供实时查询已从该个人信息主体所收集个人信息类型的途径;查询结果应通过在App开设独立界面的方式展示,且查询方式应易于操作;p) 通过间接方式收集个人信息的,App运营者应向个人信息主体提供实时查询数据提供方身份的途径;查询结果应通过在App开设独立界面的方式展示,且查询方式应易于操作;q) 在技术可行且不影响终端和服务正
12、常的情况下,App运营者应优先在个人信息主体的智能移动终端中存储、使用所收集的个人信息;r) App运营者应以实现服务所必需的最低合理频率向其后台服务器发送个人信息。附录A (规范性附录)常用服务类型的最小必要信息本附录规定了地图导航、网络约车、即时通讯、网络社区、网络支付、新闻资讯、网上购物等30种常用服务类型可收集的最小必要信息。A.1 地图导航为用户提供互联网地图和导航功能。该服务类型的最小必要信息如表1所示:表1 地图导航类的最小必要信息类型个人信息使用要求/相关法律法规依据法律法规要求的个人信息网络访问日志仅用于满足网络安全法等相关法律法规要求和网络安全保障需要。通常包括IP地址、用
13、户登录时间、用户退出时间等,并非指用户操作行为日志。实现服务所需个人信息位置信息 精准定位信息 行踪轨迹精准定位信息仅用于确定用户位置,提供地图搜索展示和导航服务。行踪轨迹仅用于在导航服务中判断实时路况及重新规划导航路线。A.2 网络约车为用户提供网络预约汽车(不包含汽车租赁)服务。该服务类型的最小必要信息如表2所示:表2 网络约车类的最小必要信息类型个人信息使用要求/相关法律法规依据法律法规要求的个人信息网络访问日志仅用于满足网络安全法等相关法律法规要求和网络安全保障需要。通常包括IP地址、用户登录时间、用户退出时间等,并非指用户操作行为日志。手机号码移动互联网应用程序信息服务管理规定用户发
14、布的信息内容身份认证信息订单日志上网日志行驶轨迹日志网络预约出租汽车经营服务管理暂行办法交易信息电子商务法网络交易管理办法网络预约出租汽车经营服务管理暂行办法实现服务所需个人信息账号信息 账号 口令仅用于标识网络约车用户和保障账号信息安全。位置信息 精准定位信息 用户出发地 用户到达地精准定位信息仅用于确定用户当前位置,推荐周围上车点,搜索显示附近车辆信息。第三方支付信息仅用于用户使用第三方支付方式对约车订单付款,通常包括支付时间、支付金额、支付渠道等。仅在客服场景下收集:客服沟通记录和内容 通话录音(电话客服) 聊天消息(在线客服)仅用于客服处理用户纠纷,具体包括电话客服和在线客服。表2所列
15、个人信息为网络约车乘客的个人信息,不包含网络约车驾驶员的个人信息。此外,为保证行程安全,保障司乘合法权益,网络约车服务过程中还可能记录行程录音信息。A.3 即时通讯为用户提供在线文字、语音、视频等形式的通讯服务,或基于即时通讯的交友互动等服务。该服务类型的最小必要信息如表3所示:表3 即时通讯类的最小必要信息类型个人信息使用要求/相关法律法规依据法律法规要求的个人信息网络访问日志仅用于满足网络安全法等相关法律法规要求和网络安全保障需要。通常包括IP地址、用户登录时间、用户退出时间等,并非指用户操作行为日志。手机号码网络安全法移动互联网应用程序信息服务管理规定互联网群组信息服务管理规定仅对使用信
16、息发布功能的用户收集:用户日志信息 账号、操作时间、操作类型、网络源地址和目标地址、网络源端口、客户端硬件特征 通讯群组名称、昵称、简介、备注、标识 用户信息发布、转发、评论记录具有舆论属性或社会动员能力的互联网信息服务安全评估规定仅对公众账号信息发布服务使用者收集:身份认证信息 姓名 证件类型 证件号码互联网用户公众账号信息服务管理规定实现服务所需个人信息账号信息 账号 口令 昵称 头像仅用于标识即时通讯用户、保障账号信息安全和用户聊天交流。好友列表仅用于建立和管理用户在即时通讯应用的联系人关系。应允许用户在即时通讯应用中手动添加好友,而不应强制读取用户的通讯录。好友信息 好友账号 好友昵称
17、 好友头像仅用于向用户展示好友基本信息,或经本人同意后授权第三方平台登录使用。群列表仅用于实现群组聊天功能。A.4 网络社区为用户提供博客、论坛、社区等服务,包括话题讨论、信息分享和关注互动等功能。该服务类型的最小必要信息如表4所示:表4 网络社区类的最小必要信息类型个人信息使用要求/相关法律法规依据法律法规要求的个人信息网络访问日志仅用于满足网络安全法等相关法律法规要求和网络安全保障需要。通常包括IP地址、用户登录时间、用户退出时间等,并非指用户操作行为日志。手机号码网络安全法移动互联网应用程序信息服务管理规定互联网群组信息服务管理规定仅对使用信息发布功能的用户收集:用户日志信息 账号、操作
18、时间、操作类型、网络源地址和目标地址、网络源端口、客户端硬件特征 通讯群组名称、昵称、简介、备注、标识 用户信息发布、转发、评论记录具有舆论属性或社会动员能力的互联网信息服务安全评估规定仅对公众账号信息发布服务使用者收集:身份认证信息 姓名 证件类型 证件号码互联网用户公众账号信息服务管理规定实现服务所需个人信息账号信息 账号 口令 昵称 头像仅用于标识网络社区用户、保障账号信息安全和用户互动交流。用户关注记录 关注的内容 关注用户列表关注的内容仅用于建立和管理用户和社区内容(如关注的栏目、关注的话题等)的关注关系,以及向用户展示和推送关注的内容。关注用户列表仅用于建立和管理网络社区用户间的关
19、注关系,以及向用户展示和推送关注的用户发布的图文资讯、音视频、链接等。应允许用户在网络社区应用中手动设置关注用户,而不应强制读取用户的通讯录。仅在客服场景下收集:客服沟通记录和内容 通话录音(电话客服) 聊天消息(在线客服)仅用于客服处理用户纠纷,具体包括电话客服和在线客服。A.5 网络支付为用户提供在收付款人之间转移货币资金的服务(如非银支付、网银支付),包括支付、提现、转账、账单等功能。该服务类型的最小必要信息如表5所示:表5 网络支付类的最小必要信息类型个人信息使用要求/相关法律法规依据法律法规要求的个人信息网络访问日志仅用于满足网络安全法等相关法律法规要求和网络安全保障需要。通常包括I
20、P地址、用户登录时间、用户退出时间等,并非指用户操作行为日志。手机号码移动互联网应用程序信息服务管理规定身份基本信息 国籍 性别 职业 住址 联系方式支付机构反洗钱和反恐怖融资管理办法身份证件信息 姓名 身份证件种类 身份证件号码 身份证件有效期限 身份证件复印件或影印件非金融机构支付服务管理办法国际移动设备识别码(IMEI)非银行支付机构反洗钱现场检查数据接口规范(试行)客户操作行为非银行支付机构网络支付业务管理办法交易信息电子商务法网络交易管理办法实现服务所需个人信息账号信息 账号 口令仅用于标识网络支付用户和保障账号信息安全。银行账户信息 开户行名称 银行卡号码 银行卡有效期限 银行预留
21、手机号码仅用于实现银行卡和支付账号绑卡、银行卡身份认证、充值、提现、转账功能。交易身份验证信息(用户支付时可任选一种) 静态密码 数字证书 电子签名 动态密码仅用于对用户真实身份进行验证,以确保用户账户与资金安全。仅在客服场景下收集:客服沟通记录和内容 通话录音(电话客服) 聊天消息(在线客服)仅用于客服处理用户纠纷,具体包括电话客服和在线客服。A.6 新闻资讯为用户提供图文、音视频等新闻资讯信息服务,包括新闻资讯的浏览、搜索和发布功能。该服务类型的最小必要信息如表6所示:表6 新闻资讯类的最小必要信息类型个人信息使用要求/相关法律法规依据法律法规要求的个人信息网络访问日志仅用于满足网络安全法
22、等相关法律法规要求和网络安全保障需要。通常包括IP地址、用户登录时间、用户退出时间等,并非指用户操作行为日志。仅对使用信息发布功能的用户收集:手机号码网络安全法移动互联网应用程序信息服务管理规定仅对使用信息发布功能的用户收集:用户日志信息 账号、操作时间、操作类型、网络源地址和目标地址、网络源端口、客户端硬件特征 通讯群组名称、昵称、简介、备注、标识 用户信息发布、转发、评论记录具有舆论属性或社会动员能力的互联网信息服务安全评估规定仅对公众账号信息发布服务使用者收集:身份认证信息 姓名 证件类型 证件号码互联网用户公众账号信息服务管理规定实现服务所需个人信息关注的账号仅用于向用户展示和推送关注
23、的账号所发布的新闻资讯。A.7 网上购物为用户提供网上购买商品或服务的服务类型,包括商品展示、搜索、下单、交付、客服售后等功能。该服务类型的最小必要信息如表7所示:表7 网上购物类的最小必要信息类型个人信息使用要求/相关法律法规依据法律法规要求的个人信息网络访问日志仅用于满足网络安全法等相关法律法规要求和网络安全保障需要。通常包括IP地址、用户登录时间、用户退出时间等,并非指用户操作行为日志。手机号码网络安全法移动互联网应用程序信息服务管理规定交易信息电子商务法网络交易管理办法实现服务所需个人信息账号信息 账号 口令仅用于标识网上购物用户和保障账号信息安全。收货人信息 收货人姓名 收货人地址
24、收货人手机号码仅用于网上购物收货时识别收货人、送达货物和联系收货人,以及完成客服与售后需要。第三方支付信息仅用于用户使用第三方支付方式对网上购物订单付款,通常包括支付时间、支付金额、支付渠道等。仅在客服场景下收集:客服沟通记录和内容 通话录音(电话客服) 聊天消息(在线客服)仅用于客服处理用户纠纷,具体包括电话客服和在线客服。表7所列个人信息主要针对大众用户购物的普通场景,不包括为跨境电商通关、购买手机号等实名购买情景下需提供的用户身份信息,实名购物场景下通常需要收集用户的证件号码。在一些线上到线下(O2O)的购物场景中,由于需要判断用户所在的商场、所属的商圈范围等,可能还会收集用户的位置信息
25、,应告知用户并获得用户授权同意。A.8 短视频为用户提供短视频服务,包括浏览、搜索、制作、发布短视频和社交互动等功能。该服务类型的最小必要信息如表8所示:表8 短视频类的最小必要信息类型个人信息使用要求/相关法律法规依据法律法规要求的个人信息网络访问日志仅用于满足网络安全法等相关法律法规要求和网络安全保障需要。通常包括IP地址、用户登录时间、用户退出时间等,并非指用户操作行为日志。仅对使用信息发布功能的用户收集:手机号码网络安全法移动互联网应用程序信息服务管理规定仅对使用信息发布功能的用户收集:用户日志信息 账号、操作时间、操作类型、网络源地址和目标地址、网络源端口、客户端硬件特征 通讯群组名
26、称、昵称、简介、备注、标识 用户信息发布、转发、评论记录具有舆论属性或社会动员能力的互联网信息服务安全评估规定仅对公众账号信息发布服务使用者收集:身份认证信息 姓名 证件类型 证件号码互联网用户公众账号信息服务管理规定实现服务所需个人信息账号信息 账号 口令仅用于标识短视频用户和保障账号信息安全。短视频信息仅用于对用户短视频进行编辑、美化和发布等。关注的账号仅用于向用户展示和推送关注的账号所发布的短视频。A.9 快递配送为用户提供信件、包裹、印刷品等物品的寄递服务,包括寄件、查件、收件等功能。该服务类型的最小必要信息如表9所示:表9 快递配送类的最小必要信息类型个人信息使用要求/相关法律法规依
27、据法律法规要求的个人信息网络访问日志仅用于满足网络安全法等相关法律法规要求和网络安全保障需要。通常包括IP地址、用户登录时间、用户退出时间等,并非指用户操作行为日志。实现服务所需个人信息寄件人基本信息 寄件人姓名 寄件人地址 寄件人联系电话(固定电话或手机号码)仅用于实现快递寄件和收件功能。收件人基本信息 收件人姓名 收件人地址 收件人联系电话(固定电话或手机号码)快递运单号码仅用于实现快递查件功能和标识快递件。仅在客服场景下收集:客服沟通记录和内容 通话录音(电话客服) 聊天消息(在线客服)仅用于客服处理用户纠纷,具体包括电话客服和在线客服。表9所列个人信息主要针对国内快递配送场景,不包括国
28、际快递场景下需提供的收件方身份证件信息和清关信息,以及快递增值业务如代收货款等场景下需提供的支付信息。此外,依据快递暂行条例要求,经营快递业务的企业收寄快件,要对寄件人身份进行查验并登记身份信息,但具有快递配送类服务的移动互联网应用程序一般不直接收集相关身份信息。A.10 餐饮外卖为用户提供餐饮等外卖信息和外卖服务,包括餐饮配送、到店自取等功能。该服务类型的最小必要信息如表10所示:表10 餐饮外卖类的最小必要信息类型个人信息使用要求/相关法律法规依据法律法规要求的个人信息网络访问日志仅用于满足网络安全法等相关法律法规要求和网络安全保障需要。通常包括IP地址、用户登录时间、用户退出时间等,并非
29、指用户操作行为日志。手机号码网络安全法移动互联网应用程序信息服务管理规定交易信息网络餐饮服务食品安全监督管理办法电子商务法网络交易管理办法实现服务所需个人信息账号信息 账号 口令仅用于标识餐饮外卖用户和保障账号信息安全。位置信息仅用于向用户展示所在位置周边的外卖店铺信息,及便于用户选择外卖收货地址。联系人基本信息 联系人姓名 联系人手机号码 联系人地址仅用于商家和配送员与用户取得联系和配送员送餐,联系人姓名可使用非真实姓名。第三方支付信息仅用于用户使用第三方支付方式对餐饮外卖订单付款,通常包括支付时间、支付金额、支付渠道等。仅在客服场景下收集:客服沟通记录和内容 通话录音(电话客服) 聊天消息
30、(在线客服)仅用于客服处理用户纠纷,具体包括电话客服和在线客服。A.11 交通票务为用户提供交通相关的票务服务,包括票务查询、购买、改签、退票等功能。该服务类型的最小必要信息如表11所示:表11 交通票务类的最小必要信息类型个人信息使用要求/相关法律法规依据法律法规要求的个人信息网络访问日志仅用于满足网络安全法等相关法律法规要求和网络安全保障需要。通常包括IP地址、用户登录时间、用户退出时间等,并非指用户操作行为日志。手机号码移动互联网应用程序信息服务管理规定旅客身份证件信息公共航空运输企业航空安全保卫规则铁路旅客车票实名制管理办法水路旅客运输实名制管理规定交易信息电子商务法网络交易管理办法实
31、现服务所需个人信息账号信息 账号 口令仅用于标识交通票务用户和保障账号信息安全。旅客基本信息 旅客姓名 旅客类型仅用于实现用户交通票务和运输服务,包括购票、改签、退票、乘机功能。联系人基本信息 联系人姓名 联系人手机号码行程信息 出发地 目的地 出发时间 车次/航班号 席别/舱位等级 座位号仅在客服场景下收集:客服沟通记录和内容 通话录音(电话客服) 聊天消息(在线客服)仅用于客服处理用户纠纷,具体包括电话客服和在线客服。A.12 婚恋相亲为用户提供征婚服务,包括异性推荐、相亲牵线等功能。该服务类型的最小必要信息如表12所示:表12 婚恋相亲类的最小必要信息类型个人信息使用要求/相关法律法规依
32、据法律法规要求的个人信息网络访问日志仅用于满足网络安全法等相关法律法规要求和网络安全保障需要。通常包括IP地址、用户登录时间、用户退出时间等,并非指用户操作行为日志。手机号码网络安全法移动互联网应用程序信息服务管理规定实现服务所需个人信息账号信息 账号 口令 昵称仅用于标识婚恋相亲用户、保障账号信息安全。个人基本资料 本人照片 性别 出生日期 所在城市 婚姻状况仅用于异性推荐、相亲牵线等婚恋相亲服务。仅在客服场景下收集:客服沟通记录和内容 通话录音(电话客服) 聊天消息(在线客服)仅用于客服处理用户纠纷,具体包括电话客服和在线客服。A.13 求职招聘为用户提供网上招聘和求职服务,包括职位发布、
33、职位展示、职位搜索、投递简历等功能。该服务类型的最小必要信息如表13所示:表13 求职招聘类的最小必要信息类型个人信息使用要求/相关法律法规依据法律法规要求的个人信息网络访问日志仅用于满足网络安全法等相关法律法规要求和网络安全保障需要。通常包括IP地址、用户登录时间、用户退出时间等,并非指用户操作行为日志。手机号码网络安全法移动互联网应用程序信息服务管理规定实现服务所需个人信息账号信息 账号 口令仅用于标识求职招聘用户,保障账号信息安全。求职者基本信息 姓名 年龄 性别 健康状况 联系邮箱 求职意向仅用于招聘单位识别求职者、岗位需求匹配、招聘单位与求职者联系使用。求职者民族、视力应为求职者自愿
34、提供,特殊岗位除外。求职者健康状况不应出现单项健康信息,如是否为乙肝病毒携带者等。求职者教育信息 学校 学历 专业 毕业时间 受教育类型仅用于求职者简历编辑投递,和招聘单位匹配是否符合岗位需求。求职者工作经历信息 公司名称 职位职务 在职时间仅对招聘者用户收集:招聘者身份信息 招聘者姓名 招聘者身份证件号码仅用于对招聘者身份进行认证。仅在客服场景下收集:客服沟通记录和内容 通话录音(电话客服) 聊天消息(在线客服)仅用于客服处理用户纠纷,具体包括电话客服和在线客服。A.14 金融借贷为用户提供从金融机构进行个人消费贷款服务,包括授信、借款、还款与交易记录等功能,这里的金融机构是指有放贷资质的银
35、行、消费金融公司、小贷公司等在网络上提供借贷服务的机构。该服务类型的最小必要信息如表14所示:表14 金融借贷类的最小必要信息类型个人信息使用要求/相关法律法规依据法律法规要求的个人信息网络访问日志仅用于满足网络安全法等相关法律法规要求和网络安全保障需要。通常包括IP地址、用户登录时间、用户退出时间等,并非指用户操作行为日志。手机号码移动互联网应用程序信息服务管理规定身份证件信息 姓名 身份证件种类 身份证件号码 身份证件有效期限 身份证件复印件或影印件金融机构客户身份识别和客户身份资料及交易记录保存管理办法互联网金融从业机构反洗钱和反恐怖融资管理办法(试行)仅对借款人收集:偿付能力贷款用途小
36、额贷款公司网络小额贷款业务风险专项整治实施方案个人贷款管理暂行办法实现服务所需个人信息账号信息 账号 口令仅用于标识金融借贷用户和保障账号信息安全。银行账户信息 开户行名称 银行卡卡号 银行卡有效期限 银行预留手机号码仅用于实现银行卡和借贷账号绑卡、银行卡身份认证、借款、还款功能。个人信用信息 中国人民银行个人信用报告 第三方个人信用评分仅用于对借贷用户的个人信用进行评估,确定授信额度。个人信用信息须经用户授权查询。紧急联系人信息 两位常用联系人的联系方式仅用于金融机构在借贷人逾期不还款时进行催款。应允许用户在金融借贷应用中手动输入紧急联系人信息,而不应强制读取用户的通讯录。借贷交易记录仅用于
37、确定授信额度、贷款管理、用户借贷历史查询和处理用户纠纷。仅在客服场景下收集:客服沟通记录和内容 通话录音(电话客服) 聊天消息(在线客服)仅用于客服处理用户纠纷,具体包括电话客服和在线客服。A.15 房屋租售为用户提供房源信息、房屋出租服务,包括房源展示、房源搜索、房屋出租等功能。该服务类型的最小必要信息如表15所示:表15 房屋租售类的最小必要信息类型个人信息使用要求/相关法律法规依据法律法规要求的个人信息网络访问日志仅用于满足网络安全法等相关法律法规要求和网络安全保障需要。通常包括IP地址、用户登录时间、用户退出时间等,并非指用户操作行为日志。手机号码移动互联网应用程序信息服务管理规定交易
38、信息电子商务法网络交易管理办法实现服务所需个人信息账号信息 账号 口令仅用于标识房屋租售用户和保障账号信息安全。租户或业主的身份证件复印件或影印件仅用于用户线上租房时进行身份验证,以及业主线上发布房源信息、房屋租赁时对身份进行验证。业主房产信息仅用于房源信息发布、房源信息搜索和房屋租赁。第三方支付信息仅用于线上租房交易时使用第三方支付方式完成交易费用支付,通常包括支付时间、支付金额、支付渠道等。仅在客服场景下收集:客服沟通记录和内容 通话录音(电话客服) 聊天消息(在线客服)仅用于客服处理用户纠纷,具体包括电话客服和在线客服。如果用户仅浏览房源信息,不需要收集表15所列个人信息。表15仅列出通
39、过房屋租售类移动互联网应用程序线上收集的个人信息。目前房屋租售服务通常采用线上和线下结合的方式,房源信息和租房大多实现线上服务,而房屋买卖交易仍以线下方式为主,具体收集信息可依据相关政策文件要求。A.16 二手车交易二手车交易为用户提供汽车资讯、二手车交易服务,包括车源信息搜索和展示、车辆审核和二手车买卖等功能。该服务类型的最小必要信息如表16所示:表16 二手车交易类的最小必要信息类型个人信息使用要求/相关法律法规依据法律法规要求的个人信息网络访问日志仅用于满足网络安全法等相关法律法规要求和网络安全保障需要。通常包括IP地址、用户登录时间、用户退出时间等,并非指用户操作行为日志。手机号码移动
40、互联网应用程序信息服务管理规定交易信息电子商务法网络交易管理办法实现服务所需个人信息账号信息 账号 口令仅用于标识二手车交易用户和保障账号信息安全。出售车辆信息 车架号 车辆审核地址仅用于网络发布车源前进行现场审核车源时使用,便于审核员到车辆所在地址进行审核。购买方信息 姓名 住址 身份证件号码 银行卡号码仅用于二手车购买方的实名制登记、身份验证和完成车辆上户登记、电子签约合同签订等购车流程。银行卡号码仅用于退还保证金。出售方信息 姓名 身份证件号码 驾驶证号 车辆行驶证号仅用于二手车出售方的实名制登记、身份验证和完成车辆上户登记、电子签约合同签订等购车流程。第三方支付信息仅用于二手车交易居间
41、方服务费支付,通常包括支付时间、支付金额、支付渠道等。仅在客服场景下收集:客服沟通记录和内容 通话录音(电话客服) 聊天消息(在线客服)仅用于客服处理用户纠纷,具体包括电话客服和在线客服。表16仅列出通过二手车交易类移动互联网应用程序线上收集的个人信息。目前二手车交易服务通常采用线上和线下结合的方式,二手车交易大多已实现电子合同在线签约,车辆审核、车辆上户登记、车辆过户、买卖费用支付等部分环节仍需结合线下进行。A.17 运动健身为用户提供运动记录和健康建议服务,包括健身运动管理、健康建议等功能。该服务类型的最小必要信息如表17所示:表17 运动健身类的最小必要信息类型个人信息使用要求/相关法律
42、法规依据法律法规要求的个人信息网络访问日志仅用于满足网络安全法等相关法律法规要求和网络安全保障需要。通常包括IP地址、用户登录时间、用户退出时间等,并非指用户操作行为日志。实现服务所需个人信息账号信息 账号 口令账号用于标识运动健身用户和保障账号信息安全。位置信息 精准定位信息 运动轨迹精确定位信息用于实时确定用户位置和展示用户运动的轨迹。个人运动信息仅用于展示运动过程整体状态信息。基本健康资料 性别 年龄 身高 体重基本健康资料结合个人运动信息,可以更好地给出运动和健康建议。A.18 问诊挂号为用户提供在线问诊、在线挂号的医疗服务。该服务类型的最小必要信息如表18所示:表18 问诊挂号类的最小必要信息类型个人信息使用要求/相关法律法规依据法律法规要求的个人信息网络访问日志仅用于满足网络安全法等相关法律法规要求和网络安全保障需要。通常包括IP地址、用户登录时间、用户退出时间等,并非指用户操作行为日志。手机号码移动互联网应用程序信息服务管理规定交易信息电子商务法网络交易管理办法实现服务所需个人信息账号信息 账号 口令仅用于标识问诊挂号用户和保障账号信息安全。患者身份信息仅用于在预约挂号时对用户身份进行认证。医患沟通信息 性别 年龄 病情描述 过往病史 是否首诊仅用于在线问诊时供当前医生判断患者病情。预约挂号信息 医院 科室仅用于帮助患者完成预约挂号流程。第三方支付信息仅用