T∕TAF 078.1-2020 APP用戶權益保護測評規(guī)范 超范圍收集個人信息

1、ICS 33.050M 30團體標準T/TAF 078.1-2020APP 用戶權益保護測評規(guī)范超范圍收集個人信息Application software user rights protection evaluation specification Over collection of personal information2020-11-26 發(fā)布2020-11-26 實施電信終端產(chǎn)業(yè)協(xié)會發(fā)布T/TAF 078.1-2020目次前言II引言III1 范圍12 術語、定義和縮略語12.1 術語和定義12.2 縮略語23 超范圍收集個人信息23.1 超范圍收集23.2 超頻次收集23.3 S

2、DK 超范圍收集23.4 SDK 超頻次收集23.5 靜默后臺超范圍收集23.6 靜默后臺超頻次收集33.7 SDK 靜默后臺超范圍收集33.8 SDK 靜默后臺超頻次收集3I庫七七 提供下載前言本標準按照GB/T 1.1-2020給出的規(guī)則起草。本標準中的某些內容可能涉及專利。本標準的發(fā)布機構不承擔識別這些專利的責任。本標準由電信終端產(chǎn)業(yè)協(xié)會提出并歸口。本標準起草單位：中國信息通信研究院、OPPO廣東移動通信有限公司、維沃移動通信有限公司、北京奇虎科技有限公司、華為技術有限公司、北京三快在線科技有限公司、小米科技有限責任公司、阿里巴巴(中國)有限公司。本標準主要起草

3、人：周飛、陳鑫愛、寧華、王艷紅、杜云、武林娜、胡月、李京典、李騰、毛欣怡、賈科、姚一楠、衣強、方強、周圣炎、賈雪飛、林冠辰。II引言本標準根據(jù)中華人民共和國網(wǎng)絡安全法等相關法律要求，依據(jù)工業(yè)和信息化部關于開展縱深推進APP侵害用戶權益專項整治行動的通知提出檢測細則，進一步促進移動互聯(lián)網(wǎng)行業(yè)的健康穩(wěn)定發(fā)展。IIIAPP 用戶權益保護測評規(guī)范 超范圍收集個人信息1 范圍本標準規(guī)定了移動應用軟件及第三方軟件開發(fā)工具包超范圍收集個人信息部分的檢測細則以及典型檢測場景。本標準適用于移動應用軟件提供者規(guī)范用戶收集使用個人信息處理活動，也適用于主管部門、第三方評估機構等組織對移動應用軟件收集使用個人信息行為

4、進行監(jiān)督、管理和評估。2 術語、定義和縮略語2.1 術語和定義下列術語和定義適用于本標準。2.1.1 2.1.1移動智能終端smart mobile terminal能夠接入移動通信網(wǎng)，具有能夠提供應用軟件開發(fā)接口的操作系統(tǒng)，具有安裝、加載和運行應用軟件能力的終端。2.1.2 2.1.2移動應用軟件mobile application移動智能終端系統(tǒng)之上安裝、運行的，向用戶提供服務功能的應用軟件，包括集成的 SDK 等第三方產(chǎn)品或服務。2.1.3 2.1.3軟件開發(fā)工具包 software development kit軟件開發(fā)工具包(Software Development Kit,簡稱SD

5、K)是指協(xié)助軟件開發(fā)的軟件庫，包括相關的二進制、文檔、范例和工具的集合。2.1.4 2.1.4收集 collect通過訪問系統(tǒng)接口等方式獲取個人信息的行為。2.1.5 2.1.5靜默狀態(tài) silence state指的是APP處于設備屏幕中，用戶未使用該APP的任何相關功能且未主動觸發(fā)任何操作的狀態(tài)。1T/TAF 078.1-20202.2 縮略語下列縮略語適用于本標準。 APP 移動應用軟件 ApplicationSDK軟件工具開發(fā)包 Software Development KitIMEI 國際移動設備識別碼 International Mobile Equipment Identity

6、IMSI 國際移動用戶識別碼 International Mobile Subscriber Identity MAC地址 媒體存取控制位址 Media Access Control Address3 超范圍收集個人信息3.1 超范圍收集APP 在收集 IMEI、IMSI、設備 MAC 地址、軟件安裝列表、位置、聯(lián)系人、通話記錄、日歷、短信、本機電話號碼、圖片、音視頻等個人信息時，不應超出其所明示收集目的的合理關聯(lián)范圍。3.2 超頻次收集a) APP 未向用戶明示收集 IMEI、IMSI、設備 MAC 地址、軟件安裝列表、位置、聯(lián)系人、通話記錄、日歷、短信、本機電話號碼、圖片、音視頻等個人信息

7、的頻率，未經(jīng)用戶同意，不應以特定頻率收集個人信息。b) APP 向用戶明示收集 IMEI、IMSI、設備 MAC 地址、軟件安裝列表、位置、聯(lián)系人、通話記錄、日歷、短信、本機電話號碼、圖片、音視頻等個人信息的頻率，收集個人信息的頻率不應超出其實現(xiàn)產(chǎn)品或服務的業(yè)務功能所必需的最低頻率。3.3 SDK 超范圍收集APP 向用戶明示第三方 SDK 處理 IMEI、IMSI、設備 MAC 地址、軟件安裝列表、位置、聯(lián)系人、通話記錄、日歷、短信、本機電話號碼、圖片、音視頻等個人信息的目的、方式和范圍，第三方 SDK 收集相應個人信息時不應超出其所明示收集目的的合理關聯(lián)范圍。3.4 SDK 超頻次收集a)

8、 APP 未向用戶明示第三方SDK 收集 IMEI、IMSI、設備 MAC 地址、軟件安裝列表、位置、聯(lián)系人、通話記錄、日歷、短信、本機電話號碼、圖片、音視頻等個人信息的頻率，未經(jīng)用戶同意，第三方 SDK 不應以特定頻率收集個人信息。b) APP 向用戶明示第三方 SDK 收集使用 IMEI、IMSI、設備 MAC 地址、軟件安裝列表、位置、聯(lián)系人、通話記錄、日歷、短信、本機電話號碼、圖片、音視頻等個人信息的頻率，第三方 SDK 收集個人信息的頻率不應超出其實現(xiàn)產(chǎn)品或服務的業(yè)務功能所必需的最低頻率。3.5 靜默后臺超范圍收集APP 在靜默狀態(tài)下或在后臺運行時，收集 IMEI、IMSI、設備 M

9、AC 地址、軟件安裝列表、位置、聯(lián)系人、通話記錄、日歷、短信、本機電話號碼、圖片、音視頻等個人信息不應超出其所明示的收集目的的合理關聯(lián)范圍。33.6 靜默后臺超頻次收集a) APP 未向用戶明示在靜默狀態(tài)下或在后臺運行時收集 IMEI、IMSI、設備 MAC 地址、軟件安裝列表、位置、聯(lián)系人、通話記錄、日歷、短信、本機電話號碼、圖片、音視頻等個人信息的頻率， 未經(jīng)用戶同意，不應以特定頻次收集個人信息。b) APP 向用戶明示在靜默狀態(tài)下或在后臺運行時收集 IMEI、IMSI、設備 MAC 地址、軟件安裝列表、位置、聯(lián)系人、通話記錄、日歷、短信、本機電話號碼、圖片、音視頻等個人信息的頻率，收集個

10、人信息的頻率不應超出其實現(xiàn)產(chǎn)品或服務的業(yè)務功能所必需的最低頻率。3.7 SDK 靜默后臺超范圍收集APP 在靜默狀態(tài)下或在后臺運行時，第三方 SDK 收集 IMEI、IMSI、設備 MAC 地址、軟件安裝列表、位置、聯(lián)系人、通話記錄、日歷、短信、本機電話號碼、圖片、音視頻等個人信息不應超出其所明示的收集目的的合理關聯(lián)范圍。3.8 SDK 靜默后臺超頻次收集a) APP 未向用戶明示在靜默狀態(tài)下或在后臺運行時第三方 SDK 收集 IMEI、IMSI、設備 MAC 地址、軟件安裝列表、位置、聯(lián)系人、通話記錄、日歷、短信、本機電話號碼、圖片、音視頻等個人信息的頻率，未經(jīng)用戶同意，在靜默狀態(tài)下或在后臺運行時，第三方 SDK 不應以特定頻次收集個人信息。b) APP 向用戶明示在靜默狀態(tài)下或在后臺運行時第三方 SDK 收集 IMEI、IMSI、設備 MAC 地址、軟件安裝列表、位置、聯(lián)系人、通話記錄、日歷、短信、本機電話號碼、圖片、音視頻等個人信息的頻率，在靜默狀態(tài)或在后臺運行時，第三方 SDK 收集個人信息的頻率不應超出其實現(xiàn)產(chǎn)品或服務的業(yè)務功能所必需的最低頻率。注：3.3、3.4、3.8 中，APP 明示 SDK 處理的個人信息的目的、方式、范圍，參照AP