ICS 33.050 M 30 团体 标准 T/TAF 070 -2020 移动智能终端与应用软件用户个人信息 保护实施指南 第1部分：总则 Mobile intelligent terminal and application software user personal information protection implementation guide —Part 1:General Principle 2020 - 09 - 14发布 2020 - 09 - 14实施 电信终端产业协 会 发布 T/TAF 070-2020 I 目 次 前言 ................................ ................................ ................ II 引言 ................................ ................................ ............... III 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语、定义和缩略语 ................................ ................................ . 1 3.1 术语和定义 ................................ ................................ ..... 1 4 个人信息保护原则 ................................ ................................ ... 3 5 移动终端个人信息服务分类及管理要求 ................................ ................. 3 6 移动终端和应用软件用户个人信息生命周期 ................................ ............. 4 7 移动终端和应用软件用户个人信息生命周期安全要求 ................................ ..... 5 7.1 用户个人信息在移动终端上的生命周期安全要求 ................................ ..... 5 7.2 用户个人信息传输过程安全 要求 ................................ ................... 5 附录A 本系列其他标准 ................................ ................................ . 6 T/TAF 070-2020 II 前 言 本标准按照 GB/T 1.1-2009给出的规则起草。 本标准中的某些内容可能涉及专利。本标准的发布机构不承担识别这些专利的责任。 本标准由电信终端产业协会提出并归口。 本标准起草单位 ：中国信息通信 研究院、华为技术有限 公司、OPPO广东移动通信有限公司 、维沃移 动通信有限公司 、武汉安天信息技 术有限责任公司 、北京奇虎科技有限公司 . 本标准主要起草人 ：宁华、衣强、王艳红、李腾、贾科、姚一楠、罗成、黄莹、杜云、周飞、邓佑 军、余泉、王浩迁。 T/TAF 070-2020 III 引 言 近十年智能终端的普及， 也带动了其上 与移动应用的蓬勃发展， 在移动终端和应用软件大发展的潮 流下，个人信息 违规收集、滥用 等现象严重，危害了个人信息主体 权益，个人信息 保护实施指南系列 标 准旨在规范移动终端和 应用软件中个人信息 管理的重点环节 的操作，本规范作为个人信息保护实施指南 系列标准的总则， 给出个人信息保护 总体思想，对个人信息保护实施指南系列标准 起着提纲挈领的作用。 T/TAF 070-2020 1 移动智能终端与应用软件用户个人信息保护实施指南 第1部分：总 则 1 范围 本标准给出 移动终端和应用软件 上用户个人信息 生命周期，以及给出 生命周期 各阶段要求，是移动 终端和应用软件个人信息保护 系列标准或其它与移动终端数据相关标准的参考 。 本标准适用于各种制式的移动智能终端及移动终端上的应用软件，个别条款不适用于特殊行业、专 业应用，其他终端也可参考使用。 2 规范性引用文件 下列文件对于本标准的应用是必不可少的。 凡是注日期的引用文件， 仅注日期的版本适用于本标准。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本标准。 GB/T 35273 -2020 《个人信息安全规范》 YD/T 2407-2013 《移动智能终端安全能力技术要求》 3 术语、定义和缩略语 3.1 术语和定义 下列术语和定义适用于本文件。 3.1.1 移动智能终端 能够接入移动通信网，具有能够提供 应用软件开发接口的开放操作系统，具有安装、加载和运行应 用软件能力的 终端。 3.1.2 移动智能终端 应用软件 移动智能终端 内，能够利用移动智能终端操作系统提供的开发接口，实现某项或某几项特定任务的 计算机软件或者代码片段 。包含移动智能终端预置应用软件 ，以及互联网信息服务提供者提供的可以通 过网站、应用商店等移动应用分发平台下载、安装、升级的应用软件。 3.1.3 移动智能终端操作系统 移动智能终端最基本的系统软件， 它控制和管理移动智能终端各种 硬件和软件 资源，并提供应用程 序开发接口 。 3.1.4 移动应用分发平台 移动应用分发平台 （以下简称“分发平台” ） 是指网站、移动应用分发软件等提供移动智能终端应 用软件下载、安装、升级的应用软件平台。 3.1.5 移动智能终端预置应用软件 T/TAF 070-2020 2 移动智能终端内，在主屏幕和辅助屏界面（不包含进入界面后，通过菜单进入或者调起的功能）有 用户交互 入口并且可独立使用的移动智能终端应用软件。 3.1.6 用户 使用移动智能终端资源的对象，包括人或第三方应用程序。 3.1.7 个人信息 以电子或者其他方式记录的能够单独或者与 其他信息结合识别特定自然人身份或者反映特定自然 人活动情况的各种信息。 3.1.8 敏感个人信息 一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧 视性待遇等的个人信息。 3.1.9 个人信息 主体 个人信息 所标识或者关联的自然人。 3.1.10 个人信息控制者 有能力决定个人信息处理目的、方式等的组织或个人。 3.1.11 明示同意 个人信息主体通过书面、口头等方式主动作出 纸质或电子形式的声明，或者自主作出肯定性动作， 对其个人信息进行特定处理作出明确授权的行为。 3.1.12 用户画像 通过收集、汇聚、分析个人信息，对某特定自然人个人特征，如职业、经济、健康、教育、个人喜 好、信用、行为等方面作出分析或预测，形成其个人特征模型的过程。 3.1.13 共享 个人信息控制者向其他控制者提供个人信息，且双方分别对个人信息拥有独立控制权的过程。 3.1.14 关联 通过唯一识别标识，将不同机构、终端、应用收集到的信息进行匹配、整合。 3.1.15 公开披露 向社会或不特定人群发布信息的行为。 3.1.16 终端告知 终端(终端厂商、终端操作系统或终端预置应用 )通过各种方式告知用户，将对其个人信息进行特定 处理的行为。 3.1.17 终端告知同意 T/TAF 070-2020 3 终端(终端厂商 、终端操作系统或终端预置应用 )通过各种方式告知用户，并获得用户明确授权对其 个人信息进行特定处理的行为 。 3.1.18 应用软件 告知同意 移动终端上的应用软件通过弹窗或产品界面等方式提示用户收集使用相关权限或信息的目的、方 式、范围等，并获用户做出明确授权的行为。 3.1.19 收集 获得个人信息的控制权的行为，包括由个人信息主体主动提供、通过与个人信息主体交互或记录个 人信息主体行为等自动采集行为，以及通过共享 、转让、搜集公开信息等间接获取个人信息等行为。 注：如果产品或服务的提供者提供工具供 个人信息主体 使用，提供者不对个人信息进行访问的，则 不属于本标准所称的收集。 例如， 离线导航软件在终端获取用户位置信息后， 如果不回传至软件提供者， 则不属于用户位置信息的收集。 3.1.20 采集 产品或服务获取的个人信息存储在个人信息主体本地设备内，供个人信息主体本地操作，不上传至 软件提供者的行为。 3.1.21 使用 对个人信息进行加工、处理 的过