ICS 33.030 YD CCS M21 中华人民共和国通信行业标准 YD/T 4177.15—2024 移动互联网应用程序（APP） 收集使用个人信息最小必要评估规范 第15部分：身份信息 Application software user personal information collection and usage minimization and necessity evaluation specification Part 15: Identity information 2024-12-10 发布 2025-04-01实施 中华人民共和国工业和信息化部 发布 YD/T 4177.15—2024 目 次 前言 I 引言 III 1范围. 2 规范性引用文件， 3术语和定义 4 缩略语... 5 基本原则. 6 身份信息类型 6.1 类目划分. 6.2 类目命名 7. 典型业务场景， 8 最小必要处理活动. 8.1 告知及同意. 8.2 收集阶段 8.3 存储阶段... 8.4 使用阶段. 8.5 提供阶段.. 8.6 公开阶段.. 8.7 删除阶段... 评估方法 9.1 概述. 9.2 告知及同意评估. 9.3 收集阶段评估... 9.4 存储阶段评估， 9.5 使用要求评估方法 9.6 提供要求评估方法. 9.7 公开要求评估方法. 9.8 删除要求评估方法 8 附录A（资料性） YD/T4177.15—2024 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件是YD/T4177《移动互联网应用程序（APP）收集使用个人信息最小必要评估规范》的第15 部分。YD/T4177已经发布了以下部分： 一第1部分：总则； 一第2部分：位置信息； 一一第3部分：图片信息； 一第5部分：设备信息； —一第8部分：录像信息； 一第10部分；通话记录； 一第11部分；短信信息。 本文件由中国通信标准化协会提出并归口。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件起草单位：中国信息通信研究院、阿里巴巴（中国）有限公司、维沃移动通信有限公司、 OPPO广东移动通信有限公司、北京快手科技有限公司、蚂蚁科技集团股份有限公司。 本文件主要起草人：黄天宁、贾雪飞、鲁艳、宁华、王艳红、杜云、贾科、李腾、王昕、林冠辰。 II YD/T 4177.15—2024 引言 随着移动互联网的迅速发展和日益成熟，移动智能终端功能的成熟与便利，身份信息已成为移动应 用软件开展业务功能的重要组成部分。然而，在APP收集使用身份信息的过程中，有些个人信息可能 并非用户使用该功能时所必须的。 本文件根据《中华人民共和国网络安全法》等相关法律要求，依据GB/T35273一2020《信息安 集、存储、使用、加工、传输、提供、公开等活动中的最小必要信息规范和评估准则，旨在对移动互 联网行业收集使用用户身份信息进行规范，落实最小、必要的原则，进一步促进移动互联网行业的健 康稳定发展。 YD/T4177由16个部分构成。 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第1部分：总则； 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第2部分：位置信息； 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第3部分：图片信息； 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第4部分：终端通讯录； 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第6部分：软件列表； 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第7部分：人脸信息； 移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第8部分：录像信息； 移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第9部分：录音信息； 移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第10部分：通话记录； 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第11部分：短信信息； 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第12部分：好友列表； 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第13部分：传感器信息： 移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第14部分：应用日志信息； 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第15部分：身份信息； 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第16部分：剪切板信息。 II YD/T4177.15—2024 移动互联网应用程序（APP）收集使用个人信息最小必要评估规范 第15部分：身份信息 1范围 本文件规定了移动应用软件对身份信息的收集、使用、存储、删除等活动中的最小必要规范和评估 方法，并通过个人信息处理活动中的典型应用场景来说明如何落实最小必要原则。 本文件适用于移动互联网应用软件提供者规范用户个人信息中的身份信息的处理活动，也适用于主 管监管部门、第三方评估机构等组织对移动互联网应用程序收集身份信息行为进行监督、管理和评估。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T25069—2022信息安全技术术语 GB/T35273一2020信息安全技术个人信息安全规范 YD/T4177.1一2022移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第1部分： 总则 3术语和定义 GB/T35273一2020界定的以及下列术语和定义适用于本文件。 3.1 身份信息identityinformation 身份信息特指法定身份证件信息，如身份证、户籍、护照、社保、医保、驾驶证、军官证等相关的 信息及影印件。 4缩略语 下列缩略语适用于本文件。 APP 移动互联网应用程序 Application YD/T4177.15—2024 5基本原则 应满足YD/T4177.1一2022中的最小必要原则。 6身份信息类型 6.1类目划分 本文件在对身份信息类目的划分应遵循以下原则： a）系统性：将按其内在规律系统化进行排列，形成一个逻辑层次清晰、类目明确的、业务类型 全覆盖分类； b） 稳定性：依据分类的类目选择分类对象最稳定的本质特性作为类目分类的基础和依据，以确保 由此产生的分类结果最稳定； c）可扩展性：类目划分应预留可扩展性，以支持多样化的场景和粒度的类目定义需求。 6.2类目命名 本文件在对身份信息类目的命名应遵循以下原则： a）无二义原则：类目名称宜避免重名或近似含义； b）通俗易懂原则：宜优先保证类目名称直观可理解： c）既有习惯优先原则：宜优先使用在社会已有广泛认同的名称命名。 移动互联网应用程序的个人信息类目描述具体可参考附录A的表A.1。 7典型业务场景 收集个人信息的典型业务场景及收集说明见表1。 表1典型业务场景 业务场景 最小必要收集说明 购买商品或服务订单中包含海外直邮商品，需根据海关政策要求提供付款人的真实姓名和收货人 跨境交易服务 身份证号码，用于报关和配送服务 为确保商家身份真实性，根据《电子商务法》等要求、需提供开店人身份证件、身份等信息完成 开通店铺服务 实名认证后，提供开设店铺、发布产品、交易和售后等服务 预订飞机、火车、汽车票等场景，按照实名要求需提供乘车/机姓名、身份证号码以及取票人姓名 航旅出行服务 与手机号码，提供车票预订、信息通知及后续退改等服务 面向公众发布视频、音频、图书等，为了确保内容安全与合规，需要用户提供姓名、身份证件号 内容发布服务 码等信息完成实名认证后方可提供服务 2 YD/T 4177.15—2024 表1县 典型业务场景（续） 业务场景 最小必要收集说明 在部分地区以及境外地区，根据大型现场活动、体育赛事等需要，需提供真实姓名、身份证件信 现场演出服务 息、联系方式等，用于现场验票、安保及身份确认用途 对特定活动所领取的红包进行提现、奖品兑现和向税务机构完税，需要提交真实姓名、身份证件 运营活动 号码、联系方式等 按照法律关于实名制的要求，提交的个人照片/视频、姓名信息、身份证件号码、年龄等，用户验 直播主播认证 证账户真实身份、国籍、是否未成年人等 根据交管部门需要，提供身份信息（姓名、手机号、身份证号）、车辆信息、车主身份信息（姓 违章和验车服务 名、手机号、驾驶证）以及第三方保险机构相关的其他信息 面向个人提供通信服务、网络服务和云计算服务等，基于相关主管部门等法律法规要求，需要身 通信和网络服务 份证信息和影印件等用于注册和备案 用户寄递包裹、快件时，根据邮政管理部门要求，需要提供并核验身份证信息，并登记姓名、身 寄递服务 份证号、联系方式等 对于客户服务纠纷、订单理赔服务时，除了提供理赔相关系信息外、还需身份信息等（如姓名、 客诉和理赔 身份证号），以便完成订单理赔 线上挂号服务 线下医疗机构的挂号服务。需要按照医疗机构要求、供姓名、身份证件号码等信息，以便供服务 体检、疫苗以及各类消费医疗的预约服务，可能需要提供姓名、手机号码、身份证件号码、血型、 体检预约服务 性别、年龄等信息 网上银行注册、开通、变更、注销等服务时，需要验证和提供姓名、身份证件、手机号码、 网银服务 短信验证码、银行账号等信息。 网上银行操作转账交易类时，可能需要提供收款方的姓名、证件类型和证件