国标草案：除安全原因外，APP不得收集手机IMEI、MAC地址

8月8日，全国信息安全标准化技术委员会对外发布《信息安全技术 移动互联网（App）收集个人信息基本规范（草案）》（简称《草案》），并征求意见。

《草案》对21种常用服务类型App的功能、最小信息收集范围及对应最小权限范围进行了规定。

隐私护卫队注意到，一些个人敏感信息如通讯录、地理位置、短信及其对应权限鲜少出现在《草案》规定的App最少信息收集范围和最小权限范围中。

App收集个人信息超过最少范围，超出部分应逐项征得用户明示同意

不同意获取个人信息，App就“闪退”，更过分的是，其想获取的个人信息甚至并不存在对应功能。隐私护卫队发现，类似过度、强制授权的现象并不少见。比如，为了广告推荐，App普遍会获取用户设备的唯一标识，如IMEI号、MAC地址等。

为此，《草案》对21种常用服务类型的最少信息收集标准进行规定，涉及地图导航、网络约车、即时通讯、网络支付、金融借贷等。

比如，交通票务类App的服务内容为票务查询、购买、改签、退票等功能，收集的最少信息包括用户手机号、旅客身份证件信息、交易信息等法律法规要求的信息，以及账号、口令、旅客姓名、手机号、出发地、目的地等实现服务所需的个人信息。

值得注意的是，《草案》在App收集个人信息的基本要求中规定，App不得收集不可变更的设备唯一标识，（如 IMEI 号、MAC 地址等），用于保障网络安全或运营安全的除外。

《草案》还明确，当用户同意App收集某服务类型的最少信息时，App不得因用户拒绝提供最少信息之外的个人信息而拒绝提供该类型服务；并且，App不得收集与所提供服务无关的个人信息。

如果App收集的个人信息超过服务类型的最少信息范围，超出部分应逐项征得用户明示同意。当同一App有两种及以上服务类型时，App应允许用户逐项开启和退出服务类型。如果用户明确拒绝使用某服务类型后，App不得频繁（如每48小时超过一次）征求用户同意使用该类型服务，并保证其他服务类型正常使用。

草案中21种服务类型最小授权范围均不包含通讯录、照相机、麦克风

前段时间，外卖App是否存在“偷听”用户说话的新闻掀起舆论。6月份，海淀法院开庭审理“称App软件擅自上传通讯录，某应用被指侵犯个人隐私”案，通讯录是否属于用户隐私成为庭审焦点。

诸如麦克风、通讯录这些敏感信息及对应权限，还有照相机、短信、地理位置信息和对应权限等。它们不但是用户关注的焦点，而且是App过度申请的重灾区。

隐私护卫队发现，在《草案》给出的21种服务类型的最小授权范围中，无一类服务需要申请通讯录、照相机、麦克风等权限，只有安全管理这一类服务需要短信权限；只有地图导航、网络约车、餐饮外卖、运动健身需要位置权限。

对于通讯录，《草案》规定只有即时通讯、金融借贷类App可以获取通讯录信息。需强调的是，《草案》也规定了限制条件，比如使用即时通讯类App时，用户为建立与好友的联系，应允许用户手动添加好友，不应强制读取通讯录；金融借贷App要求填写两位常用联系人的联系方式时，同样适用手动输入的方法，不应强制读取通讯录。

值得一提的是，有七种服务类型需要的最少信息中不包含账号、口令信息，也即用户无需注册，即可使用其服务，包括地图导航、新闻资讯、短视频、快递配送、浏览器、输入法、安全管理。

还有五种服务类型所需的最少信息不包括手机号，包括地图导航、运动健身、浏览器、输入法、安全管理。

SDK等第三方代码收集个人信息视同App收集

除了App本身收集用户个人信息，隐私护卫队研究发现，App“身体”里一些用户难以感知的SDK等第三方代码、插件也会收集用户信息，其中不乏个人敏感信息。

比如，2017年8月，第三方广告SDK“个信”因被发现内置后门，在未经用户允许的情况下收集用户隐私数据，获取用户设备已安装App的列表信息，导致嵌入该SDK的500多款App被Google Play下架。

不像App自身在收集个人信息时，会提示用户明示授权并告知用户使用目的；第三方SDK收集个人信息时，用户难以察觉、不主动告知，甚至有的App本身也不清楚第三方SDK收集了哪些信息。

国家标准《信息安全技术 个人信息安全规范》修订草案要求，当个人信息控制者在其产品或服务中接入具备收集个人信息功能的第三方产品或服务时，应通过合同等形式明确双方的安全责任及应实施的个人信息安全措施，并要求第三方向个人信息主体征得收集个人信息的授权同意。

《草案》指出，App应对其使用的第三方代码、插件的个人信息收集行为负责。第三方代码、插件收集个人信息视同App收集，App应防止第三方代码、插件收集无关的个人信息。

此外，对外共享、转让个人信息时，也会涉及到第三方。《草案》规定，App进行上述操作前，应事先征得用户明示同意。如果用户不同意, 则不得对外共享、转让。并且，存在该情况的，App应向用户提供查询数据接收方身份的功能，查询结果应以独立界面展示。（尤一炜）

声明：本文来自隐私护卫队，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。