10月25日，《信息安全技術移動互聯網應用程序（App）收集個人信息基本規范》（下文簡稱《規范》）征求意見稿經過優化、更新后再次對外發布。據移動支付網了解，《規范》于今年8月公開向社會征求意見。

官方介紹此次優化、更新設計三個方面，下面移動支付網將為大家仔細講解兩版《草案》之間的不同。

新增“彈窗”要求

《規范》最大的變化在第四章：App收集個人信息基本要求當中。在第一版《規范》中，第四章App個人信息基本要求分為“管理要求”和“技術要求”兩類，在最新版《規范》中，兩類要求合二為一，不再進行特別區分。

合二為一之后，第四章App個人信息基本要求內容沒有發生大的變化。不得收集不可變更的設備唯一標識、應對其使用的第三方代碼、插件的個人信息收集行為負責和應提供實時查詢已收集個人信息類型功能等內容依舊存在，沒有刪減。

除了原有的內容之前，《規范》新增“彈窗”要求：App在首次運行時通過彈窗等明顯方式告知收集規則，如隱私政策的核心內容，且運營者不應在征得意見之前進行個人信息的收集。

網絡支付、金融借貸最小必要信息增加

《規范》主要內容為第四部分App個人信息基本要求和兩個規范性附錄。常用服務類型的最少信息（附錄A）和服務類型最小權限范圍列表（附錄B）兩個規范性附錄占據了主要篇幅，是草案非常重要的一部分。

在附錄A中，規定了地圖導航、網絡約車、即時通訊、博客論壇、網絡支付、新聞資訊、網上購物等21種常用服務類型可收集的最少信息。其中網絡支付和金融借貸服務類型可收集的最少信息表發生了變化。

在網絡支付可收集的最少信息類型中增加了身份基本信息，其中包括國籍、性別、職業等信息，依據為《支付機構反洗錢和反恐怖融資管理辦法》。對于內容，沒有發生其他變化。

網絡借貸可收集的最少信息類型也增加了新的內容。與舊版《規范》相比，新版《規范》增加了償付能力和貸款用途兩項內容。其他內容，比如個人信用信息、緊急聯系人信息等沒有發生任何變化。

刪去多余表述、用詞進行優化

《規范》在其他方面沒有進行大的改動，只是進行了一些優化。比如在第四部分刪去了“不得收集與所提供服務無關的個人信息”這一要求，因為該條文與后續眾多條款產生了不必要的重復。

新版《規范》將部分條款中“App”修改為“App運營者”增加了條款的準確性。另外，新版《規范》對內容進行了細化，例如在規范性引用文件處增加了“個人信息安全規范”、修改了術語與定義中的表述，使其更加完善。

《規范》的優化、再公告意味著規范不斷在完善，距離推出相信不會太遠。目前，對于App過度收集個人信息、違規收集個人信息問題的關注度已經達到史上最高點，工信部在《電信和互聯網行業提升網絡數據安全保護能力專項行動方案》中明確要求在今年10月底前完成全部基礎電信企業（含專業公司）、50家重點互聯網企業以及200款主流App的數據安全檢查。

在檢查和《規范》出臺進度不斷推進的同時，其他部門對于App合規也做出了自己的要求。北京墨跡風云科技股份有限公司就因為App數據收集、使用問題影響了IPO，證監會要求其就數據合規問題進行回應。

在各行各業當中，金融支付行業對于數據合規的需求更為急迫。

北京移動金融產業聯盟、移動支付網將于11月5日在深圳舉辦2019第四屆中國移動金融安全大會，齊聚產業鏈各方，共同探討金融信息收集、數據安全、個人信息保護等問題。會上，App專項治理工作組專家何延哲將分享《金融App個人信息保護的痛點、難點和著力點》，介紹App違法違規收集使用個人信息專項治理進展情況、給出金融類App個人信息保護方面值得高度關注的合規著力點，以及如何長期合規的策略建議。

何延哲，App專項治理工作組專家。就職于中國電子技術標準化研究院信息安全研究中心，任審查部總監，長期從事個人信息保護、云計算安全、網絡安全標準與合規方面的研究工作，是云計算、大數據、個人信息保護等領域國家標準的主要編制人。長期以專家身份配合有關部門和新聞媒體進行熱點事件的研判，2019年，受邀參加央視“3.15”晚會直播現場進行消費預警環節的講解和演示。

責任編輯：陳愛