T∕TAF 077.6-2020 APP收集使用個(gè)人信息最小必要評(píng)估規(guī)范 軟件列表

1、ICS 33.050M 30團(tuán)體標(biāo)準(zhǔn)T/TAF 077.6-2020APP 收集使用個(gè)人信息最小必要評(píng)估規(guī)范軟件列表Application software user personal information collection and usageminimization and necessity evaluation specification Application software list2020-11-26 發(fā)布2020-11-26 實(shí)施電信終端產(chǎn)業(yè)協(xié)會(huì) 發(fā)布目次前言II引言III范圍1規(guī)范性引用文件1術(shù)語(yǔ)、定義和縮略語(yǔ)1術(shù)語(yǔ)和定義1軟件列表2軟件列表信息分類2軟件列表收集使用常

2、見業(yè)務(wù)場(chǎng)景2軟件列表收集最小必要原則2個(gè)人信息處理活動(dòng)中軟件列表的最小必要性評(píng)估要求2收集階段2存儲(chǔ)階段3使用階段3共享、轉(zhuǎn)讓階段3刪除階段3前言本文件按照GB/T 1.1-2020給出的規(guī)則起草。本文件中的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任。本文件由電信終端產(chǎn)業(yè)協(xié)會(huì)提出并歸口。本文件起草單位：中國(guó)信息通信研究院、安徽捷興信源信息技術(shù)有限公司、上海尋夢(mèng)信息技術(shù)有限公司、小米科技有限責(zé)任公司。本文件主要起草人：常浩倫、湯立波、臧磊、于潤(rùn)東、楊澄宇、盛大江、琭婧、王樂(lè)、徐學(xué)義。引言本文件根據(jù)中華人民共和國(guó)網(wǎng)絡(luò)安全法等相關(guān)法律要求，依據(jù)GB/T 35273-2020信息安

3、全技術(shù) 個(gè)人信息安全規(guī)范的最小必要原則，提出移動(dòng)應(yīng)用軟件在處理涉及個(gè)人信息軟件列表的收集、存儲(chǔ)、使用、傳輸、提供、公開等活動(dòng)中的最小必要信息規(guī)范和評(píng)估準(zhǔn)則，旨在對(duì)移動(dòng)互聯(lián)網(wǎng)行業(yè)收集使用軟件列表進(jìn)行規(guī)范，落實(shí)最小、必要的原則，進(jìn)一步促進(jìn)移動(dòng)互聯(lián)網(wǎng)行業(yè)的健康穩(wěn)定發(fā)展。APP 收集使用個(gè)人信息最小必要評(píng)估規(guī)范 軟件列表范圍本文件旨在貫徹個(gè)人信息收集使用的最小必要的原則，針對(duì)移動(dòng)APP收集、存儲(chǔ)、使用、共享、刪除用戶軟件列表各環(huán)節(jié)提出相應(yīng)的最小必要性符合度評(píng)估項(xiàng)，并結(jié)合典型場(chǎng)景對(duì)APP最小必要處理軟件列表進(jìn)行規(guī)定。本文件適用于指導(dǎo)移動(dòng)互聯(lián)網(wǎng)應(yīng)用軟件開發(fā)者規(guī)范對(duì)軟件列表的處理，也適用于主管監(jiān)管部門、第三

4、方評(píng)估機(jī)構(gòu)等組織對(duì)移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序收集軟件列表行為進(jìn)行監(jiān)督、管理和評(píng)估。規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T 352732020 信息安全技術(shù) 個(gè)人信息安全規(guī)范T/TAF 077.1-2020 APP 收集使用個(gè)人信息最小必要評(píng)估規(guī)范 總則術(shù)語(yǔ)、定義和縮略語(yǔ)術(shù)語(yǔ)和定義T/TAF 077.1-2020界定的以及下列術(shù)語(yǔ)和定義適用于本文件。3.1.1移動(dòng)智能終端 smart mobile terminal能夠接入移動(dòng)通信網(wǎng)，具有能夠提供應(yīng)用軟件開發(fā)接口的開

5、放操作系統(tǒng)，具有安裝、加載和運(yùn)行應(yīng)用軟件能力的終端。3.1.2移動(dòng)應(yīng)用軟件 mobile application software針對(duì)智能終端所開發(fā)的應(yīng)用程序，包括智能終端預(yù)置應(yīng)用以及互聯(lián)網(wǎng)信息服務(wù)提供者提供的可以通過(guò)智能終端下載、安裝、升級(jí)、卸載的應(yīng)用。注：本文件中規(guī)定的移動(dòng)應(yīng)用軟件（APP）即為個(gè)人信息處理者。3.1.3個(gè)人信息處理 personal information processing個(gè)人信息處理包括個(gè)人信息的收集、存儲(chǔ)、使用、加工、 傳輸、提供、公開等活動(dòng)。3.1.4告知同意 inform consent應(yīng)用通過(guò)彈窗或產(chǎn)品界面等方式提示通知用戶收集使用相關(guān)權(quán)限或信息的目的、方式

6、、范圍等，并獲用戶做出明確授權(quán)的行為。軟件列表軟件列表隸屬于GB/T 352732020 信息安全技術(shù) 個(gè)人信息安全規(guī)范舉例的個(gè)人常用設(shè)備信息， 與其他信息結(jié)合可能反映特定自然人活動(dòng)情況、興趣愛好，具有敏感特性。軟件列表信息分類軟件名稱類，包含軟件包名、軟件名稱、安裝包 MD5 等；文件路徑類，包含APP 路徑、數(shù)據(jù)路徑等；軟件配置類，包含安裝時(shí)間、更新時(shí)間、文件大小等。軟件列表收集使用常見業(yè)務(wù)場(chǎng)景功能管理類：以向用戶提供“應(yīng)用分發(fā)、升級(jí)、備份、刪除”等功能為目的，收集使用軟件列表信息的場(chǎng)景。文件掃描類：以向用戶提供“殺毒、文件掃描”等功能為目的，收集使用軟件列表信息的場(chǎng)景。功能交互類：以向用

7、戶提供“調(diào)用、喚醒第三方應(yīng)用”等功能為目的，收集使用軟件列表信息的場(chǎng)景。統(tǒng)計(jì)類：以“統(tǒng)計(jì)軟件安裝數(shù)據(jù)”為目的，收集使用軟件列表信息的場(chǎng)景。軟件列表收集最小必要原則軟件列表的收集應(yīng)滿足T/TAF 077.1-2020APP收集使用個(gè)人信息最小必要評(píng)估規(guī)范 總則中的最小必要原則，即應(yīng)只收集功能和業(yè)務(wù)直接關(guān)聯(lián)的或所需的個(gè)人信息，結(jié)合常見業(yè)務(wù)場(chǎng)景給出最小必要范圍。功能管理類：僅限在功能管理業(yè)務(wù)場(chǎng)景下收集軟件列表涉及的“軟件名稱類，文件路徑類、軟件配置類”信息。文件掃描類：僅限在文件掃描業(yè)務(wù)場(chǎng)景下收集軟件列表涉及的“軟件名稱類，文件路徑類、軟件配置類”信息。功能交互類：僅限在需調(diào)用、喚醒第三方應(yīng)用時(shí)收集

8、軟件列表涉及的“軟件名稱類”信息。統(tǒng)計(jì)類：僅限在統(tǒng)計(jì)功能場(chǎng)景下收集軟件列表涉及的“軟件名稱類、軟件配置類”信息 。個(gè)人信息處理活動(dòng)中軟件列表的最小必要性評(píng)估要求收集階段在隱私政策中向個(gè)人信息主體告知收集、使用個(gè)人信息的目的、方式和范圍等規(guī)則，并獲得個(gè)人信息主體的授權(quán)同意。收集軟件列表的類型及數(shù)量應(yīng)遵循最小必要原則，不應(yīng)超出業(yè)務(wù)場(chǎng)景的實(shí)際需要。收集軟件列表的頻次應(yīng)遵循最小必要原則，不應(yīng)超出業(yè)務(wù)場(chǎng)景的實(shí)際需要。收集軟件列表信息宜在移動(dòng)智能終端本地進(jìn)行，除用戶確認(rèn)允許的情況外，不應(yīng)向遠(yuǎn)端服務(wù)器進(jìn)行傳輸。存儲(chǔ)階段存儲(chǔ)軟件列表信息的類型及數(shù)量應(yīng)遵循最小必要原則，即在存儲(chǔ)信息的類型及數(shù)量，不應(yīng)超出業(yè)務(wù)場(chǎng)景

9、的實(shí)際需要。存儲(chǔ)軟件列表信息的時(shí)間應(yīng)遵循最小必要原則，即存儲(chǔ)信息的時(shí)間，應(yīng)當(dāng)為實(shí)現(xiàn)處理目的所必要的最短時(shí)間，法律、行政法規(guī)對(duì)個(gè)人信息的保存期限另有規(guī)定的，從其規(guī)定。使用階段應(yīng)確保僅在符合應(yīng)用業(yè)務(wù)功能需求的場(chǎng)景下使用軟件列表信息，不應(yīng)超出業(yè)務(wù)場(chǎng)景范圍。應(yīng)僅使用業(yè)務(wù)功能所需的個(gè)人信息，所使用的個(gè)人信息不應(yīng)超出業(yè)務(wù)場(chǎng)景限定的最少必要范圍。共享、轉(zhuǎn)讓階段因業(yè)務(wù)功能需要向第三方共享軟件列表信息，應(yīng)在隱私政策中清晰明示共享、轉(zhuǎn)讓的目的、方式、范圍。向第三方共享軟件列表信息時(shí)，應(yīng)遵循最小必要原則，不應(yīng)超出業(yè)務(wù)場(chǎng)景限定的最少必要范圍。刪除階段APP 應(yīng)定期檢查其所存儲(chǔ)的軟件列表信息，并刪除不必要的相關(guān)數(shù)據(jù)。超出軟件列表信息的存儲(chǔ)期限后，應(yīng)對(duì)信息進(jìn)行刪除或匿名化處理。保存在端側(cè)的個(gè)人數(shù)據(jù)，只需對(duì)于業(yè)務(wù)運(yùn)行過(guò)程中產(chǎn)生的包含個(gè)人數(shù)據(jù)的臨時(shí)文件，或過(guò)程文件指定刪除時(shí)間， 其它個(gè)人數(shù)據(jù)由用戶自己管理和控制。個(gè)人信息控制者應(yīng)在隱私政策或其他提示中提供其“刪除”的方式、方法 。個(gè)人信息控制者應(yīng)在隱私政策中表明其如何滿足在法律規(guī)定的時(shí)限內(nèi)及時(shí)答復(fù)用戶關(guān)于刪除權(quán)的請(qǐng)求