新规范

GB/T413912022

4）用户行使个人信息权利的方式和程序： 5）处理未成年人个人信息的必要性； 6）对未成年人个人权益的影响。 ）收集不满14周岁未成年人个人信息，应取得未成年人的父母或者其他监护人的单独同意。

景观标准规范范本6.4.3多种服务类型告知同意

当App提供多种类型服务时，App收集个人信息应满足以下告知同意要求 a）应按照服务类型制定个人信息保护政策，明示各类服务处理个人信息的目的、方式、范围等。 注1：各类服务的个人信息保护政策，可以是各类服务制定单独的个人信息保护政策，也可以是按照服务类型汇总 的个人信息收集使用规则。 b 应按照服务类型分别向用户申请处理个人信息的同意 C APP类型之外的其他服务类型，宜由用户自主选择启用。当用户首次使用时，宜采用增强式 告知方式明示该服务类型的个人信息处理规则，并取得用户明示同意 注2：增强式告知通常用于帮助用户理解特定个人信息处理规则，采用专门页面或单独步骤等用户不易绕过的方式 向用户告知，具体可参照个人信息告知同意相关标准 如App提供的其他服务类型属于附录A给出的常见服务类型，其他服务类型应按照附录A 确定相应类型的基本业务功能和必要个人信息范围，同时满足6.4.1d)和e)的要求

6.4.4用户拒绝或撤回同意

当用户拒绝或撤回App个人信息收集、权限申请或业务功能使用的同意时，App应满足以下要求。 a）不应强制退出或者关闭App。 b）不应拒绝提供App基本业务功能或影响其他无关的业务功能使用，除非用户拒绝同意App必 要个人信息或基本业务功能。 c 不应频繁申请授权干扰用户正常使用，除非由用户主动触发业务功能，且没有该个人信息或权 限参与此业务功能无法实现。“频繁”的形式包括但不限于： 1）单个场景在用户拒绝授权后，48h内弹窗提示用户打开权限的次数超过1次； 2）每当用户重新打开ApP或使用无关的业务功能时，都会再次向用户索要授权或提示用户 缺少相关授权

App申请可收集个人信息权限，应满足以下要求： a）应仅声明和申请实现App服务目的最小范围的系统权限，不应申请与ApP业务功能无关的系 统权限； 注1：声明，是指在应用程序清单文件（如安卓的AndroidManifest,xml文件、iOS的Info.plist等）中向操作系统说明 所需的系统权限 注2：可收集个人信息权限范围见附录D，表D.1及表D.2的可访问的个人信息"给出了通过权限可能访问的个人 信息范围，表D.1的“业务功能示例”给出了需要申请权限的业务功能示例。 注3：附录E给出了与常见服务类型相关程度较低的安卓系统权限。 b） 在用户未使用相关业务功能时，不应提前申请与当前业务功能无关的权限； 申请权限时应同步告知用户权限申请目的，目的应明确具体且易于理解，不包含任何欺诈、诱 骗、误导用户授权的描述；

GB/T413912022

d）不应以捆绑方式要求用户一次性同意打开多个系统权限； 注4：安卓App的目标API等级低于23(targetSdkVersion<23）属于捆绑授权的常见情形。 e 如操作系统支持，申请相机、位置、麦克风等可收集个人信息权限应向用户提供单次授权的 选项； f 如用户拒绝或撤回同意系统权限授权，宜为用户提供无需系统权限亦可实现业务功能的替代 解决方案。 注5：替代解决方案，例如当用户拒绝位置权限，仍可以通过自主输入地址的方式使用相关服务

d）不应以捆绑方式要求用户一次性同意打开多个系统权限； 注4：安卓App的目标API等级低于23(targetSdkVersion<23）属于捆绑授权的常见情形。 e） 如操作系统支持，申请相机、位置、麦克风等可收集个人信息权限应向用户提供单次授权的 选项； f 如用户拒绝或撤回同意系统权限授权，宜为用户提供无需系统权限亦可实现业务功能的替代 解决方案。 注5：替代解决方案，例如当用户拒绝位置权限，仍可以通过自主输入地址的方式使用相关服务

6.6. 1App 接入第三方应用

App接人可收集个人信息的第三方应用，应对第三方应用收集个人信息进行安全管理，满足以 求。 a) 第三方应用接人管理应符合GB/T35273一2020中9.7的要求 b) 应与第三方应用明确双方的个人信息处理规则和保护责任，包括： 1） 第三方应用收集个人信息的目的、方式、范围； 第三方应用申请的系统权限和申请目的； 3） ApP提供给第三方应用的个人信息种类、保存期限、停止接入后的个人信息处理方式； 双方的个人信息安全责任和保护措施； 5） 第三方应用协助App响应用户个人信息权利请求的措施

6.6.2App嵌入第三方SDK

APP收集个人信息还应满足以下要求： a）定向推送信息和用户画像场景采用唯一设备识别码标识用户时，应使用可变更的唯一设备识 别码，且不应将其与用户身份信息或不可变更的唯一设备识别码关联； 注1：常见不可变更的唯一设备识别码，如IMEI、IMSI、MEID、MAC地址等，见附录F。经随机化处理后的MAC 地址不属于不可变更的唯一设备识别码。 b） 如存在读取剪切板或公共存储区的行为，应告知用户读取的信息范围和使用目的，不应在未取 得用户同意的情况下，收集剪切板中包含的个人信息和公共存储区中的个人信息；

GB/T413912022

常见服务类型ApP必要个人信息范围及其使用要

地图导航类ApP的基本业务功能为定位和导航，如提供地图搜索、展示和导航功能， 地图导航类App的必要个人信息范围包括：位置信息、出发地、到达地。 地图导航类ApP的必要个人信息使用应符合表A.1的要求

地图导航类APP必要个人信息范围和使用要习

表A.2网络约车类ApP必要个人信息范围和使用要求

GB/T413912022

A.5网络支付类App必要个人信息范围和使用

表A.6网上购物类ApP必要个人信息范围和使用要求

表A.7餐饮外卖类APP必要个人信息范围和使用要求

GB/T413912022

邮件快件寄递类APP必要个人信息范围和使用

.9交通票务类App必要个人信息范围和使用要

GB/T413912022

婚恋相亲类App的必要个人信息使用应符合表A,10的要求

婚恋相亲类ApP必要个人信息范围和使用要

■求职招聘类ApP必要个人信息范围和使用要

表A.12网络借贷类ApP必要个人信息范围和使用要求

GB/T413912022

13房屋租售类App必要个人信息范围和使用量

GB/T413912022

A.15问诊挂号类ApP必要个人信息范围和使用

表A.16旅游服务类ApP必要个人信息范围和使用要求

酒店服务类ApP必要个人信息范围和使用要

GB/T413912022

网络游戏类ApP必要个人信息范围和使用要求

学习教育类APP必要个人信息范围和使用要求

表A.20本地生活类ApP必要个人信息范围和使用要求

女性健康类App的基本业务功能为女性经期管理、备孕育儿、美容美体等健康管理服务。 女性健康类APP的必要个人信息范围为无

GB/T413912022

用户的证件类型和号码，驾驶证件信息；支付时间、支付金额、支付渠道等支付信息；使用共享单车、分时 租赁汽车服务用户的位置信息。 用车服务类ApP的必要个人信息使用应符合表A.21的要求

用车服务类ApP必要个人信息范围和使用要

表A.22投资理财类APP必要个人信息范围和使用要求

GB/T413912022

23手机银行类ApP必要个人信息范围和使用

远程会议类APP的 远程会议类App的必要个人信息范围包括： 远程会议类ApP的必要个人信息使用应符合表A.25的要求

远程会议类ApP必要个人信息范围和使用要求

网络直播类ApP的基本业务功能为向公众持续提供实时视频、音频、图文等形式信息浏览服务。 网络直播类APP的必要个人信息范围为无。

类App的基本业务功能为影视、音乐搜索和播放

GB/T413912022

在线影音类App的必要个人信息范围为无

短视频类ApP的基本业务功能为不超过一定时长的视频搜索、播放。 短视频类ApP的必要个人信息范围为无。

新闻资讯类APp的基本业务功能为新闻资讯的浏览、搜索 新闻资讯类APP的必要个人信息范围为无

运动健身类App的基本业务功能为运动健身训练。 运动健身类App的必要个人信息范围为无。

刘览器类APP的基本业务功能为浏览互联网信息资源 浏览器类App的必要个人信息范围为无

输人法类ApP的基本业务功能为文字、符号等输人。 输人法类App的必要个人信息范围为无。

安全管理类APP的基本业务功能为查杀病毒、清理恶意插件、修复漏洞等。 安全管理类ApP的必要个人信息范围为无

电子图书类App的基本业务功能为电子图书搜索、阅读。 电子图书类ApP的必要个人信息范围为无

拍摄美化类App的基本业务功能为拍摄、美颜、滤镜等。 拍摄美化类App的必要个人信息范围为无。

瓦楞纸箱标准应用商店类App的基本业务功能为App搜索、下载。 应用商店类App的必要个人信息范围为无。

实用工具类ApP的基本业务功能为日历、天气、词典翻译、计算器、遥控器、手电筒、指南针、时钟 文件传输、文件管理、壁纸铃声、截图录屏、录音、文档处理、智能家居助手、星座性格测试等。 实用工具类APP的必要个人信息范围为无。

GB/T413912022

26演出票务类App必要个人信息范围和使用量

铁路图纸GB/T413912022

B.1ApP、业务功能与必要个人信息之间的关