4月15日,国家市场监督管理总局、国家标准化管理委员会批准发布《信息安全技术移动互联网应用程序(App)收集个人信息基本要求(GB/T 41391-2022)》推荐性国家标准。
标准适用于所有App(包括移动智能终端预置、下载安装的应用程序和小程序)的个人信息收集活动。在核心概念方面,按照APP主要服务目的将其业务功能分为基本业务功能和扩展业务功能,并明确保障APP基本业务功能正常运行所必须的个人信息为必要个人信息,APP基本业务功能可选收集的个人信息及拓展业务功能收集的个人信息为非必要但有关联个人信息。在主要内容方面,标准明确了App收集个人信息的7方面基本要求,给出了39类App必要个人信息范围和使用要求。其中,第三方管理方面,标准明确APP对嵌入第三方SDK进行安全管理,在嵌入前进行SDK合规评估,与第三方SDK明确划分保护责任,披露SDK个人信息处理情况,审核SDK权限使用申请,要求SDK披露热更新机制,停用时及时移除SDK代码。此外,标准还对APP定向推送和用户画像收集设备标识符、读取剪切板或公共存储区、静默状态和后台运行、自启动和关联启动、欺骗误导用户等行为进行了规范。