在数据爆炸的今天,互联网信息安全尤为重要。
8月8日,全国信息安全标准化技术委员会秘书处(以下简称“信息安全标委会”)发布关于开展国家标准《信息安全技术移动互联网应用(APP)收集个人信息基本规范(草案)》(以下简称“《规范》”)征求意见工作的通知。
《规范》按法律法规要求的个人信息与实现服务所需个人信息两种类型,规定了地图导航、网络约车、即时通讯、博客论坛、网络支付、新闻资讯、网上购物、求职招聘等21种常用服务类型可收集的最少信息。
值得关注的是,《规范》对金融借贷进行了规范,其中所指金融机构是有放贷资质的银行、消费金融公司、小贷公司等在网络上提供借贷服务的机构。
按法律法规要求的个人信息划分,上述金融机构最少收集信息包括网络日志、手机号码、身份证件信息,其中包括姓名、身份证件种类、身份证件号码、身份证件有效期限、身份证件复印件或影印件。
按实现服务所需个人信息划分,上述金融金融还要最少收集包括账号信息、银行账户信息、个人征信信息、紧急联系人信息、借贷交易记录。
值得关注的是,《规范》显示,在实现服务所需个人信息类型中,所收集的五种信息类型,分别对应相应的使用要求。
一是账号信息,仅用于标识金融借贷用户和保障账户信息安全;二是银行账户信息,仅用于实现银行卡和借贷账号绑卡、银行卡身份认证、借款、还款功能。三是个人征信信息,仅用于对借贷用户的个人信用进行评估,确定授信额度以及个人征信信息须经用户授权查询。
四是紧急联系人信息,仅用于金融机构在借贷人逾期不还款时进行催款,应允许用户在金融借贷应用中手动输入紧急联系人信息,而不应强制读取用户的通讯录;五是借贷交易记录,仅用于实现用户借贷历史查询和处理用户纠纷。
《规范》指出,求职招聘方面,是为用户提供网上招聘和求职服务,包括职位发布、职位展示、职位搜索、投递简历等功能。
值得关注的是,求职招聘类所收集的账号信息仅用于标识求职招聘用户,保障账户信息安全;求职者基本信息,仅用于招聘单位识别求职者、岗位需求匹配、招聘单位与求职者联系使用。求职者民族、视力应为求职者自愿提供,特殊岗位除外。求职者健康状况不应出现单项健康信息,如是否为乙肝病毒携带者等。
此外,在收集求职者教育信息、求职者工作经历信息时,仅用于求职者简历编辑投递和招聘单位匹配是否符合岗位需求;仅对招聘者用户收集身份证号码,且仅用于对招聘者身份信息进行认证。
网络约车方面,最少收集个人信息包括,网络日志、手机号码、用户发布的信息内容、身份认证信息、订单日志、上网日志、行驶轨迹日志、交易信息,此外还有账号信息、位置信息、第三方支付方式。
网上购物方面,最少收集个人信息包括,网络日志、手机号码、购物交易信息。此外,还有账号信息、收货人信息及第三方支付方式。
其中规定,网上购物的账号信息仅用于标识网上购物用户和保障账号信息安全;收货人信息仅用于网上购物收货时识别收货人、送达货物和联系收货人;第三方支付方式仅用于用户使用第三方支付方式对网上购物订单付款。(文 / 初岚)
