移动应用个人信息设备信息最小必要收集评估规范详解

"《2020 APP收集使用个人信息设备信息最小必要评估规范》是一份由中国电信终端产业协会发布的专业标准，旨在规范移动应用软件（APP）在收集、存储、使用、删除设备信息和个人信息的过程中，遵循最小必要性原则，确保用户的隐私权得到尊重和保护。该规范针对设备信息的定义、收集场景、各环节评估要求以及评估流程，提供了详尽的指导。 1. **范围**：文件规定了该规范适用于移动应用软件在处理涉及个人信息的设备信息时，确保信息收集的合理性和最小化，适用于所有涉及个人信息处理的APP开发者和运营人员。 2. **规范性引用文件**：文档引用了GB/T1.1-2020和GB/T35273-2020等相关技术标准，前者为标准化工作导则，后者是信息安全技术个人信息安全的基础准则。 3. **术语和定义**：明确了设备信息的概念，包括设备识别信息、位置信息、传感器数据等，以及最小必要性评估的含义，即在满足业务需求的前提下，只收集、使用、存储最必要的个人信息。 4. **基本原则**：强调了收集使用个人信息应遵循合法、正当、必要原则，保护用户的知情权和选择权，尊重个人隐私。 5. **设备信息类型**：列举了常见的设备信息类型，如设备ID、操作系统版本、设备型号等，这些信息可能影响应用程序的功能和用户体验。 6. **收集使用场景**：详细列出了在哪些业务场景下，APP可以合理地收集设备信息，并且要求开发者明确告知用户信息的用途。 7. **各环节评估要求**： - **收集阶段**：强调在获取设备信息前，需征得用户同意，并明确告知收集目的。 - **存储阶段**：规定了信息的存储期限，以及在用户不再需要或撤销同意时的信息处理方式。 - **使用阶段**：要求在实际业务中仅使用必要的设备信息，并避免超出授权范围。 - **删除阶段**：规定了用户请求删除个人信息时的响应机制，确保信息的及时清除。 - **例外情况**：阐述了在法律法规允许或保护公共安全等特殊情况下，可能需要超出最小必要原则的情况。 8. **评估流程和方法**：提供了具体的操作指南，包括自我评估、记录和报告机制，确保开发和运营过程中持续符合最小必要原则。 通过遵循这份规范，移动应用开发者能够更好地理解和实践最小必要性原则，提高用户对个人信息处理的信任度，从而促进移动互联网行业的健康发展。"