T∕TAF 077.6-2020 APP收集使用個人信息最小必要評估規(guī)范 軟件列表

1、T/TAF 077.6-2020ICS 33.050M 30團體標準T/TAF 077.6-2020APP 收集使用個人信息最小必要評估規(guī)范軟件列表Application software user personal information collection and usageminimization and necessity evaluation specification Application software list2020-11-26 發(fā)布2020-11-26 實施電信終端產(chǎn)業(yè)協(xié)會發(fā)布T/TAF 077.6-2020目次前言II引言III1 范圍12 規(guī)范性引用文件13 術(shù)語

2、、定義和縮略語13.1 術(shù)語和定義14 軟件列表24.1 軟件列表信息分類24.2 軟件列表收集使用常見業(yè)務場景24.3 軟件列表收集最小必要原則25 個人信息處理活動中軟件列表的最小必要性評估要求25.1 收集階段25.2 存儲階段35.3 使用階段35.4 共享、轉(zhuǎn)讓階段35.5 刪除階段3I庫七七 提供下載前言本文件按照GB/T 1.1-2020給出的規(guī)則起草。本文件中的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別這些專利的責任。本文件由電信終端產(chǎn)業(yè)協(xié)會提出并歸口。本文件起草單位：中國信息通信研究院、安徽捷興信源信息技術(shù)有限公司、上海尋夢信息技術(shù)有限公司、小

3、米科技有限責任公司。本文件主要起草人：常浩倫、湯立波、臧磊、于潤東、楊澄宇、盛大江、琭婧、王樂、徐學義。II引言本文件根據(jù)中華人民共和國網(wǎng)絡(luò)安全法等相關(guān)法律要求，依據(jù)GB/T 35273-2020信息安全技術(shù) 個人信息安全規(guī)范的最小必要原則，提出移動應用軟件在處理涉及個人信息軟件列表的收集、存儲、使用、傳輸、提供、公開等活動中的最小必要信息規(guī)范和評估準則，旨在對移動互聯(lián)網(wǎng)行業(yè)收集使用軟件列表進行規(guī)范，落實最小、必要的原則，進一步促進移動互聯(lián)網(wǎng)行業(yè)的健康穩(wěn)定發(fā)展。IIIAPP 收集使用個人信息最小必要評估規(guī)范 軟件列表1 范圍本文件旨在貫徹個人信息收集使用的最小必要的原則，針對移動APP收集、存

4、儲、使用、共享、刪除用戶軟件列表各環(huán)節(jié)提出相應的最小必要性符合度評估項，并結(jié)合典型場景對APP最小必要處理軟件列表進行規(guī)定。本文件適用于指導移動互聯(lián)網(wǎng)應用軟件開發(fā)者規(guī)范對軟件列表的處理，也適用于主管監(jiān)管部門、第三方評估機構(gòu)等組織對移動互聯(lián)網(wǎng)應用程序收集軟件列表行為進行監(jiān)督、管理和評估。2 規(guī)范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T 352732020 信息安全技術(shù) 個人信息安全規(guī)范T/TAF 077.1-2020 APP 收集使用個人信息最小必要評估規(guī)范 總則

5、3 術(shù)語、定義和縮略語3.1 術(shù)語和定義T/TAF 077.1-2020界定的以及下列術(shù)語和定義適用于本文件。3.1.1 3.1.1移動智能終端smart mobile terminal能夠接入移動通信網(wǎng)，具有能夠提供應用軟件開發(fā)接口的開放操作系統(tǒng)，具有安裝、加載和運行應用軟件能力的終端。3.1.2 3.1.2移動應用軟件mobile application software針對智能終端所開發(fā)的應用程序，包括智能終端預置應用以及互聯(lián)網(wǎng)信息服務提供者提供的可以通過智能終端下載、安裝、升級、卸載的應用。注：本文件中規(guī)定的移動應用軟件（APP）即為個人信息處理者。3.1.3 3.1.3個人信息處理p

6、ersonal information processing個人信息處理包括個人信息的收集、存儲、使用、加工、 傳輸、提供、公開等活動。1T/TAF 077.6-20203.1.4 3.1.4告知同意 inform consent應用通過彈窗或產(chǎn)品界面等方式提示通知用戶收集使用相關(guān)權(quán)限或信息的目的、方式、范圍等，并獲用戶做出明確授權(quán)的行為。4 軟件列表軟件列表隸屬于GB/T 352732020 信息安全技術(shù) 個人信息安全規(guī)范舉例的個人常用設(shè)備信息， 與其他信息結(jié)合可能反映特定自然人活動情況、興趣愛好，具有敏感特性。4.1 軟件列表信息分類n 軟件名稱類，包含軟件包名、軟件名稱、安裝包 MD5

7、等；n 文件路徑類，包含APP 路徑、數(shù)據(jù)路徑等；n 軟件配置類，包含安裝時間、更新時間、文件大小等。4.2 軟件列表收集使用常見業(yè)務場景a) 功能管理類：以向用戶提供“應用分發(fā)、升級、備份、刪除”等功能為目的，收集使用軟件列表信息的場景。b) 文件掃描類：以向用戶提供“殺毒、文件掃描”等功能為目的，收集使用軟件列表信息的場景。c) 功能交互類：以向用戶提供“調(diào)用、喚醒第三方應用”等功能為目的，收集使用軟件列表信息的場景。d) 統(tǒng)計類：以“統(tǒng)計軟件安裝數(shù)據(jù)”為目的，收集使用軟件列表信息的場景。4.3 軟件列表收集最小必要原則軟件列表的收集應滿足T/TAF 077.1-2020APP收集使用個人

8、信息最小必要評估規(guī)范 總則中的最小必要原則，即應只收集功能和業(yè)務直接關(guān)聯(lián)的或所需的個人信息，結(jié)合常見業(yè)務場景給出最小必要范圍。a) 功能管理類：僅限在功能管理業(yè)務場景下收集軟件列表涉及的“軟件名稱類，文件路徑類、軟件配置類”信息。b) 文件掃描類：僅限在文件掃描業(yè)務場景下收集軟件列表涉及的“軟件名稱類，文件路徑類、軟件配置類”信息。c) 功能交互類：僅限在需調(diào)用、喚醒第三方應用時收集軟件列表涉及的“軟件名稱類”信息。d) 統(tǒng)計類：僅限在統(tǒng)計功能場景下收集軟件列表涉及的“軟件名稱類、軟件配置類”信息 。5 個人信息處理活動中軟件列表的最小必要性評估要求5.1 收集階段a) 在隱私政策中向個人信息

9、主體告知收集、使用個人信息的目的、方式和范圍等規(guī)則，并獲得個人信息主體的授權(quán)同意。3b) 收集軟件列表的類型及數(shù)量應遵循最小必要原則，不應超出業(yè)務場景的實際需要。c) 收集軟件列表的頻次應遵循最小必要原則，不應超出業(yè)務場景的實際需要。d) 收集軟件列表信息宜在移動智能終端本地進行，除用戶確認允許的情況外，不應向遠端服務器進行傳輸。5.2 存儲階段a) 存儲軟件列表信息的類型及數(shù)量應遵循最小必要原則，即在存儲信息的類型及數(shù)量，不應超出業(yè)務場景的實際需要。b) 存儲軟件列表信息的時間應遵循最小必要原則，即存儲信息的時間，應當為實現(xiàn)處理目的所必要的最短時間，法律、行政法規(guī)對個人信息的保存期限另有規(guī)定

10、的，從其規(guī)定。5.3 使用階段a) 應確保僅在符合應用業(yè)務功能需求的場景下使用軟件列表信息，不應超出業(yè)務場景范圍。b) 應僅使用業(yè)務功能所需的個人信息，所使用的個人信息不應超出業(yè)務場景限定的最少必要范圍。5.4 共享、轉(zhuǎn)讓階段a) 因業(yè)務功能需要向第三方共享軟件列表信息，應在隱私政策中清晰明示共享、轉(zhuǎn)讓的目的、方式、范圍。b) 向第三方共享軟件列表信息時，應遵循最小必要原則，不應超出業(yè)務場景限定的最少必要范圍。5.5 刪除階段a) APP 應定期檢查其所存儲的軟件列表信息，并刪除不必要的相關(guān)數(shù)據(jù)。b) 超出軟件列表信息的存儲期限后，應對信息進行刪除或匿名化處理。保存在端側(cè)的個人數(shù)據(jù)，只需對于業(yè)務運行過程中產(chǎn)生的包含個人數(shù)據(jù)的臨時文件，或過程文件指定刪除時間， 其它個人數(shù)據(jù)由用戶自己管理和控制。c) 個人信息控制者應在隱私政策或其他提示中提供其“刪除”的方式、方法 。d) 個人信息控制者應在隱私政策中表明其如何滿足在法律規(guī)定的時限內(nèi)及時答復用戶關(guān)于刪除權(quán)的請求，如果必