ICS 33.050 M 30 团体标 准 T/TAF 077.16 -2021 APP收集使用个人信息最小必要评估规范 交易记录 Application software user personal information collection and usage minimization and necessity evaluation specification — Transaction records 2021 - 01 -15发布 2021 - 01 -15实施 电信终端产业协会 发布 全国团体标准信息平台 T/TAF 077.16 -2021 I 目 次 前言 ................................ ................................ ................ II 引言 ................................ ................................ ............... III 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语和定义 ................................ ................................ ......... 1 4 缩略语 ................................ ................................ ............. 1 5 基本原则 ................................ ................................ ........... 2 6 交易记录涉及的个人信息类型 ................................ ......................... 2 7 交易记录涉及的个人信息常见收集使用场景 ................................ ............. 2 8 个人信息处理活动中交易记录的最小必要规范 ................................ .......... 2 8.1 收集 ................................ ................................ .......... 2 8.2 存储 ................................ ................................ .......... 2 8.3 使用 ................................ ................................ .......... 3 8.4 共享给第三方 ................................ ................................ .. 3 8.5 删除 ................................ ................................ .......... 3 9 评估流程和方法 ................................ ................................ .... 3 附录A（资料性） 个人信息 处理类别及对应常见场景实例 ................................ .... 4 全国团体标准信息平台 T/TAF 077.16 -2021 II 前 言 本文件按照 GB/T 1.1 -2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由电信终端产业协会提出并归口。 本文件起草单位：中国信息通信研究院、小米科技有限责任公司、 OPPO广东移动通信有限公司、维 沃移动通信有限公司、北京奇虎科技有限公司、华为技术有限公司、北京三快在线科 技有限公司、阿里 巴巴(中国)有限公司、北京字节跳动科技有限公司。 本文件主要起草人 ：任冠一、周圣炎、王艳红、杜云、宁华、武林娜、胡月、陈鑫爱、周飞、李京 典、汤立波、常浩伦、李腾、毛欣怡、贾科、姚一楠、衣强、方强、贾雪飞、杨骁涵、王宇晓、安潇羽 。 全国团体标准信息平台 T/TAF 077.16 -2021 III 引 言 本文件根据《中华人民共和国网络安全法》等相关法律要求，依据 GB/T 35273 -2020《信息安全技 术 个人信息安全规范》的最小必要原则，提出移动应用软件在处理涉及个人信息的收集、存储、使用、 加工、传 输、提供、公开等活动中的最小必要信息规范和评估准则，旨在对移动互联网行业收集使用用 户个人信息进行规范，落实最小、必要的原则，进一步促进移动互联网行业的健康稳定发展。 全国团体标准信息平台 T/TAF 077.16 -2021 1 APP收集使用个人信息最小必要评估规范 交易记录 1 范围 本文件旨在贯彻个人信息收集使用的最小必要的原则，针对移动 APP访问、收集、存储、处理、销 毁用户个人信息 等各环节提出相应的最小必要性符合度评估项，并结合典型场景，对 APP最小必要处理 交易记录 的进行规定。 本文件适用于指导移动互联网应用软件开发者规范对用户 交易记录 的处理，也适用于主管监管部 门、第三方评估机构等组织对移动互联网应用程序收集 个人信息行为进行监督、管理和评估。 本文件适用范围仅适用于电商场景的交易记录（订单）中包含的个人信息，不包含现金流交易记录 中包含的个人信息。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 25069 -2010 信息安全技术 术语 GB/T 35273 -2020 信息安全技术个人信息安全规范 T/TAF 077.1-2020 APP收集使用个人信息最小必要评估规范 总则 3 术语和定义 GB/T 35273 －2020和T/TAF 077.1－2020界定的以及下列术语和定义适用于本文件 。 3.1 移动智能终端 smart mobile terminal 能够接入移动通信网，具有能够提供应用软件开发接口的操作系统，具有安装、加载和运行应用软 件能力的终端。 3.2 移动应用软件 mobile application 针对移动智能终端所开发的应用程序， 包括移动智能终端预置应用软件以及互联网信息服务提供者 提供的可以通过智能终端下载、安装、升级、卸载的应用软件。 4 缩略语 全国团体标准信息平台 T/TAF 077.16 -2021 2 下列缩略语适用于本文件。 APP 应用软件 Application 5 基本原则 应满足T/TAF 077.1 -2020 《APP收集使用个人信息最小必要评估规范 总则》中的最小必要原则。 在针对用户的个人敏感信息进行收集、存储、使用、共享给第三方和删除， 应提前告知用户并 获得 用户授权同意，不应在用户不知情的情况下 对个人信息进行上述操作。 6 交易记录涉及的个人信息类型 交易记录涉及的个人信息包括但不仅限于以下类型： a）真实身份类： 可识别自然人真实身份 的信息，如姓名、住址、工作单位、职位、及身份证号码、 签证授权编号等可标识自然人真实身份的数据及相关的证照 扫描件、图片、影印件等。 b）网络身份类 ：用户在网络空间的身份标识信息，虽不可直接识别用户自然人身份，但结合其他 手段或数据可与用户真实身份相关的信息，如个人的手机号 /微信号/QQ号/支付宝账号 /微博账 号/邮箱地址等 。 c）个人基本资料类 ：用户的一般信息，如年龄、性别、职业、国籍等 。 d）生物特征数据： 与用户身体的生物学特征有关、能够唯一识别个体的数据，如指纹、 声纹等特 征数据。 7 交易记录涉及的个人信息常 见收集使用场景 表1 APP不同场景下最小必要收集交易记录涉及的个人信息 场景 真实身份类 网络身份类 个人基本资料类 消费账户注册 非必要 用于用户注册，满足注册账户和账 户安全性的要求即可 非必要 消费账户登录 非必要 用于标识网上购物用