ICS35.030CCSL80團體標準Datasecurityrequirementsforonli中國互聯(lián)網(wǎng)協(xié)會發(fā)布IT/ISC0052—2024 2規(guī)范性引用文件 3術語和定義 4符號和縮略語 5概述 5.1網(wǎng)盤服務業(yè)務組成 5.2網(wǎng)盤服務數(shù)據(jù)范圍 6基本要求 7數(shù)據(jù)收集要求 7.1收集個人信息要求 7.2申請系統(tǒng)權限要求 7.3告知同意要求 8數(shù)據(jù)存儲要求 9數(shù)據(jù)傳輸要求 10數(shù)據(jù)使用和加工要求 10.1數(shù)據(jù)展示要求 10.2數(shù)據(jù)使用要求 10.3數(shù)據(jù)加工要求 11數(shù)據(jù)提供和公開要求 11.1數(shù)據(jù)提供要求 11.2數(shù)據(jù)公開要求 12數(shù)據(jù)刪除要求 13數(shù)據(jù)出境要求 14個人信息主體權利 15網(wǎng)盤服務典型場景數(shù)據(jù)安全要求 15.1外鏈分享要求 15.2二級獨立密碼安全要求 附錄A（資料性）互聯(lián)網(wǎng)網(wǎng)盤服務數(shù)據(jù)分類示例 附錄B（資料性）互聯(lián)網(wǎng)網(wǎng)盤服務常見業(yè)務功能的個人信息收集范圍及使用要求 附錄C（資料性）互聯(lián)網(wǎng)網(wǎng)盤服務APP相關系統(tǒng)權限申請范圍及使用要求 本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由中國互聯(lián)網(wǎng)協(xié)會提出并歸口。本文件起草單位：中國信息通信研究院、北京度友科技有限公司、天翼數(shù)字生活科技有限公司、中移互聯(lián)網(wǎng)有限公司。本文件主要起草人：汪露露、陳湉、唐勇平、蔣思思、唐焱、李瑞鋒、唐海浩、賈玉棟、馮鈺淇、劉明輝、羅奧林、仇詩煜、蔡煜佳、陳培實、陳芨、黎偉健、顏建輝、鄭磊、李小青、胡斌、秦博陽、關偉東、王丹輝、葛鑫、解伯延、鐘子呈。1T/ISC0052—2024互聯(lián)網(wǎng)網(wǎng)盤服務數(shù)據(jù)安全要求本文件規(guī)定了互聯(lián)網(wǎng)網(wǎng)盤服務收集、存儲、使用、加工、傳輸、提供、公開、刪除等數(shù)據(jù)處理活動的安全要求。本文件適用于互聯(lián)網(wǎng)網(wǎng)盤服務提供者規(guī)范數(shù)據(jù)處理活動，也可為監(jiān)管部門、第三方評估機構對互聯(lián)網(wǎng)網(wǎng)盤服務數(shù)據(jù)處理活動進行監(jiān)督、管理、評估提供參考。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T25069—2022信息安全技術術語GB/T35273—2020信息安全技術個人信息安全規(guī)范GB/T37988—2019信息安全技術數(shù)據(jù)安全能力成熟度模型GB/T39335—2020信息安全技術個人信息安全影響評估指南GB/T41391—2022信息安全技術移動互聯(lián)網(wǎng)應用程序(App)收集個人信息基本要求GB/T41479—2022信息安全技術網(wǎng)絡數(shù)據(jù)處理安全要求GB/T12905—2019條碼術語3術語和定義GB/T25069—2022、GB/T35273—2020、GB/T12905—2019界定的以及下列術語和定義適用于本文件3.1互聯(lián)網(wǎng)網(wǎng)盤服務onlinestorageservice通過互聯(lián)網(wǎng)站、應用程序等網(wǎng)絡平臺，向社會公眾提供文件存儲、分享等服務。3.2互聯(lián)網(wǎng)網(wǎng)盤服務平臺onlinestorageserviceplatform提供互聯(lián)網(wǎng)網(wǎng)盤服務（3.1）的信息系統(tǒng)。2T/ISC0052—20243.3互聯(lián)網(wǎng)網(wǎng)盤服務提供者onlinestorageserviceprovider向社會公眾提供互聯(lián)網(wǎng)網(wǎng)盤服務（3.1）的組織或者個人。3.4互聯(lián)網(wǎng)網(wǎng)盤服務使用者onlinestorageserviceuser使用互聯(lián)網(wǎng)網(wǎng)盤服務（3.1）的組織或者個人。注：本文件中簡稱“用戶”。3.5互聯(lián)網(wǎng)網(wǎng)盤服務第三方參與者onlinestorageservicethird-partyparticipant除互聯(lián)網(wǎng)網(wǎng)盤服務提供者(3.3)和互聯(lián)網(wǎng)網(wǎng)盤服務使用者(3.4)之外的互聯(lián)網(wǎng)網(wǎng)盤服務(3.1)的參與主體。注:本文件中簡稱“第三方”。3.6互聯(lián)網(wǎng)網(wǎng)盤服務數(shù)據(jù)onlinestorageservicedata互聯(lián)網(wǎng)網(wǎng)盤服務提供者在提供網(wǎng)盤服務的過程中收集和產(chǎn)生的數(shù)據(jù)。注：主要包括用戶數(shù)據(jù)和業(yè)務數(shù)據(jù)，不包括提供者內(nèi)部管理經(jīng)營數(shù)據(jù)。4符號和縮略語下列符號和縮略語適用于本文件。AI人工智能（ArtificialIntellingence）IoT物聯(lián)網(wǎng)（InternetofThings）APP應用程序（Application）SDK軟件開發(fā)工具包（SoftwareDevelopmentKit）5概述5.1網(wǎng)盤服務業(yè)務組成網(wǎng)盤服務業(yè)務功能主要包括用戶注冊/登錄、上傳/下載、云存儲/備份/同步、文件管理、分享/轉(zhuǎn)存、圖片/文檔預覽、視頻播放等基礎功能。另外，不同的網(wǎng)盤平臺提供了不同的擴展功能，如相冊管理、照片AI整理、圖片美化、搜索、文檔協(xié)同編輯、格式轉(zhuǎn)換、掃描、云筆記、會員權益等。網(wǎng)盤服務的相關方包括網(wǎng)盤服務提供者、網(wǎng)盤服務使用者及網(wǎng)盤服務第三方參與者。其中，網(wǎng)盤服務使用者在網(wǎng)盤服務平臺上進行文件上傳、管理、分享等；網(wǎng)盤服務第三方參與者包括美圖服務提供者、文檔處理服務提供者等。3T/ISC0052—20245.2網(wǎng)盤服務數(shù)據(jù)范圍網(wǎng)盤服務數(shù)據(jù)包括用戶個人數(shù)據(jù)、用戶文件數(shù)據(jù)、業(yè)務數(shù)據(jù)：a)用戶個人數(shù)據(jù)：網(wǎng)盤服務平臺提供服務過程中收集和產(chǎn)生的用戶的個人信息，如用戶的基本資料、身份信息、登錄設備、登錄記錄、播放記錄等；b)用戶文件數(shù)據(jù)：用戶在使用網(wǎng)盤服務平臺過程中上傳/備份的各類圖片、視頻、文本、軟件等各種類型的文件以及文件描述數(shù)據(jù)，如文件夾列表信息、文件信息、下載地址、縮略圖、封面圖等；c)業(yè)務數(shù)據(jù)：在網(wǎng)盤服務平臺業(yè)務開展過程中除用戶數(shù)據(jù)和用戶文件數(shù)據(jù)外的用于保障業(yè)務正常運行的數(shù)據(jù)，如業(yè)務統(tǒng)計數(shù)據(jù)、網(wǎng)絡日志、運營數(shù)據(jù)等。6基本要求互聯(lián)網(wǎng)網(wǎng)盤服務提供者數(shù)據(jù)安全的基本要求如下:a)數(shù)據(jù)處理活動應遵守GB/T41479—2022中規(guī)定的要求；b)個人信息處理活動應遵守GB/T35273—2020中規(guī)定的要求，網(wǎng)盤App個人信息收集活動應遵守GB/T41391—2022中規(guī)定的要求；c)應按照有關要求和標準進行數(shù)據(jù)分類分級保護，識別互聯(lián)網(wǎng)網(wǎng)盤服務涉及的核心數(shù)據(jù)、重要數(shù)據(jù)、一般數(shù)據(jù)，對不同級別的數(shù)據(jù)采取不同的保護措施；注1：國家建立數(shù)據(jù)分類分級保護制度，按照數(shù)據(jù)對國家安全、公共利益或者個人、組織合法權益的影響和重要程度，將數(shù)據(jù)分為核心數(shù)據(jù)、重要數(shù)據(jù)、一般數(shù)據(jù)。注2：附錄A給出了互聯(lián)網(wǎng)網(wǎng)盤服務數(shù)據(jù)分類示例。d)應識別互聯(lián)網(wǎng)網(wǎng)盤服務涉及的一般個人信息、敏感個人信息，對個人信息進行分類管理；e)應履行互聯(lián)網(wǎng)平臺運營者義務，如個人信息保護獨立監(jiān)督、制定公平公正的平臺規(guī)則、隱私政策披露、平臺內(nèi)經(jīng)營者管理、發(fā)布個人信息保護社會責任報告等；f)互聯(lián)網(wǎng)網(wǎng)盤服務提供者的數(shù)據(jù)安全能力應至少符合GB/T37988—2019二級能力要求；g)應結合數(shù)據(jù)處理活動的實際情況，按照有關國家標準定期開展數(shù)據(jù)安全風險評估；h)應在開展對個人權益有重大影響的個人信息處理活動前，按照GB/T39335—2020進行個人信息保護影響評估；注3：對個人權益有重大影響的個人信息處理活動，包括但不限于處理敏感個人信息，利用個人信息進行自動化決策、委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息、向境外提供個人信息等。i)應按照有關國家標準，在互聯(lián)網(wǎng)網(wǎng)盤服務平臺規(guī)劃建設時開展個人信息安全工程實踐，同步規(guī)劃、同步建設、同步使用個人信息保護措施；j)互聯(lián)網(wǎng)網(wǎng)盤服務平臺應符合國家網(wǎng)絡安全等級保護相關標準要求。7數(shù)據(jù)收集要求7.1收集個人信息要求互聯(lián)網(wǎng)網(wǎng)盤服務提供者收集個人信息應在滿足GB/T35273—2020中5.1、5.2、5.3的要求基礎上，遵守以下要求。a)通過App收集普通用戶必要個人信息應符合GB/T41391—2022中A.25規(guī)定；4T/ISC0052—2024注：GB/T41391—2022附錄A給出了常見類型App必要個人信息范圍，互聯(lián)網(wǎng)網(wǎng)盤類App的必要個人信息范圍對應“A.25郵箱云盤類”。b)擴展業(yè)務功能收集個人信息應由用戶可選提供或者用戶公開信息，且應限于實現(xiàn)處理目的的最小范圍，常見擴展業(yè)務功能收集的個人信息范圍及使用要求見附錄B；c)未經(jīng)用戶同意，不應分析提取用戶上傳的文件內(nèi)容，用于分析挖掘用戶的特定身份、興趣愛好、健康狀況。7.2申請系統(tǒng)權限要求互聯(lián)網(wǎng)網(wǎng)盤APP不應申請與APP業(yè)務功能無關的系統(tǒng)權限，系統(tǒng)權限申請范圍及使用要求見附錄7.3告知同意要求互聯(lián)網(wǎng)網(wǎng)盤服務提供者收集個人信息告知同意應在滿足GB/T35273—2020中5.4、5.5、5.6的要求基礎上，遵守以下要求：a)以互聯(lián)網(wǎng)站、App等形式提供網(wǎng)絡網(wǎng)盤服務的，應通過顯著方式（例如彈窗、語音提示、網(wǎng)頁頁面等）向用戶告知網(wǎng)盤提供者的名稱、聯(lián)系方式，個人信息的處理目的、處理方式，處理的個人信息種類、保存期限，用戶行使權利的方式和程序等；b)依托智能電視等IoT智能終端提供互聯(lián)網(wǎng)網(wǎng)盤服務的，針對有屏式IoT智能終端，應自行或要求智能終端廠商在用戶首次使用互聯(lián)網(wǎng)網(wǎng)盤服務時向用戶展示個人信息處理規(guī)則，并征得用戶同c)以向第三方App接入SDK等形式提供互聯(lián)網(wǎng)網(wǎng)盤服務的，應向該第三方告知提供者的名稱或者姓名、聯(lián)系方式，個人信息的處理目的、處理方式，處理的個人信息種類、保存期限，用戶行使權利的方式和程序等，或提供包含上述內(nèi)容個人信息處理規(guī)則及其鏈接，并要求第三方在其個人信息處理規(guī)則中披露上述內(nèi)容。8數(shù)據(jù)存儲要求網(wǎng)盤服務提供者存儲數(shù)據(jù)，應在滿足GB/T35273—2020中6.2、6.3、6.4要求的基礎上滿足以下要求：a)針對用戶個人數(shù)據(jù)存儲的要求包括：1)應對個人身份信息等敏感個人信息采取加密措施存儲，并與其他類型的個人信息分開存儲；2)用戶個人數(shù)據(jù)存儲期限應為實現(xiàn)用戶個人數(shù)據(jù)處理目的所必需的最短時間，超出保存期限應對用戶個人數(shù)據(jù)進行刪除或匿名化處理，法律法規(guī)另有規(guī)定的除外；3)如超出用戶個人數(shù)據(jù)保存期限，但法律、行政法規(guī)規(guī)定的保存期限未屆滿，或者刪除用戶個人數(shù)據(jù)從技術上難以實現(xiàn)的，應停止除存儲和采取必要的安全保護措施之外的處理。b)針對用戶文件數(shù)據(jù)，應采取統(tǒng)一保護級別的安全措施進行存儲；c)針對業(yè)務數(shù)據(jù)，應在分類分級的基礎上進行分級存儲。9數(shù)據(jù)傳輸要求網(wǎng)盤服務提供者傳輸數(shù)據(jù)，應在遵守GB/T35273—2020中6.3要求的基礎上，遵守以下要求：a)通過互聯(lián)網(wǎng)傳輸敏感個人信息、用戶文件數(shù)據(jù)時，應在傳輸前進行數(shù)據(jù)加密，并使用安全通道進行傳輸；5T/ISC0052—2024b)客戶端和服務端的傳輸報文、日志等文件不應包含明文用戶鑒別信息、敏感個人信息。10數(shù)據(jù)使用和加工要求10.1數(shù)據(jù)展示要求網(wǎng)盤服務提供者對數(shù)據(jù)的展示，應在遵守GB/T35273—2020中7.2的要求基礎上，遵守以下要求：a)用戶在未登錄狀態(tài)下產(chǎn)生的瀏覽、搜索等使用記錄，應僅限當前設備能夠查閱；b)在用戶登錄賬號后將未登錄狀態(tài)下產(chǎn)生的使用記錄與該賬號進行關聯(lián)時，應取得用戶同意；c)用戶查閱其個人身份信息時，如涉及身份證號、銀行卡號等敏感信息，除使用賬號口令驗證外，還應采用多因素認證等安全驗證措施，如短信/郵件驗證等；d)在展示敏感個人信息時，應采用數(shù)據(jù)脫敏等技術，降低數(shù)據(jù)展示時的數(shù)據(jù)泄露風險；e)在展示用戶文件數(shù)據(jù)的文件下載鏈接、縮略圖、封面圖等鏈接時，應采用防盜鏈措施，如使用防篡改鑒權字符串或設定訪問鏈接有效期（不宜超過12小時）等。10.2數(shù)據(jù)使用要求互聯(lián)網(wǎng)網(wǎng)盤服務提供者進行數(shù)據(jù)使用時，應在滿足GB/T35273—2020第7章要求的基礎上，遵守以下要求：a)供網(wǎng)盤服務提供者內(nèi)部人員使用的業(yè)務系統(tǒng)，應對用戶個人數(shù)據(jù)進行脫敏展示。因業(yè)務正常開展所需，需要查看未經(jīng)脫敏處理的用戶個人數(shù)據(jù)時，應在展示界面中采用數(shù)字水印技術；b)對于涉及用戶個人信息的操作，應通過建立審批流程、限制數(shù)據(jù)訪問范圍等措施，限制批量查詢、導出用戶個人信息的操作功能；c)對于確需訪問用戶個人數(shù)據(jù)的業(yè)務場景，應對觸發(fā)訪問特定用戶個人數(shù)據(jù)的事件、操作行為進行記錄，并定期開展審計。10.3數(shù)據(jù)加工要求網(wǎng)盤服務提供者加工數(shù)據(jù)，應在遵守GB/T35273—2020中7.3、7.4、7.6、7.7的要求基礎上，遵守以下要求：a)未經(jīng)用戶同意，不應對用戶個人數(shù)據(jù)、用戶文件數(shù)據(jù)進行修改、分析挖掘；b)通過自動化決策方式向個人進行廣告推送、商業(yè)營銷，應當同時提供不針對其個人特征的選項，或者向個人提供便捷的拒絕方式；c)利用數(shù)據(jù)進行自動化決策分析的，應當保證決策分析的透明度和結果公平合理；d)在對用戶文件數(shù)據(jù)進行加工時，如圖片/視頻分類分組、文字識別、生成相冊，應在隱私政策中說明用途，征得用戶同意，允許用戶自主選擇，或者向用戶提供便捷的拒絕或關閉方式；e)在對用戶文件數(shù)據(jù)加的工過程中，應該采用安全管控措施實現(xiàn)數(shù)據(jù)資源的保護。11數(shù)據(jù)提供和公開要求11.1數(shù)據(jù)提供要求互聯(lián)網(wǎng)網(wǎng)盤服務提供者向第三方提供個人信息應在遵守GB/T35273—2020中9.2、9.3、9.4要求的基礎上，遵守以下要求：a)針對聯(lián)合會員營銷服務場景下向第三方提供個人信息的要求包括：6T/ISC0052—20241)向聯(lián)名會員方等合作方提供的個人信息應僅限于訂單信息及可識別用戶賬號的必要信息如移動手機號碼等；2)應在提供前對所提供的個人信息進行去標識化處理。b)針對個性化廣告場景下向第三方提供個人信息的要求包括：1)未經(jīng)用戶同意，不應向廣告主、廣告分發(fā)及管理平臺等第三方提供用戶瀏覽、搜索、播放等網(wǎng)盤服務使用記錄（不包括用戶瀏覽、搜索、播放廣告的記錄）；2)涉及提供唯一設備識別碼時，應在提供前對唯一設備識別碼進行加密。c)向第三方應用共享數(shù)據(jù)時，應與第三方運營者簽訂協(xié)議，明確其責任、義務和安全能力；d)因兼并、重組、破產(chǎn)等原因需要轉(zhuǎn)移數(shù)據(jù)的，應明確數(shù)據(jù)轉(zhuǎn)移方案，數(shù)據(jù)接收方應繼續(xù)履行相應數(shù)據(jù)安全保護義務。11.2數(shù)據(jù)公開要求互聯(lián)網(wǎng)網(wǎng)盤服務提供者在公開數(shù)據(jù)時，應滿足GB/T35273—2020中9.4的要求。此外，業(yè)務數(shù)據(jù)在公開時，不應危害國家安全、公共利益或者個人、組織合法權益等。12數(shù)據(jù)刪除要求互聯(lián)網(wǎng)網(wǎng)盤服務提供者在數(shù)據(jù)刪除活動中，應在滿足GB/T35273—2020中6.1和8.3要求的基礎上，遵守以下要求：a)未經(jīng)用戶許可，網(wǎng)盤服務提供者不得私自刪除用戶文件數(shù)據(jù)，除非為配合有權機關依照相關法律法規(guī)履行公共管理職責所需；b)因兼并、重組、破產(chǎn)等原因停止服務的，應將停止運營的通知以短信、郵件或公告等形式通知用戶，并提供足夠的帶寬，供用戶將網(wǎng)盤數(shù)據(jù)下載、備份到本地；c)如遇到業(yè)務下線、機房裁撤、業(yè)務遷移等原因，應對相關存儲設備進行必要的數(shù)據(jù)擦除，避免相關數(shù)據(jù)被意外恢復；d)應保存數(shù)據(jù)刪除的有關記錄；e)提供有效的刪除個人信息途徑，該途徑包括在線功能界面、客服電話、服務郵箱等；f)存儲用戶個人數(shù)據(jù)、用戶文件數(shù)據(jù)、業(yè)務數(shù)據(jù)的介質(zhì)進行報廢處理時，網(wǎng)盤服務提供者應采用物理損毀等方式銷毀介質(zhì)，以確保相關數(shù)據(jù)不能被恢復。13數(shù)據(jù)出境要求互聯(lián)網(wǎng)網(wǎng)盤服務提供者如因業(yè)務需要向境外提供數(shù)據(jù)，應遵守國家相關法律法規(guī)和標準的要求。14個人信息主體權利網(wǎng)盤服務提供者在保障個人信息主體權利方面，應在遵守GB/T35273—2020第8章要求的基礎上，遵守以下要求。a)應為用戶提供便捷的查閱、復制、轉(zhuǎn)移、更正、刪除個人信息，以及撤回同意的功能；b)應向用戶提供查閱和刪除瀏覽、播放、搜索等使用記錄的功能，用戶刪除相關使用記錄后，不應再次使用相關個人信息；c)應為用戶提供刪除網(wǎng)盤數(shù)據(jù)上傳、網(wǎng)盤數(shù)據(jù)下載、網(wǎng)盤鏈接分享、搜索等使用記錄的選項；d)應為用戶提供便捷的賬號注銷功能，不應設置不合理的注銷條件，并遵守以下要求：7T/ISC0052—20241)除用戶賬號存在未處理完畢的交易與糾紛、其賬號下?lián)碛胸敭a(chǎn)權益(包括會員權益等)、其與提供者簽署的合同仍在有效期內(nèi)的情形外，不應設置其他注銷條件；2)因1）中所述情形影響或拒絕用戶注銷的，應向用戶說明注銷賬號的影響或拒絕的理由。如用戶已妥善處理（包括自愿放棄等方式）相關權益或上述其他限制情形消除后，應為用戶注銷賬號；3)除1）中所述情形，可從保障用戶權益和履行平臺職責角度出發(fā)，對賬號設置合理的注銷限制條件，如待注銷賬號不存在違法違規(guī)或被盜風險。針對此類限制條件，應為用戶提供專門的申訴渠道；4)在用戶注銷賬號后，及時刪除其個人信息或進行匿名化處理。15網(wǎng)盤服務典型場景數(shù)據(jù)安全要求15.1外鏈分享要求在外鏈分享場景下，對互聯(lián)網(wǎng)網(wǎng)盤服務提供者的要求如下：a)不應提供默認無密碼的分享外鏈；b)應提供舉報入口，以便接收互聯(lián)網(wǎng)用戶的對分享內(nèi)容合規(guī)合法性的監(jiān)督；c)用戶通過互聯(lián)網(wǎng)網(wǎng)盤平臺生成的分享信息(如下載鏈接、二維碼等）中，不應包含或指向明文展示的用戶名等個人信息；d)應為網(wǎng)盤服務使用者提供網(wǎng)盤共享鏈接有效期設定功能，支持用戶自定義分享時長并提供單獨的分享鏈接下線開關，應及時刪除過期或下線的網(wǎng)盤共享鏈接數(shù)據(jù)。15.2二級獨立密碼安全要求網(wǎng)盤服務提供者提供的二級獨立密碼安全要求如下：a)應建立二級獨立密碼長度、復雜度、弱密碼等校驗機制；b)用戶輸入二級獨立密碼時，客戶端不應明文顯示；c)應在重置二級獨立密碼時提供多種身份驗證方式，并以短信、郵件等方式告知用戶；d)不應將二級獨立密碼存儲在移動智能終端或網(wǎng)盤服務客戶端中。8T/ISC0052—2024（資料性）互聯(lián)網(wǎng)網(wǎng)盤服務數(shù)據(jù)分類示例互聯(lián)網(wǎng)網(wǎng)盤服務數(shù)據(jù)分類示例見表A.1。表A.1互聯(lián)網(wǎng)網(wǎng)盤服務數(shù)據(jù)分類示例用于鑒別用戶身份的指紋、聲紋、面部識別特鑒別信息(賬號口令、動態(tài)口令、短信驗證碼、郵箱驗證鏈接、密碼提示或找回密碼用戶文件上傳/下載記錄、搜索記錄、播放記錄、設備型號、唯一設備識別碼、MAC地址、IP地址、網(wǎng)9