ICS 33.050 M 30 移动智能终端及应用软件用户个人信息保 护实施指南 第4部分：应用软件告知同意 Mobile intelligent terminal and application software user personal information protection implementation guide —Part 4: Application software notification and consent 2020-08-24发布 2020-08-24实施 电信终端产业协 会 发布 团体标 准 T/TAF 066 -2020 全国团体标准信息平台 T/TAF 066 -2020 I 目 次 前言 ................................ ................................ ................ II 引言 ................................ ................................ ............... III 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语、定义和缩略语 ................................ ................................ . 1 3.1 术语与定义 ................................ ................................ ..... 1 4 告知同意原则 ................................ ................................ ....... 2 4.1 概述 ................................ ................................ ........... 2 4.2 准确性原则 ................................ ................................ ..... 2 4.3 多样性原则 ................................ ................................ ..... 2 4.4 时间点原则 ................................ ................................ ..... 2 5 应用软件告知 ................................ ................................ ....... 2 5.1 告知时机 ................................ ................................ ....... 2 5.2 告知内容 ................................ ................................ ....... 2 5.3 告知方式 ................................ ................................ ....... 3 6 用户同意 ................................ ................................ ........... 3 全国团体标准信息平台 T/TAF 066 -2020 II 前 言 标准按照 GB/T 1.1-2009给出的规则起草。 本标准中的某些内容可能涉及专利。本标准的发布机构不承担识别这些专利的责任。 本标准由电信终端产业协会提出并归口。 本标准起草单位 ：中国信息通信研究院、 OPPO广东移动通信有限公司、北京奇虎科技有限公司、 北 京三星通信技术研究有限公司、 华为技术有限公司 . 本标准主要起草人 ：王艳红、宁华、 王宇晓、 王江胜、李腾、姚一楠、吴春雨、衣强 、杜云、周飞、 余泉、邓样辉 。 全国团体标准信息平台 T/TAF 066 -2020 III 引 言 近年，随着移动网络的快速发展和普及，越来越多的应用软件深入到人们的工作和生活中，这些应 用软件在给人们的生活带来便利的同时，也给用户的切身利益带来危害。 本标准针对应用软件个人信息面临的安全问题， 从告知同意的角度出发， 规范应用软件在告知时机、 告知内容、告知方式、用户同意等方面的相关行为，旨在遏制应用软件在用户不知情的情况下收集用户 个人信息，从而最大程度的保障用户的合法权益。 全国团体标准信息平台 T/TAF 066 -2020 1 移动智能终端及应用软件用户个人信息保护实施指南 第4部分：应 用软件告知同意 1 范围 本标准规定了应用软件告知同意的要求，包括告知时间、告知内容、告知方式、用户同意等相关内 容。 本标准适用于通过分发渠道分发的应用软件，个别 条款不适用于特殊行业、专业应用，其他应用软 件也可参考使用。 2 规范性引用文件 下列文件对于本标准的应用是必不可少的。 凡是注日期的引用文件， 仅注日期的版本适用于本标准。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本标准。 GB/T 25069 —2010 信息安全技术 术语 GB/T 34978 -2017 信息安全技术 移动智能终端个人信息保护技术要求 YD/T 3082 -2016 移动智能终端上的个人信息保护技术要求 3 术语、定义和缩略语 3.1 术语与定义 下列术语和定义适用于本文件。 3.1.1 个人信息 personal information 以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然 人活动情况的各种信息。 3.1.2 个人敏感信息 personal sensitive information 一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧 视性待遇等的个人信息。 3.1.3 告知同意 inform consent 应用软件通过 个人信息收集使用规则、 弹窗或产品界面等方式提示通知用户收集使用相关权限或信 息的的目的、 方式、范围等，并获用户做出明确授权的行为。 全国团体标准信息平台 T/TAF 066 -2020 2 4 告知同意原则 4.1 概述 移动应用软件收集使用个人信息时， 应当在使用其功能前， 告知收集个人信息的目的、 方式和范围， 以及拒绝提供将带来的影响，并做出肯定性动作征得其同意，法律法规另行规定的除外。 4.2 准确性原则 应用软件告知同意应满足准确性原则，即告知内容要清晰，准确、完整、不得有歧义，不得恐吓、 威胁、诱导用户。 4.3 多样性原则 应用软件告知同意应满足多样性原则。即告知同意不应局限于隐私政策、弹窗询问等，宜采取多种 形式，更易于用户感知与理解。 4.4 时间点原则 应用软件告知同意应满足时间点原则，即申请处理的个人信息，应在用户做出明确的确认行为之后 再进行相关操作。 5 应用软件告知 5.1 告知时机 a) 应用软件的告知时机与频率应与用户体验感及舒适度相平衡。 b) 应用软件在下载安装前， 宜通过应用软件 开发商下载页面 或隐私政策链接 等方式告知用户应用 软件在运行使用过程中需收集处理的个人信息。 c) 应用软件在首次运行时，应告知用户需收集处理的个人信息。 d) 应用软件收集个人信息前，应告知用户需收集处理的个人信息。 e) 当收集处理的内容、使用目的、保护方式、信息共享等发生重大变更时，应用软件应重新告知 用户。 f) 应用软件在信息转移前，应告知用户进行转让的个人信息。 g) 用户在注销账户前，应用软件应告知用户个人信息存储 /删除情况。 h) 应用软件停止运营前，应告知用户个人信息 进行删除或匿名化处理的 情况。 i) 应用软件发生重大安全事件时，应告知用户 安全事件的内容和影响 以及其他相关信息 。 5.2 告知内容 a) 应用软件告知用户个人信息 收集者的身份。例如 : 公司名称、公司地址、联系方式等。 b) 应用软件告知用户收集、使用个人信息的目的，以及目的所涵盖的业务功能。 1) 不同信息有不同目的时，分别进行详细说明。 2) 不得将敏感数据与一般信息混淆在一起进行告知。 全国团体标准