ICS 33.050 CCS M 30 团体标 准 T/TAF 077.1—2022 代替T/TAF 077. 1—2020 APP收集使用个人信息最小必要评估规范 第1部分：总则 Application software user personal information collection and usage minimization and necessity evaluation specification — Part 1：General principle 2022-11-25发布 2022-11-25实施 电信终端产业协会 发布 T/TAF 077.1 —2022 I 目 次 前言 ................................ ................................ .................. II 引言 ................................ ................................ .................. IV 1 范围 ................................ ................................ ................. 1 2 规范性引用文件 ................................ ................................ .......1 3 术语和定义 ................................ ................................ ........... 1 4 缩略语 ................................ ................................ ............... 2 5 基本原则 ................................ ................................ ............. 3 6 个人信息处理最小必要评估要求 ................................ ......................... 3 6.1 权限要求 ................................ ................................ ......... 3 6.2 告知同意要求 ................................ ................................ .....3 6.3 收集要求 ................................ ................................ ......... 3 6.4 存储要求 ................................ ................................ ......... 4 6.5 使用要求 ................................ ................................ ......... 4 6.6 加工要求 ................................ ................................ ......... 4 6.7 传输要求 ................................ ................................ ......... 4 6.8 提供要求 ................................ ................................ ......... 5 6.9 公开要求 ................................ ................................ ......... 5 6.10 删除要求 ................................ ................................ ........ 5 7 评估流程 ................................ ................................ ............. 5 7.1 总体要求 ................................ ................................ ......... 5 7.2 评估方与被评估方 ................................ ................................ .6 7.3 选择评估指标 ................................ ................................ .....6 7.4 制定评估计划 ................................ ................................ .....6 7.5 实施评估 ................................ ................................ ......... 7 7.6 评估结论 ................................ ................................ ......... 7 T/TAF 077.1 —2022 II 前 言 本文件按照 GB/T 1.1 —2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件是 T/TAF 077 《APP收集使用个人信息最小必要评估规范》的第 1部分。T/TAF 077已经发布了 以下部分： ——第1部分：总则； ——第2部分：位置信息； ——第3部分：图片信息； ——第4部分：终端通讯录； ——第5部分：设备信息； ——第6部分：软件列表； ——第7部分：人脸信息； ——第8部分：录像信息； ——第9部分：短信信息； ——第10部分：录音信息； ——第11部分：通话记录； ——第12部分：好友列表； ——第13部分：传感器信息； ——第14部分：应用日志信息； ——第15部分：房产信息； ——第16部分：交易记录； ——第17部分：身份信息； ——第18部分：剪切板信息。 本文件代替 T/TAF 077.1 —2020 《APP收集使用个人信息最小必要评估规范 总则》，与 T/TAF 077.1 —2020相比，除结构调整和编辑性改动外，主要技术变化如下： a) 题目中增加了“第 1部分”； b) 将“术语、定义和缩略语”更改为“术语和定义”与“缩略语”两章，并增加和更改了部分 定义（见第 3、4章）； c) 更改了“告知同意要求、收集要求、使用要求、传输要求”的要求（见 6.2、6.3、6.5、6.7）； d) 增加了“权限要求、存储要求”的要求（见 6.1、6.4）； e) 增加了“加工要求、提供要求、公开要求”（见 6.6、6.8、6.9）； f) 修改了“删除要求”的要求（见 6.10）。 请注意本文件中的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本文件由电信终端产业协会提出并归口。 本文件起草单位 ：中国信息通信研究院、泰尔认证中心有限公司、 OPPO广东移动通信有限公司、维 沃移动通信有限公司、北京奇虎科技有限公司、华为技术有限公司、北京三快在线科技有限公司、小米 科技有限责任公司、阿里巴巴 (中国)有限公司、北京字节跳动科技有限公司。 本文件主要起草 人：陈鑫爱、李可心、周飞、李京典、杜云、王艳红、武林娜、宋恺、宁华、汤立 波、常浩伦、李腾、毛欣怡、贾科、姚一楠、衣强、凌大兵、常琳、方强、周圣炎、贾雪飞、杨骁涵、 王宇晓、安潇羽。 T/TAF 077.1 —2022 III 本文件及其所代替文件的历史版本发布情况为： ——2020年首次发布为 T/TAF 077.1 —2020； ——本次为第一次修订。 T/TAF 077.1 —2022 IV 引 言 随着移动应用种类和数量呈爆发式增长， APP侵害用户权益事件层出不穷，个人信息保护态势愈加 严峻，如何保护用户个人信息，尤其是人脸、通讯录、短信、位置、图片等个人敏感信息受到国家和社 会公众高度关注。 APP收集使用个人信息最小必要评估旨在对移动互联网行业收集使用用户人脸、通讯录、短信、位 置、图片等个人敏感信息进行规范，落实最小、必要的原则。 T/TAF 077.1 —2022 1 APP收集使用