8月8日，信安标委发布《信息安全技术移动互联网应用（App）收集个人信息基本规范（草案）》，并对外征求意见。草案分为管辖范围、规范性引用文件、缩略语、App个人信息基本要求四个部分，并附有常用服务类型的最少信息、服务类型最小权限范围列表两个规范性附录。草案主要内容为第四部分App个人信息基本要求和两个规范性附录。

App不得收集设备唯一标识码

第四部分App个人信息基本要求分为管理要求和技术要求两类。在管理要求中，草案规定：“当用户同意App收集某服务类型的最少信息时，App不得因用户拒绝提供最少信息之外的个人信息而拒绝提供该类型服务。”且规定：“用户明确拒绝使用某服务类型后，App不得频繁（如每48小时超过一次）征求用户同意使用该类型服务，并保证其他服务类型正常使用。”

在管理要求中，首次规定：“App不得收集不可变更的设备唯一标识（如IMEI号、MAC地址等）。”但是也有补充：“用于保障网络安全或运营安全的除外。”

值得注意的是，草案还规定“App应对其使用的第三方代码、插件的个人信息收集行为负责。”并且“App应防止第三方代码、插件收集无关的个人信息。”该条规定注释中说明：“如第三方代码、插件自行向用户明示并得到许可，则第三方代码、插件独立对其个人信息收集行为承担责任。”

App应提供实时查询已收集个人信息类型功能

在App个人信息基本技术要求中，草案明确规定：“当收集的个人信息超出服务类型的最少信息时，超出部分的个人信息，App应逐项征得用户明示同意。”草案对拥有多项服务类型App也做出了技术要求：“App应允许用户逐项开启和退出服务类型，开启或退出的方式应易于操作。”且“当用户退出某服务类型后，App应终止该服务类型收集个人信息的活动，并对仅用于该服务的个人信息进行删除或匿名化处理。”

在技术要求中草案首次提出：“App应提供实时查询已收集个人信息类型功能，且应独立展示，并应易于操作。”草案还要求App应尽量在本地储存、使用个人信息：“在不影响响终端和服务正常的情况下，App应优先在用户终端中存储、使用所收集的个人信息。”

最小权限范围最多4项，最少0项

在草案中，附录A常用服务类型的最少信息和附录B服务类型最小权限范围列表两个规范性附录占据了主要篇幅，同时也是草案非常重要的一部分。

其中，附录A常用服务类型的最少信息中规定了地图导航、网络约车、即时通讯、博客论坛、网络支付、新闻资讯、网上购物等21种常用服务类型可收集的最少信息。与信安标委在6月发布的《移动互联网应用基本业务功能必要信息规范》中发布的16种基本业务功能多了运动健身、问诊挂号、浏览器、输入法以及安全管理5种服务类型。

在实际内容中，附录A和《移动互联网应用基本业务功能必要信息规范》所规定的必要信息并无太大差异，只是略有表述不同。两者之间最大差异是附录A所有附录类型最少信息都多了一项《网络安全法》所要求的“网络日志”。

根据《网络安全法》第二十一条第三款：网络运营者应按照规定留存网络运行状态、网络安全事件相关的网络日志不少于六个月。

在附录B服务类型最小权限范围列表中则是针对Android 6.0及以上的危险权限，给出了常用21项服务类型的最小权限范围。其中即时通讯、网络支付、金融借贷等10类服务的最小权限范围仅为储存权限一项；网上购物、交通票务、浏览器等5类服务则是0项；安全管理类服务最小权限范围最广，有储存、短信等4项权限。

附录B