移动互联网应用程序已收集个人信息展示规范.pdf

移动互联网应用程序已收集个人信息展示规范

1范围

本文件规定了在移动互联网应用程序已收集个人信息展示规范，包括清单包含的要素、个人信息范

围、时间跨度、更新频率、展示位置、展示方式、收集情况统计维度、信息内容展示方式的相关要求。

本文件适用于个人信息处理者提供的已收集个人信息展示，也适用于主管监管部门、第三方评估机

构等组织对移动互联网应用程序已收集个人信息展示进行监督、管理和评估。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

YD/T2781—2014电信和互联网服务用户个人信息保护定义及分类

3术语和定义

下列术语和定义适用于本文件。

3.1

个人信息处理者personaldataprocessors

个人信息处理者，是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。

3.2

移动互联网应用程序application

可安装在移动智能终端内，能够利用移动智能终端操作系统提供的公开开发接口，实现某项或某几

项特定任务的软件，包含移动智能终端预置应用软件、小程序、快应用以及互联网信息服务提供者提供

的、可以通过网站和应用商店等应用分发平台下载、安装、升级的应用软件。

3.3

软件开发包softwaredevelopmentkit

协助软件开发的软件库，包括相关的代码、文档、范例和工具的集合，简称SDK。

3.4

个人信息personalinformation

以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的

信息。

3.5

1

敏感个人信息sensitivepersonalinformation

一旦泄露或者非法使用,可能导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人

信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周

岁未成年人的个人信息。

4缩略语

下列缩略语适用于本文件。

APP：移动应用软件（Application）。

SDK：软件开发工具包（SoftwareDevelopmentKit）。

5已收集个人信息展示范围

移动互联网应用程序向用户展示移动互联网应用程序（包括内嵌SDK）已收集用户个人信息基本情

况，应满足以下要求：

a)应向用户展示全部已收集到的个人信息；

注1：应展示的个人信息范围可参考附录A。

b)应向用户展示以下要素（包括但不限于）：

1)信息类型，应将个人信息分类展示，便于用户查阅，如用户基本信息、用户身份证明等；

2)信息名称，应展示具体个人信息名称，不应采用概况性词语描述，如应展示IMEI、IMSI

等具体名称，不应仅展示为设备唯一标识符等；

3)使用目的，应展示收集信息的具体目的，如创建账号、实名认证等；

4)使用场景，应向用户明示移动互联网应用程序内实际信息收集发生的具体场景，如用户首

次注册时，用户首次使用某功能时等；

5)收集情况，应向用户展示已收集个人信息的统计情况，应统计以用户为主体在展示周期内

的信息收集情况；

6)信息内容，应向用户展示已收集个人信息的具体内容。

注2：已收集个人信息要素示例可参考附录B。

注3：已删除或技术无法实现统计的信息，可以不展示收集情况、信息内容。

6已收集个人信息展示时间跨度

已收集个人信息展示时间跨度应满足以下要求：

a)应向用户展示1年内已收集到的全部个人信息；

b)应根据APP类型差异，选择一定时间间隔作为清单的默认展示时间跨度，并为用户提供不同时

间跨度的选项。

7已收集个人信息更新频率

向用户展示的已收集个人信息应以“天”为单位进行更新，保证信息展示的及时性，宜采用实时更

新的展示方式。

8已收集个人信息展示位置