个人信息中国信息分类网

beijing目次前言II引言III1范围12规范性引用文件13术语、定义和缩略语14移动智能终端个人信息分类24.
1概述24.
2个人信息分类25移动智能终端个人信息保护原则26移动智能终端个人信息保护技术26.
1概述26.
2个人信息的收集36.
3个人信息的加工36.
4个人信息的转移36.
5个人信息的删除4参考文献5前言本标准按照GB/T1.
1-2009的规则起草.
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口.
本标准起草单位:浙江长天信息技术有限公司、成都网安科技发展有限公司、中国软件评测中心、工业和信息化部电子工业标准化研究院、中国信息安全测评中心.
本标准主要起草人:高洁原、高炽扬、罗锋盈、高子鹏、王坤、张华熊、刘法旺、刘陶、杨建军、郭颖.
引言随着移动互联网的快速发展和移动智能终端的广泛应用,移动智能终端个人信息在人们的社会、经济活动中的地位日益凸显,滥用个人信息的现象也随之出现,给社会秩序和个人切身利益带来了危害.
为促进移动智能终端个人信息的合理利用,指导和规范利用移动智能终端处理个人信息的活动,制定本标准.

信息安全技术移动智能终端个人信息保护技术要求范围本标准规范了全部或部分通过移动智能终端进行个人信息处理的过程,为移动智能终端中个人信息处理不同阶段的个人信息保护提供指导.
本标准适用于指导公共及商业用途的移动智能终端进行个人信息的处理,其他有关各方也可参照使用.
规范性引用文件下列文件对于本文件的应用是必不可少的.
凡是注日期的引用文件,仅注日期的版本适用于本文件.
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件.
GB/Z28828信息安全技术公共及商用服务信息系统个人信息保护指南YD/T2407移动智能终端安全能力技术要求术语、定义和缩略语术语和定义下列术语和定义适用于本文件.
移动智能终端smartmobileterminal能够接入移动通信网,具有能够提供应用程序开发接口的开放操作系统,并能够安装和运行第三方应用软件的移动终端.
移动智能终端应用程序smartmobileterminalapplication安装在移动智能终端设备上,能够利用移动智能终端设备上操作系统提供的开发接口,实现某项或某几项特定任务的计算机程序.
移动智能终端个人信息smartmobileterminalpersonalinformation可为移动智能终端中操作系统或应用软件所处理、与移动智能终端使用者相关,且能够单独或通过与其他信息相结合,从而识别该移动智能终端使用者的数据信息.
个人信息主体subjectofpersonalinformation个人信息指向的自然人.
明示同意expressedconsent个人信息主体明确授权同意,并保留证据.
缩略语下列缩略语适用于本文件.
API应用程序编程接口ApplicationProgrammingInterfaceIMEI国际移动设备身份码InternationalMobileEquipmentIdentityUDID唯一设备识别符UniqueDeviceIdentifier移动智能终端个人信息分类概述移动智能终端个人信息主要包含通信信息、日志信息、账户信息、金融支付信息、传感采集信息、设备信息和文件信息共七大类别,涉及了包括移动智能终端设备系统固有、用户存储及应用程序生成等各类个人信息数据.

个人信息分类通信信息是指移动智能终端用户用于发起或接受通信以及在通信过程中所产生的数据信息.
包括通讯录、通讯记录、短信、彩信、邮件、即时通信消息等.
日志信息是指移动智能终端使用者通过使用应用程序而记录的与时间相关的事件信息,或由应用程序产生的以时间为检索条件的使用记录或缓存数据.
账户信息是指移动智能终端应用程序在注册或登录时需要填写的信息,以及移动智能终端中各应用程序所存储的个人账号相关信息.
金融支付信息是指移动智能终端用户借助终端参与金融交易或支付活动而产生的数据信息.
包括交易验证码、动态口令等.
传感采集信息是指利用移动智能终端传感器设备所采集到的、能反映移动智能终端设备使用者的周边环境和身份特征的数据信息.
包括地理位置信息、指纹信息等.
设备信息是指可标识移动智能终端唯一性的数据信息.
包括IMEI、UDID等.
文件信息是指存储在移动智能终端设备存储介质中的数据信息.
包括照片、音频、视频、文本等各种类型文件数据.
移动智能终端个人信息保护原则在对移动智能终端个人信息进行处理时,一般应按GB/Z28828-2012中4.
2的要求,遵循其目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确八项原则合理的利用个人信息.
移动智能终端个人信息保护技术概述在移动智能终端个人信息的处理过程中可分为收集、加工、转移和删除四个主要环节.
对个人信息的保护贯穿于四个阶段中:收集阶段是指移动智能终端系统和应用程序对设备中个人信息的提取和记录.
加工阶段是指移动智能终端系统和应用程序对收集到的个人信息进行的操作处理,如录入、存储、修改、标注等.
转移阶段是指移动智能终端系统和应用程序对收集和处理的个人信息进行发送和传输,从而将个人信息转移复制到其他信息系统.
删除阶段指使移动智能终端个人信息在收集、加工处理和传输存储过程结束后,个人信息不再可用时应删除相应数据.
个人信息的收集移动智能终端操作系统应对系统资源的调用进行监控、保护和提醒,确保涉及收集个人信息的行为总是在受控的状态下,不会造成出现用户不可控的行为的执行.
移动智能终端系统和应用程序,在通过调用操作系统或其他安装的第三方软件系统提供的API接口收集个人信息时,应告知用户,让用户知晓当前操作会收集个人信息的种类,以及收集的个人信息的用途.

在收集个人信息过程中,移动智能终端系统和应用程序只应收集能够达到已告知目的的最少信息.
持续收集个人信息时,应允许移动智能终端使用者配置、调整或关闭个人信息收集功能.
移动智能终端系统和应用程序不应该采取隐蔽手段或以间接方式收集个人信息.
收集涉及个人敏感信息和身份特征的个人信息数据时应采用明示同意的告知许可方式.
收集阶段的"告知"提醒,应明确一个时间有效期,包括一段时间或长期等.
注:在个人信息收集过程中,"告知和许可"的管理方式可针对于程序类型做适当调整.
如:游戏类程序在收集设备号等信息时,应告知用户此操作用于进行前端活动分析统计,视为合理行为;而系统管理和安全防护类的程序在收集设备特征或者通讯方式时应首先声明告知当前收集个人信息的目的是否明确以及合理.