ICS 33.050 M 30 团体标 准 T/TAF 077.17-2021 APP收集使用个人信息最小必要评估规范 身份信息 Application software user personal information collection and usage minimization and necessity evaluation specification — Identity information 2021 - 01 - 15发布 2021-01 - 15实施 电信终端产业协会 发布 全国团体标准信息平台 T/TAF 077.17-2021 I 目 次 前言 ................................ ................................ ................ II 引言 ................................ ................................ ............... III 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语和定义 ................................ ................................ ......... 1 4 缩略语 ................................ ................................ ............. 1 5 基本原则 ................................ ................................ ........... 1 6 身份信息类型 ................................ ................................ ....... 2 7 典型业务场景 ................................ ................................ ....... 2 8 个人信息处理活动中身份信息的最小必要评估规范 ................................ ....... 3 8.1 收集阶段 ................................ ................................ ....... 3 8.2 存储阶段 ................................ ................................ ....... 3 8.3 使用阶段 ................................ ................................ ....... 3 8.4 删除阶段 ................................ ................................ ....... 3 9 评估流程和方法 ................................ ................................ ..... 3 全国团体标准信息平台 T/TAF 077.17-2021 II 前 言 本文件按照 GB/T 1.1 -2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由电信终端产业协会提出并归口。 本标准起草单位： 中国信息通信研究院、 阿里巴巴 (中国)有限公司 。 本标准主要起草人： 黄天宁、 贾雪飞、汪坤、宁华、王艳红、杜云。 全国团体标准信息平台 T/TAF 077.17-2021 III 引 言 随着移动移动互联网的迅速发展和日益成熟，移动智能终端功能的成熟与便利， 身份信息已成为移 动应用软件开展业务功能的重要组成部分 。然而，在 APP收集使用 身份信息的过程中，有些个人信息信 息可能并非用户使用该功能时所必须的。 本文件根据《中华人民共和国网络安全法》等相关法律要求，依据 GB/T 35273 -2020《信息安全技 术 个人信息安 全规范》的最小必要原则，提出移动应用软件在处理涉及个人信息 身份信息的收集、存 储、使用、加工、传输、提供、公开等活动中的最小必要信息规范和评估准则，旨在对移动互联网行业 收集使用用户 身份信息进行规范， 落实最小、 必要的原则， 进一步促进移动互联网行业的健康稳定发展。 全国团体标准信息平台 T/TAF 077.17-2021 1 APP收集使用个人信息最小必要评估规范 身份信息 1 范围 本文件规定了移动应用软件对 身份信息的收集、使用、存储、销毁等活动中的最小必要规范和评估 方法，并通过个人信息处理活动中的典型应用场景来说明如何落实最小必要原则。 本标准适用于移动互联网应用软件提供 者规范用户个人信息中的 身份信息 的处理活动，也适用于主 管监管部门、第三方评估机构等组织对移动互联网应用程 序收集身份信息行为进行监督、管理和评估。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 25069 -2010 信息安全技术 术语 GB/T 35273 -2020 信息安全技术个人信息安全规范 T/TAF 077.1-2020 APP收集使用个人 信息最小必要评估规范 总则 T/TAF 040 -2019 移动智能终端及应用软件用户个人信息保护实施指南 第2部分：个人信息分类分级 3 术语和定义 3.1 身份信息 identity information 本文件规定的身份信息 特指法定身份 证件信息，如 身份证、 户籍、护照、社保、医保、驾驶证、军 官证等相关的 信息及影印件，可参考T/TAF 040 -2019《移动智能终端及应用软件用户个人信息保护实施 指南 第2部分：个人信息分类分级 》中的相关定义。 4 缩略语 下列缩略语适用于本文件。 APP 应用软件 Application 5 基本原则 应满足T/TAF 077.1 -2020《APP收集使用个人信息最小必要评估规范 总则》中的最小必要原则。 全国团体标准信息平台 T/TAF 077.17-2021 2 6 身份信息类型 身份信息类型可参 考T/TAF 040 -2019《移动智能终端及应用软件用户个人信息保护实施指南 第2部 分：个人信息分类分级 》中的相关定义及分类方法。 7 典型业务场景 典型业务场景见表 1。 表1 典型业务场景 业务场景 采集说明 跨境交易服务 购买商品或服务订单中包含海外直邮商品，需根据海关政策要求提供付款人的真 实姓名和收货人身份证号码 ，用于报关和配送服务。 开通店铺服务 为确保商家身份真实性，根据《电子商务法》等要求、需提供开店人身份证件、 身份等信息完成实名认证后，提供开设店铺、发布产品、交易和售后等服务。 航旅出行服务 预订飞机、火车、汽车票等场景，按照实名要求需提供乘车 /机姓名、身份证号码 以及取票人姓名与手机号码，提供车票预订、信息通知及后续退改等服务。 内容发布服务 面向公众发布视频、音频、图书等，为了确保内容安全与合规，需要用户提供姓 名、身份证件号码等信息完成实名认证后方可提供服务。 现场演出服务 在部分地区以及境外地区 ，根据大型现场活动、体育赛事等需要，需提供真实姓 名、身份证件信息、联系方式等，用于现场验票、安保及身份确认用途。 运营活动 对特定活动所领取的红包进行提现、奖品兑现和向税务机构完税，需要提交真实 姓名、身份证件号码、联系方式等。 直播主播认证 按照法律关于实名制的要求，提交的个人照片 /视频、姓名信息、身份证件号码、 年龄等整信息等，用户验证账户真实身份、国籍、是否未成年人等。 违章和验车服务 根据交管部门需要，提供身份信息（姓名、手机号、身份证号）、车辆信息、车 主身份信息（姓名、手机号、驾驶证）以及第三方 保险机构相关的其他信息。 通信和网络服务 面向个人提供通讯服务、网络服务和云计算服务等，基于电信主管部门等法律法 规要求，需要身份证信息和影印件等用于注册和备案。 寄递服务 用户