T∕TAF 077.17-2021 APP收集使用個(gè)人信息最小必要評(píng)估規(guī)范 身份信息

1、ICS 33.050M 30團(tuán)體標(biāo)準(zhǔn)T/TAF 077.17-2021APP 收集使用個(gè)人信息最小必要評(píng)估規(guī)范身份信息Application software user personal information collection and usage minimization and necessity evaluation specificationIdentity information2021 - 01 - 15 發(fā)布2021-01 - 15 實(shí)施電信終端產(chǎn)業(yè)協(xié)會(huì) 發(fā)布目次前言II引言III范圍1規(guī)范性引用文件1術(shù)語(yǔ)和定義1縮略語(yǔ)1基本原則1身份信息類(lèi)型2典型業(yè)務(wù)場(chǎng)景2個(gè)人信息處理活動(dòng)

2、中身份信息的最小必要評(píng)估規(guī)范3收集階段3存儲(chǔ)階段3使用階段3刪除階段3評(píng)估流程和方法3前言本文件按照 GB/T 1.1-2020標(biāo)準(zhǔn)化工作導(dǎo)則 第 1 部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由電信終端產(chǎn)業(yè)協(xié)會(huì)提出并歸口。本標(biāo)準(zhǔn)起草單位：中國(guó)信息通信研究院、阿里巴巴(中國(guó))有限公司。本標(biāo)準(zhǔn)主要起草人：黃天寧、賈雪飛、汪坤、寧華、王艷紅、杜云。引言隨著移動(dòng)移動(dòng)互聯(lián)網(wǎng)的迅速發(fā)展和日益成熟，移動(dòng)智能終端功能的成熟與便利，身份信息已成為移動(dòng)應(yīng)用軟件開(kāi)展業(yè)務(wù)功能的重要組成部分。然而，在APP收集使用身份信息的過(guò)程中，有些

3、個(gè)人信息信息可能并非用戶使用該功能時(shí)所必須的。本文件根據(jù)中華人民共和國(guó)網(wǎng)絡(luò)安全法等相關(guān)法律要求，依據(jù)GB/T 35273-2020信息安全技術(shù) 個(gè)人信息安全規(guī)范的最小必要原則，提出移動(dòng)應(yīng)用軟件在處理涉及個(gè)人信息身份信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)等活動(dòng)中的最小必要信息規(guī)范和評(píng)估準(zhǔn)則，旨在對(duì)移動(dòng)互聯(lián)網(wǎng)行業(yè)收集使用用戶身份信息進(jìn)行規(guī)范，落實(shí)最小、必要的原則，進(jìn)一步促進(jìn)移動(dòng)互聯(lián)網(wǎng)行業(yè)的健康穩(wěn)定發(fā)展。APP 收集使用個(gè)人信息最小必要評(píng)估規(guī)范 身份信息范圍本文件規(guī)定了移動(dòng)應(yīng)用軟件對(duì)身份信息的收集、使用、存儲(chǔ)、銷(xiāo)毀等活動(dòng)中的最小必要規(guī)范和評(píng)估方法，并通過(guò)個(gè)人信息處理活動(dòng)中的典型應(yīng)用場(chǎng)景來(lái)說(shuō)明

4、如何落實(shí)最小必要原則。本標(biāo)準(zhǔn)適用于移動(dòng)互聯(lián)網(wǎng)應(yīng)用軟件提供者規(guī)范用戶個(gè)人信息中的身份信息的處理活動(dòng)，也適用于主管監(jiān)管部門(mén)、第三方評(píng)估機(jī)構(gòu)等組織對(duì)移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序收集身份信息行為進(jìn)行監(jiān)督、管理和評(píng)估。規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件， 僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本 文件。GB/T 25069-2010 信息安全技術(shù) 術(shù)語(yǔ)GB/T 35273-2020 信息安全技術(shù)個(gè)人信息安全規(guī)范T/TAF 077.1-2020 APP收集使用個(gè)人信息最小必要評(píng)估規(guī)范 總則T/TAF

5、040-2019 移動(dòng)智能終端及應(yīng)用軟件用戶個(gè)人信息保護(hù)實(shí)施指南 第2部分：個(gè)人信息分類(lèi)分級(jí)術(shù)語(yǔ)和定義3.1身份信息 identity information本文件規(guī)定的身份信息特指法定身份證件信息，如身份證、戶籍、護(hù)照、社保、醫(yī)保、駕駛證、軍官證等相關(guān)的信息及影印件，可參考T/TAF 040-2019移動(dòng)智能終端及應(yīng)用軟件用戶個(gè)人信息保護(hù)實(shí)施指南 第2部分：個(gè)人信息分類(lèi)分級(jí)中的相關(guān)定義。縮略語(yǔ)下列縮略語(yǔ)適用于本文件。APP 應(yīng)用軟件 Application基本原則應(yīng)滿足 T/TAF 077.1-2020APP 收集使用個(gè)人信息最小必要評(píng)估規(guī)范 總則中的最小必要原則。身份信息類(lèi)型身份信息類(lèi)型可

6、參考T/TAF 040-2019移動(dòng)智能終端及應(yīng)用軟件用戶個(gè)人信息保護(hù)實(shí)施指南 第2部分：個(gè)人信息分類(lèi)分級(jí)中的相關(guān)定義及分類(lèi)方法。典型業(yè)務(wù)場(chǎng)景典型業(yè)務(wù)場(chǎng)景見(jiàn)表1。表1 典型業(yè)務(wù)場(chǎng)景業(yè)務(wù)場(chǎng)景采集說(shuō)明跨境交易服務(wù)購(gòu)買(mǎi)商品或服務(wù)訂單中包含海外直郵商品，需根據(jù)海關(guān)政策要求提供付款人的真實(shí)姓名和收貨人身份證號(hào)碼，用于報(bào)關(guān)和配送服務(wù)。開(kāi)通店鋪服務(wù)為確保商家身份真實(shí)性，根據(jù)電子商務(wù)法等要求、需提供開(kāi)店人身份證件、身份等信息完成實(shí)名認(rèn)證后，提供開(kāi)設(shè)店鋪、發(fā)布產(chǎn)品、交易和售后等服務(wù)。航旅出行服務(wù)預(yù)訂飛機(jī)、火車(chē)、汽車(chē)票等場(chǎng)景，按照實(shí)名要求需提供乘車(chē)/機(jī)姓名、身份證號(hào)碼以及取票人姓名與手機(jī)號(hào)碼，提供車(chē)票預(yù)訂、信息通

7、知及后續(xù)退改等服務(wù)。內(nèi)容發(fā)布服務(wù)面向公眾發(fā)布視頻、音頻、圖書(shū)等，為了確保內(nèi)容安全與合規(guī)，需要用戶提供姓名、身份證件號(hào)碼等信息完成實(shí)名認(rèn)證后方可提供服務(wù)。現(xiàn)場(chǎng)演出服務(wù)在部分地區(qū)以及境外地區(qū)，根據(jù)大型現(xiàn)場(chǎng)活動(dòng)、體育賽事等需要，需提供真實(shí)姓名、身份證件信息、聯(lián)系方式等，用于現(xiàn)場(chǎng)驗(yàn)票、安保及身份確認(rèn)用途。運(yùn)營(yíng)活動(dòng)對(duì)特定活動(dòng)所領(lǐng)取的紅包進(jìn)行提現(xiàn)、獎(jiǎng)品兌現(xiàn)和向稅務(wù)機(jī)構(gòu)完稅，需要提交真實(shí)姓名、身份證件號(hào)碼、聯(lián)系方式等。直播主播認(rèn)證按照法律關(guān)于實(shí)名制的要求，提交的個(gè)人照片/視頻、姓名信息、身份證件號(hào)碼、年齡等整信息等，用戶驗(yàn)證賬戶真實(shí)身份、國(guó)籍、是否未成年人等。違章和驗(yàn)車(chē)服務(wù)根據(jù)交管部門(mén)需要，提供身份信息（姓

8、名、手機(jī)號(hào)、身份證號(hào)）、車(chē)輛信息、車(chē)主身份信息（姓名、手機(jī)號(hào)、駕駛證）以及第三方保險(xiǎn)機(jī)構(gòu)相關(guān)的其他信息。通信和網(wǎng)絡(luò)服務(wù)面向個(gè)人提供通訊服務(wù)、網(wǎng)絡(luò)服務(wù)和云計(jì)算服務(wù)等，基于電信主管部門(mén)等法律法規(guī)要求，需要身份證信息和影印件等用于注冊(cè)和備案。寄遞服務(wù)用戶寄遞包裹、快件時(shí)，根據(jù)郵政管理部門(mén)要求，需要提供并核驗(yàn)身份證信息，并登記姓名、身份證號(hào)、聯(lián)系方式等。客訴和理賠對(duì)于客戶服務(wù)糾紛、訂單理賠服務(wù)時(shí)，除了提供理賠相關(guān)系信息外、還需身份信息等（如姓名、身份證號(hào)），以便完成訂單理賠。線上掛號(hào)服務(wù)線下醫(yī)療機(jī)構(gòu)的掛號(hào)服務(wù)。需要按照醫(yī)療機(jī)構(gòu)要求、供姓名、身份證件號(hào)碼等信息，以便供服務(wù)。體檢預(yù)約服務(wù)體檢、疫苗以及各類(lèi)

9、消費(fèi)醫(yī)療的預(yù)約服務(wù)，可能需要提供姓名、手機(jī)號(hào)碼、身份證件號(hào)碼、血型、性別、年齡等信息。網(wǎng)銀服務(wù)網(wǎng)上銀行注冊(cè)、開(kāi)通、變更、注銷(xiāo)等服務(wù)時(shí)，需要驗(yàn)證和提供姓名、身份證件、手機(jī)號(hào)碼、短信驗(yàn)證碼、銀行賬號(hào)等信息。網(wǎng)上銀行操作轉(zhuǎn)賬交易類(lèi)時(shí)，可能需要提供收款方的姓名、證件類(lèi)型和證件號(hào)碼。表1 典型業(yè)務(wù)場(chǎng)景（續(xù)）業(yè)務(wù)場(chǎng)景采集說(shuō)明投資理財(cái)服務(wù)證券、理財(cái)、保險(xiǎn)等服務(wù)，進(jìn)行注冊(cè)、開(kāi)通、變更、注銷(xiāo)等服務(wù)時(shí)，需要驗(yàn)證和提供姓名、身份證件、手機(jī)號(hào)碼等信息。網(wǎng)絡(luò)游戲基于網(wǎng)絡(luò)游戲?qū)嵜埔螅枰峁┱鎸?shí)姓名、出生日期、身份證號(hào)用以身份驗(yàn)證和未成年人保護(hù)。注：收集使用身份信息的其他場(chǎng)景還包括法律法規(guī)要求的其他實(shí)名制場(chǎng)景。個(gè)人信

10、息處理活動(dòng)中身份信息的最小必要評(píng)估規(guī)范收集階段收集個(gè)人身份信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，不應(yīng)強(qiáng)制或誘導(dǎo)用戶提供身份信息。收集個(gè)人身份信息時(shí)，需向用戶告知業(yè)務(wù)目的、方式和范圍，例如通過(guò)隱私協(xié)議彈窗等方式獲取用戶同意、并在隱私協(xié)議內(nèi)重點(diǎn)標(biāo)識(shí)或突出顯示。存儲(chǔ)階段應(yīng)遵守最少必要原則，只處理與存儲(chǔ)目的有關(guān)的最少信息，法律法規(guī)另有規(guī)定或者個(gè)人信息主體另行授權(quán)同意的除外。宜采用去標(biāo)識(shí)化等方式對(duì)身份信息進(jìn)行存儲(chǔ)，使其在不借助額外信息的情況下，無(wú)法識(shí)別或者關(guān)聯(lián)個(gè)人信息主體。使用階段對(duì)于僅進(jìn)行身份判斷的業(yè)務(wù)場(chǎng)景、如身份證信息核驗(yàn)，僅需返回驗(yàn)證結(jié)果的，不宜存儲(chǔ)個(gè)人身份信息。第三方委托處理、共享、轉(zhuǎn)讓身份信息時(shí)，應(yīng)對(duì)參照GB/T 35273-2020信息安全技術(shù)個(gè)人信息安全規(guī)范9章節(jié)要求，法律法規(guī)規(guī)定的例外條款除外。刪除階段所存儲(chǔ)的用戶身份信息、超出身份信息的存儲(chǔ)期限或服務(wù)約定時(shí)，應(yīng)按照GB/T 35273-2020信息安全技術(shù)個(gè)人信息安全規(guī)范8.3章節(jié)要求，對(duì)于身份信息進(jìn)行刪除或匿名化處理。評(píng)估流程和方法APP收集使用身份信息最小必要的評(píng)估流程和方法應(yīng)遵循T/TAF 077.