ICS 35.030 CCS L 80
中华人民共和国国家标准
GB/T 41391—2022
信息安全技术 移动互联网应用程序（App）收集个人信息基本要求Information security technology——Basic requirements for collecting personal information in mobile internet applications
2022-11-01实施
2022-04-15发布
国家市场监督管理总局
发 布
国家标准化管理委员会
GB/T 41391——2022
信息安全技术 移动互联网应用程序（App）收集个人信息基本要求
1 范围
本文件规定了App收集个人信息的基本要求，给出了常见服务类型App必要个人信息范围和使用要求。
本文件适用于App运营者规范其个人信息收集活动，也适用于监管部门、第三方评估机构等对App个人信息收集活动进行监督、管理和评估。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
GB/T 25069 信息安全技术 术语
GB/T 35273—2020 信息安全技术 个人信息安全规范
3 术语和定义
GB/T 25069、GB/T 35273—2020界定的以及下列术语和定义适用于本文件。3.1
移动互联网应用程序 mobile internet application 运行在移动智能终端上的应用程序。
注：包括移动智能终端预置、安装的应用程序和小程序，简称App。3.2
移动互联网应用程序运营者 mobile internet application operator 移动互联网应用程序的所有者、管理者或提供者。注：简称App运营者。3.3
小程序 mini program
基于应用程序开放接口实现的，用户无需安装即可使用的移动互联网应用程序。
注：应用程序通过公开其应用程序编程接口（APD或函数，使外部的程序可以增加该应用程序的功能或使用该应用
程序的资源，而不需要更改该应用程序的源代码。3.4
业务功能 business function 满足用户具体使用目的的功能。
注：App的业务功能，可分为基本业务功能和扩展业务功能。【来源：GB/T35273—2020，3.17，有修改】
GB/T 41391-2022
3.5
服务类型 service type
移动互联网应用程序提供的业务功能分类。
注：常见服务类型如地图导航、网络约车、即时通信、网上购物、网络支付等，见附录A。3.6
基本业务功能 basic business function
移动互联网应用程序实现用户主要使用目的的业务功能。3.7
扩展业务功能 extended business function
移动互联网应用程序所提供的基本业务功能之外的其他业务功能。3.8
必要个人信息 necessary personal information
保障移动互联网应用程序基本业务功能正常运行所必需的个人信息，缺少该信息移动互联网应用程序即无法实现基本业务功能。
注1：App、基本业务功能、必要个人信息之间的关系，见附录B中B.1。
注2：App可收集的个人信息范围，分为必要个人信息、非必要但有关联个人信息。非必要但有关联个人信息是指
与App所提供服务相关但可选收集的个人信息，见B.2。3.9
用户 user
使用移动互联网应用程序的个人信息主体。
注：用户通常包括消费侧用户和服务供给侧用户，消费侧用户是使用App服务的个人消费者，服务供给侧用户是通
过App提供服务的用户，例如网络约车类App的消费侧用户是乘客，服务供给侧用户是驾驶员。3.10
可收集个人信息权限 system permission to access personal information
移动智能终端操作系统向移动互联网应用程序开放的，具有收集个人信息功能的系统权限。注：简称系统权限或权限。3.11
唯一设备识别码 unique device identifier 可唯一标识移动智能终端的编码。
注1：也称设备唯一标识符，可分为可变更的唯一设备识别码和不可变更的唯一设备识别码。
注2：可变更的唯一设备识别码，是指用户可重置、变更或关闭追踪的唯一设备识别码。不可变更的唯一设备识别
码，是指不因设备恢复出厂设置、应用安全卸载或用户操作而改变的硬件标识符。3.12
定向推送 targeted push
基于某一个人信息主体的网络浏览历史、兴趣爱好、消费记录和习惯等个人信息，利用算法向该个人信息主体展示信息内容、提供商品或服务的搜索结果、推荐产品或服务、推送新闻信息、广告营销等活动。
注：也称为个性化展示或个性化推荐。【来源：GB/T35273—2020，3.16，有修改】3.13
用户画像 user profiling
通过收集、汇聚、分析个人信息，对某一自然人个人特征，如职业、经济、健康、教育、个人喜好、信用、行为等方面进行分析或预测，形成其个人特征模型的过程。
【来源：GB/T35273—2020，3.8，有修改】3.14
软件开发工具包 software development kit 协助软件开发的软件库。
注：软件开发工具包通常包括相关二进制文件、文档、范例和工具的集合。3.15
第三方软件开发工具包 third-party software development kit
由移动互联网应用程序运营者之外的其他法人实体提供的软件开发工具包。3.16
权限申请 system permission request
移动互联网应用程序向移动智能终端操作系统声明，并向用户请求授权，以获得访问数据或功能的许可的过程。3.17
第三方应用 third-party application
由移动互联网应用程序运营者之外的其他法人实体提供，通过移动互联网应用程序面向用户提供服务的应用程序。
注1：第三方应用提供的形式，通常包括SDK、小程序、Web页面等。如果SDK没有直接向用户提供服务，则不属
于本文件所称的第三方应用。
注2：虽与App运营者属于不同法人实体，但与App运营者属于同一企业集团，且遵守同一套管理制度、统一进行
安全和运维管理的，不属于App运营者的第三方。关联公司通常属于App运营者的第三方。
4 缩略语
下列缩略语适用于本文件。
API：应用程序编程接口（Application Programming Interface）GPS：全球定位系统（Global Positioning System）ICCID：集成电路卡识别码（Integrate Circuit Card Identity）IMEI：国际移动设备识别码（International Mobile Equipment Identity）IMSI：国际移动用户识别码（International Mobile Subscriber Identity）MAC：媒体访问控制（Media Access Control）MEID：移动设备识别码（Mobile Equipment Identifier）SDK：软件开发工具包（Software Development Kit）SN：设备序列号（Serial Number）
WAP：无线应用协议（Wireless Application Protocol）Web：全球广域网（World Wide Web）
5 App 功能划分
App收集个人信息要求与其功能密切相关，应首先按照以下要求明确划分App的基本业务功能和扩展业务功能：
a）应明确实现用户主要使用目的的业务功能所属的服务类型为该App的类型；