ICS 33.050 M 30 团体标 准 T/TAF 078.1-2020 APP用户权益 保护测评规范 超范围收集个人信息 Application software user rights protection evaluation specification Over collection of personal information 2020-11-26发布 2020-11-26实施 电信终端产业协会 发布 T/TAF 078.1-2020 I 目 次 前言 ................................ ................................ ................ II 引言 ................................ ................................ ............... III 1 范围 ................................ ................................ ............... 1 2 术语、定义和缩略语 ................................ ................................ . 1 2.1 术语和定义 ................................ ................................ ..... 1 2.2 缩略语 ................................ ................................ ......... 2 3 超范围收集个人信息 ................................ ................................ . 2 3.1 超范围收集 ................................ ................................ ..... 2 3.2 超频次收集 ................................ ................................ ..... 2 3.3 SDK超范围收集 ................................ ................................ .. 2 3.4 SDK超频次收集 ................................ ................................ .. 2 3.5 静默后台超范围收集 ................................ ............................. 2 3.6 静默后台超频次收集 ................................ ............................. 3 3.7 SDK静默后台超范围收 集 ................................ .......................... 3 3.8 SDK静默后台超频次收集 ................................ .......................... 3 T/TAF 078.1-2020 II 前 言 本标准按照GB/T 1.1-2020给出的规则起草。 本标准中的某些内容可能涉及专利。本标准的发布机构不承担识别这些专利的责任。 本标准由电信终端产业协会提出并归口。 本标准起草单位： 中国信息通信研究院、 OPPO广东移动通信有限公司、维沃移动通信有限公司、北 京奇虎科 技有限公司、华为技术有限公司、北京三快在线科技有限公司、小米科技有限责任公司、阿里 巴巴(中国)有限公司 。 本标准主要起草人： 周飞、陈鑫爱、宁华、王艳红、杜云、武林娜、胡月、李京典、李腾、毛欣怡、 贾科、姚一楠、衣强、方强、周圣炎、贾雪飞、林冠辰 。 T/TAF 078.1-2020 III 引 言 本标准根据《中华人民共和国网络安全法》等相关法律要求，依据《工业和信息化部关于开展纵深 推进APP侵害用户权益专项整治行动的通知》提出检测细则，进一步促进移动互联网行业的健康稳定发 展。 T/TAF 078.1-2020 1 APP用户权益 保护测评规范 超范围收集个人信息 1 范围 本标准规定了移动应用 软件及第三方软件开发工具包 超范围收集个人信息 部分的检测细则以及典 型检测场景。 本标准适用于移动应用软件提供者 规范用户收集使用个人信息处理活动，也适用于主管部门、第三 方评估机构等组织对移动应用 软件收集使用个人信息行为进行监督、管理和评估。 2 术语、定义和缩略语 2.1 术语和定义 下列术语和定义适用于本 标准。 2.1.1 移动智能终端 smart mobile termina l 能够接入移动通信网，具有能够提供应用软件开发接口的操作系统，具有安装、加载和运行应用软 件能力的终端。 2.1.2 移动应用 软件 mobile application 移动智能终端系统之上安装、运行的，向用户提供服务 功能的应用软件 ，包括集成的 SDK等第三 方产品或服务 。 2.1.3 软件开发工具包 software development kit 软件开发工具包 (Software Development Kit,简称SDK)是指协助软件开发的软件库，包括相关的二 进制、文档、范例和工具的集合。 2.1.4 收集 collect 通过访问系统接口等方式获取个人信息的行为。 2.1.5 静默状态 silence state 指的是APP处于设备屏幕中，用户未使用该 APP的任何相关功能且未主动触发任何操作的状态。 T/TAF 078.1-2020 2 2.2 缩略语 下列缩略语适用于本 标准。 APP 移动应用 软件 Application SDK 软件工具开发包 Software Development Kit IMEI 国际移动设备识别码 International Mobile Equipment Identity IMSI 国际移动用户识别码 International Mobile Subscriber Identity MAC地址 媒体存取控制位址 Media Access Control Address 3 超范围收集个人信息 3.1 超范围收集 APP在收集IMEI、IMSI、设备MAC地址、软件安装列表、位置、联系人、通话记录、日历、短信、 本机电话号码、图片、音视频 等个人信息 时，不应超出 其所明示收集目的的合理关联范围 。 3.2 超频次收集 a) APP未向用户明示 收集IMEI、IMSI、设备MAC地址、软件安装列表、位置、联系人、通话记录、 日历、短信、本机电话号码、图片、音视频 等个人信息的 频率，未经用户同意， 不应以特定频 率收集个人 信息。 b) APP向用户明示 收集IMEI、IMSI、设备MAC地址、软件安装列表、位置、联系人、通话记录、 日历、短信、本机电话号码、图片、音视频等个人信息的 频率，收集个人信息的频率 不应超出 其实现产品或服务的业务功能所必需的最低频率。 3.3 SDK超范围收集 APP向用户明示 第三方SDK处理IMEI、IMSI、设备MAC地址、软件安装列表、位置、联系人、通话 记录、日历、短信、本机电话号码、图片、音视频 等个人信息 的目的、方式和范围 ，第三方SDK收集相 应个人信息时 不应超出其所明示收集目的的合理关联范围。 3.4 SDK超频次收集 a) APP未向用户明 示第三方SDK收集IMEI、IMSI、设备MAC地址、软件安装列表、位置、联系人、 通话记录、日历、短信、本机电话号码、图片、音视频 等个人信息 的频率，未经用户 同意，第 三方SDK不应以特定频率收集个人信息 。 b) APP向用户明示 第三方SDK收集使用 IMEI、IMSI、设备MAC地址、软件安装列表、位置、联系 人、通话记录、日历、短信、本机电话号码、图片、音视频 等个人信息 的频率，第三方SDK 收集个人信息的频率不应超出 其实现产品或服务的业务功能所必需的最低频率。 3.5 静默后台超范围收集 APP在静默状态下或在后台运行时，收集 IMEI、IMSI、设备MAC地址、软件安装列表、位置、联系 人、通话记录、日历、短信、本机电话号码、图片、音视频 等个人信息 不应超出 其所明示的收集目 的的 合理关联范围。 T/TAF 078.1-2020 3 3.6 静默后台超频次收集 a) APP未向用户明示在 静默状态 下或在后台运行时 收集IMEI、IMSI、设备MAC地址、