T-TAF 077.9-2022 APP收集使用個(gè)人信息最小必要評(píng)估規(guī)范 第9部分：短信信息

minimizationandnecessityevaluationspecification—電信終端產(chǎn)業(yè)協(xié)會(huì)發(fā)布I 1 1 1 1 1 1 1 2 3 3 3 5 6 6 7 7 7 7 7本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定本文件是T/TAF077《APP收集使用個(gè)人信息最小必要評(píng)估規(guī)本文件代替T/TAF077.9-2021《APP收集使用個(gè)人信息最小必要評(píng)估規(guī)范短信信息》，與T/TAF077.9-2021相比，除結(jié)構(gòu)調(diào)整和編輯性改動(dòng)外，主要技術(shù)）；b)在“典型應(yīng)用場(chǎng)景”中增加了七類應(yīng)用場(chǎng)景（見第6章，2021年版的4請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。劉陶、王宇曉、趙曉娜、衣強(qiáng)、馮娜、李然、吳怡、陳刪除等活動(dòng)中的最小必要信息規(guī)范和評(píng)估準(zhǔn)則，旨在對(duì)移動(dòng)互聯(lián)網(wǎng)行業(yè)收集使用用戶短信信息進(jìn)行規(guī)1APP收集使用個(gè)人信息最小必要評(píng)估規(guī)范第9部分：短信信息本文件是APP收集使用個(gè)人信息最小必要評(píng)估規(guī)范系列標(biāo)準(zhǔn)中的短信信息部分，旨在貫徹5G消息等多媒體方式）等各環(huán)節(jié)提出相應(yīng)的最小必要性符合度評(píng)估項(xiàng)，并結(jié)合典型場(chǎng)景，對(duì)AP三方評(píng)估機(jī)構(gòu)等組織對(duì)移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序收集GB/T35273信息安全技術(shù)個(gè)人信息安全T/TAF077.1-2020APP收集使用個(gè)人信息最小必要評(píng)估規(guī)范總則GB/T35273和T/TAF077.1-2020界定的術(shù)語(yǔ)和定義適用于APP：應(yīng)用軟件（ApplicatioMMS：彩信（MultimediaMessage）4基本原則對(duì)個(gè)人信息處理活動(dòng)中短信信息收集使用的原則應(yīng)滿足T/TAF077.1-2020《APP收集使用個(gè)人信息2本文件將短信信息包含的信息類型劃分為如下類型人信息、包含的個(gè)人信息的類目數(shù)量以及包含的具體個(gè)人信息類型取決于每個(gè)短信內(nèi)容的本——時(shí)間：移動(dòng)終端設(shè)備用戶接收或發(fā)送該條短信的時(shí)間。a)短信云備份：以數(shù)據(jù)備份為目的，APP將用戶終端上的短信信息傳輸至遠(yuǎn)端服務(wù)器上b)驗(yàn)證碼便捷獲?。阂詤f(xié)助用戶完成登錄或支付操作為目的，APP識(shí)別短信中的驗(yàn)證碼并提示用c)便捷短信查詢與服務(wù)訂閱：以便利用戶操作為目的，APP幫助用戶發(fā)送特定短d)短信優(yōu)化編輯與發(fā)送：以協(xié)助用戶編輯并發(fā)送短信為目的，APP提供短信編輯e)短信功能體驗(yàn)增強(qiáng)：以增強(qiáng)用戶短信功能體驗(yàn)為目的，APP為用戶提供如短g)騷擾攔截：以幫助用戶攔截、屏蔽用戶不期望接收的短信信息為目的，APP識(shí)h)服務(wù)智能化：以改善服務(wù)智能化程度或用戶體驗(yàn)為目的，APP訪問用戶短信信息的場(chǎng)景。j)跨設(shè)備同步或轉(zhuǎn)移短信：在多個(gè)設(shè)備上（例如手機(jī)和筆記本電3m)車載免提使用和投影顯示：與駕駛/出行的核心功能（例如導(dǎo)航）直接相n)呼救短信：可在發(fā)生人身安全或緊急狀況時(shí)發(fā)送報(bào)警短信。o)用戶數(shù)據(jù)本地備份與還原：用戶的事務(wù)性備份和還原以及企業(yè)的歸檔（限時(shí)/a)基于用戶個(gè)人同意收集處理個(gè)人信息的：若僅在本地收集處理短信信息，APP應(yīng)向用戶聲明收始收集；若存在非本地處理的情形，APP應(yīng)明確告知用戶需傳輸至遠(yuǎn)端的短信信息類型及收集處理的目的、方式、范圍，并經(jīng)用戶選擇同意后方d)APP處理的短信信息若涉及著作權(quán)、肖像權(quán)等法律問題的，應(yīng)遵循國(guó)家相關(guān)規(guī)定的要求，本文a)首次啟動(dòng)時(shí)，若用戶拒絕授權(quán)短信權(quán)限，應(yīng)用不應(yīng)退出序號(hào)信信信信1 √ √ 2 √√ √3√ √ √4√ 5 √√ √6 √ √ 7 √√√√8 √√√√9√√√√√4序號(hào)信信信信√√√√√√√√√√√√√√√√√√√√√ √√√ 1 2 3 4——5 6 7 8 APP在滿足業(yè)務(wù)正常開展的前提下，應(yīng)以最低頻次調(diào)用相關(guān)短信權(quán)限，且僅訪問與業(yè)a)用戶主動(dòng)觸發(fā)：通過明確的用戶知悉影響的動(dòng)作，如點(diǎn)擊APP交互界面上特定的按鈕，觸發(fā)相注：觸發(fā)后，跳轉(zhuǎn)到短信界面由用戶進(jìn)行后續(xù)操作的，不需要APP申請(qǐng)相應(yīng)b)固定周期訪問：以明示并經(jīng)用戶確認(rèn)同意的固定周期調(diào)用相關(guān)權(quán)限。c)短/彩信到達(dá)觸發(fā)：在App已申請(qǐng)接收短、彩信權(quán)限時(shí)，當(dāng)接收到新的短信或彩59 —典型場(chǎng)景下，APP在用戶終端本地可收集短1√√√√2√√√√3便捷短信查詢與服務(wù)訂閱√√√√4XXXX5√√√√6√√√√7√√√√8√√√√9√√√√6√√√√√√√√√√√√車載免提使用和投影顯示√√√√XXXX1√√√√2XXXX3XXXX4XXXX5√XX√6XXXX7√√√√8√√√√9X√√√X√XXXXXX√√√√XXXX√√√√XXXX用戶數(shù)據(jù)本地備份與還原√√√√APP服務(wù)器端存儲(chǔ)短信信息應(yīng)滿足以下要求：a)短信信息的存儲(chǔ)期限應(yīng)為實(shí)現(xiàn)個(gè)人信息主體授權(quán)使用b)除用戶主動(dòng)上報(bào)的垃圾短信外，其余場(chǎng)景下，應(yīng)加密存儲(chǔ)c)在APP服務(wù)端上存儲(chǔ)的移動(dòng)終端用戶的短信信息應(yīng)不超過按7.4節(jié)要求評(píng)估后允許遠(yuǎn)程傳輸?shù)?APP服務(wù)器端使用短信信息應(yīng)嚴(yán)格按照收集目的使用短信信息，若需擴(kuò)大使用目的，則應(yīng)在使用前評(píng)估方實(shí)施APP收集使用短信信息最小必要評(píng)估的流程和方法應(yīng)遵循T/TAF077.1-2020《APP收集使用個(gè)人信息最小必要評(píng)估規(guī)范總則》中的評(píng)估b)評(píng)估方根據(jù)被評(píng)估方提交的說明材料的業(yè)務(wù)場(chǎng)景初步判斷被評(píng)估對(duì)象是否有必要收集使用短2）若被評(píng)估對(duì)象的業(yè)務(wù)場(chǎng)景并非典型應(yīng)用場(chǎng)景，則評(píng)估方應(yīng)基于T/TAF077.1-2020《移動(dòng)互c)確定評(píng)估基準(zhǔn)?；诒疚募?章基本要求確定針對(duì)被1）告知同意符合性評(píng)估：基于7.1節(jié)要求，檢查2）權(quán)限申請(qǐng)最小化評(píng)估：檢查被評(píng)估對(duì)象申請(qǐng)的短3）調(diào)用行為最小化評(píng)估：檢查被評(píng)估對(duì)象4）本地收集最小化評(píng)估：檢查被評(píng)估對(duì)象通過系統(tǒng)API收集5）遠(yuǎn)程傳輸最小化評(píng)估：檢查被評(píng)估對(duì)象傳輸出終端1）存儲(chǔ)安全措施評(píng)估：被評(píng)估方應(yīng)提供舉證材料證施符合7.5節(jié)的要求；必要時(shí)，評(píng)估方可采用現(xiàn)場(chǎng)核2）使用目的一致性評(píng)估：被評(píng)估方應(yīng)提供舉證材料證明短信信息的在APP服務(wù)8b)檢查APP在非本地收集處理短信信息前，c)檢查若短信信息的處理目的、處理方式、保存期限等發(fā)生變更，APP是否重新告知并取得個(gè)人信息a)運(yùn)行APP，檢查APP在首次啟動(dòng)時(shí)，預(yù)期結(jié)果：若以上測(cè)試步驟結(jié)果為肯定，則測(cè)試項(xiàng)判定為符合，否則判定為不預(yù)期結(jié)果：若以上測(cè)試步驟結(jié)果為肯定，則測(cè)試項(xiàng)判定為符合，否則判定為不a)運(yùn)行APP，檢查當(dāng)用戶拒絕短9預(yù)期結(jié)果：若以上測(cè)試步驟結(jié)果為肯定，則測(cè)試項(xiàng)判定為符合，否則判定為不a)運(yùn)行APP，檢查APP在滿足業(yè)務(wù)正常開展的前提下a)運(yùn)行APP，檢查APP在用戶終端本地收集短信信息類型是否符合表4。預(yù)期結(jié)果：若以上測(cè)試步驟結(jié)果為肯定，則測(cè)試項(xiàng)判定為符合，否則判定為a)運(yùn)行APP，檢查APP在傳輸用戶短信信息預(yù)期結(jié)果：若以上測(cè)試步驟結(jié)果為肯定，則測(cè)試項(xiàng)判定為符合，否則判定為不a)運(yùn)行APP，檢查APP服務(wù)器端的短信信息存儲(chǔ)期預(yù)期結(jié)果：若以