ICS 33.050 M 30 团体标 准 T/TAF 077.14-2021 APP收集使用个人信息最小必要评估规范 应用日志信息 Application software user personal information collection and usage minimization and necessity evaluation specification — Log information 2021 - 01 - 15发布 2021 - 01 - 15实施 电信终端产业协会 发布 全国团体标准信息平台 T/TAF 077.14-2021 I 目 次 前言 ................................ ................................ ................ II 引言 ................................ ................................ ............... III 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语和定义 ................................ ................................ ......... 1 4 缩略语 ................................ ................................ ............. 2 5 基本原则 ................................ ................................ ........... 2 6 日志信息类型 ................................ ................................ ....... 2 7 日志信息常见收集使用场景 ................................ ........................... 2 8 个人信息处理活动各环节最小必要评估要求 ................................ ............. 2 8.1 收集阶段 ................................ ................................ ....... 2 8.2 存储阶段 ................................ ................................ ....... 2 8.3 使用阶段 ................................ ................................ ....... 3 8.4 删除阶段 ................................ ................................ ....... 3 9 评估流程和方法 ................................ ................................ ..... 3 全国团体标准信息平台 T/TAF 077.14-2021 II 前 言 本文件按照 GB/T 1.1 -2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由电信终端产业协会提出并归口。 本文件起草单位：中国信息通信研究院、浙江每日互动网络科技股份有限公司。 本文件主要起草人：方毅、董霖、高可、李颖莹、苗玉雷、常曦微、宁华、武林娜、王艳红、金岩、 郄世杰。 全国团体标准信息平台 T/TAF 077.14-2021 III 引 言 随着移动互联网的迅速发展 ,各行各业的 APP应运而生 ,APP已经和我们的生活息息相关。 然而在使用 APP的过程中 ,由于缺少必要的规范作为依据 ,导致一部分 APP为了自身业务或其他服务可能会采集大量 的应用日志信息 ,而这些应用日志信息中可能包含了用户的隐私信息数据 ,进而造成了用户数据泄露的 风险。 本文件根据《中华人民共和国网络安全法》等相关法律要求，依据 GB/T35273 -2020《信息安全技术 个人信息安全规范》的最小必要原则，提出移动应用软件在处理涉及相关应用日志信息的收集、存储、 使用、删除等活动中的最小必要信息规范和评估准则，旨在对移动互联网行业收集使用应用日志信息进 行规范，落实最小、必要的原则，进一步促进移动互联网行业的健康稳定发展。 全国团体标准信息平台 T/TAF 077.14-2021 1 APP收集使用个人信息最小必要评估规范 应用日志信息 1 范围 本文件规定了在移动应用软件在处理涉及用户个人信息相关应用日志信息的收集、存储、使用、删 除等活动中的最小必要信息规范和评估方法， 并通过对在个人信息处理活动中的典型应用场景来说明如 何落实最小必要原则。 本文件适用于移动互联网应用软件提供者规范用户个人信息（应用日志信息）的处理活动，也适用 于主管监管部门、第三方评估机构等组织对移动互联网应用程序收集应用日志信息的行为进行监督、管 理和评估。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 25069 -2010 信息安全技术 术语 GB/T 35273 -2020 信息安全技术个人信息安全规范 T/TAF 077.1 -2020 APP收集使用个人信息最小必要评估规范 总则 3 术语和定义 T/TAF 077.1 -2020中界定的以及下列术语和定义适用于本文件。 3.1 移动智能 终端 smart mobile terminal 能够接入移动通信网，具有能够提供应用软件开发接口的开放操作系统，具有安装、加载和运行应 用软件能力的终端。 3.2 移动应用软件 mobile application 针对移动智能终端所开发的应用程序， 包括移动智能终端预置应用软件以及互联网信息服务提供者 提供的可以通过智能终端下载、安装、升级、卸载的应用软件。 3.3 应用日志信息 application log information 用于具体描述移动应用软件在运行过程中产生的记录文件。 3.4 全国团体标准信息平台 T/TAF 077.14-2021 2 个人信息处理者 personal information processor 能够自主决定处理目的、处理方式等个人信息处理事项的组织、个人，包括但不限于 APP或SDK开发 者。 4 缩略语 下列缩略语适用于本文件。 APP 移动应用软件 Application 5 基本原则 个人信息处理者仅应处理与其提供服务相关的最小、必要的应用日志信息。 6 日志信息类型 部分日志中可能包含个人信息，如系统功能产生的敏感事件日志信息；应用内商品浏览或浏览器访 问所产生的日志信息； APP使用过程中生成的各种与个人信息相关的日志等。 7 日志信息常见收集使用场景 可能包含个人信息的日志所产生的典型场景，如：聊天场景、电商场景、系统场景、支付场景等。 8 个人信息处理活动各环节最小必要评估要求 8.1 收集阶段 8.1.1 收集阶段前须满足的必要条件 收集应用日志信息必须具有合理必要的理由，并且应当通过隐私条款或其他方式获得用户的授权。 8.1.2 日志生成阶段 个人信息处理者经法律授权或具备合理事由确需在日志中体现个人信息时， 除应当对个人敏感信息 采用加密等安全措施外，还应符合 《APP收集使用个人信息最小必要评估规范》 系列规范的其他规范要 求。 8.1.3 日志收集阶段 8.1.3.1 日志检索、读取、上传 APP只可检索、读取、上传本 APP生成的日志文件。 8.1.3.2 除外情形 个人信息处理者经法律授权或具备合理事由的情形除外。 8.2 存储阶段 全国团体标准信息平台 T/TAF 077.14-2021 3 a）个人信息处理者 存储日志应保证日志的安全 , 例如可采用可靠的数据加密、合理的访问控制权 等方式。