ICS 33. 050 CCS M 30 YD 中华人民共和国通信行业标准 YD/T XXXX—XXXX 移动互联网应用程序（APP）收集使用个人 信息最小必要评估规范第11部分：短信信 息 Application personal information collection and usage minimization and necessity evaluation specification Part 11:SMS Information XXXX-XX-XX 发布 XXXX-XX-XX 实施 中华人民共和国工业和信息化部 发布 YD/TXXXX-XXXX 目次 前 II 引 1范围... 2规范性引用文件 3术语和定义 5基本原则. 6短信信息分类 7典型应用场录 8基本要求... 8.1告知同意要求 8.2权限要求， 8.3本地收集阶段 8.4远程传输阶段 8.5存储阶段 8.6使用阶段 9评估方法与流程 9.1评估方法， 9.2评估步骤 9.3评估项目 YD/T XXXXXXXX 前言 本文件按照GB/T1.1一2020标准化工作导则 第1部分：标准化文件的结构和起草规则，给出的 规则起草。 本文件由中国通信标准化协会提出并归口。 本文件起草单位：中国信息通信研究院、维沃移动通信有限公司、OPPO广东移动通信有限公司、北 京奇虎科技有限公司、北京字节跳动科技有限公司、深圳荣耀智能机器有限公司、华为技术有限公司 本文件主要起草人：贾科、武林娜、杜云、赵盈洁、李腾、姚一楠、宋恺、宁华、王艳红、卜英华、 刘陶、张玮、徐曼、王宇晓、赵晓娜、衣强、吴怡、陈鑫爱 = YD/T XXXXXXXX 引言 随若移动应用种类和数量呈爆发式增长，APP侵害用户权益事件层出不穷，个人信息保护态势息加 严峻，如何保护个人信息，尤其是人脸、通讯录、短信、位置、图片等敏感个人信息受到政府机构和社 会公众高度关注。APP收集使用个人信息最小必要评估旨在对移动互联网行业收集使用人脸、通讯录、 短信、位置、图片等敏感个人信息进行规范，落实最小、必要的原则。YD/TXXXX由16个部分构成： 移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第1部分：总则： 移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第2部分：位置信息： 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第3部分：图片信息： 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第4部分：终端通讯录： 一移动互联网应用程序（APP） 收集使用个人信息最小必要评估规范第5部分：设备信息： 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第6部分：软件列表： 移动互联网应用程序（APP） 收集使用个人信息最小必要评估规范第7部分：人脸信息： 一移动互联网应用程序 收集使用个人信息最小必要评估规范第8部分：录像信息； 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第9部分：录音信息： 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第10部分：通话记录： 一移动互联网应用程序（APP） ）收集使用个人信息最小必要评估规范第11部分：短信信息： 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第12部分：好友列表： 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第13部分：传感器信息： 移动互联网应用程序（APP）收集使用个人信总最小必要评估规范第14部分：应用日患信息： 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第15部分：身份信息： 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第16部分：剪切板信息。 II YD/T XXXXXXXX 移动互联网应用程序（APP）收集使用个人信息最小必要评估规范 第11部分：短信信息 1范围 本文件是APP收集使用个人信息最小必要评估规范系列标准中的短信信息部分，旨在贯彻个人信息 收集使用的最小必要的原则，针对APP访问、收集、存储、使用、删除用户手机短信（含彩信、5G消 息等多媒体方式）信息等各环节提出相应的最小必要性符合度评估项，并结合典型场景，对APP最小必 要处理短信信息进行规定。 本文件适用于移动互联网应用软件开发者对用户短信信息的处理，也适用于主管监管部门、第三方 评估机构等组织对移动互联网应用程序收集短信信息行为进行监督、管理和评估。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 35273-2020 信息安全技术个人信息安全规范3 YD/TXXXX.1-XXXX《移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第1部 分：总则” 3术语和定义 YD/TXXXX.1-XXXX界定的术语和定义适用于本文件。 4缩略语 下列缩略语适用于本文件。 APP 应用软件 Application SMS 短信 Short Message MMS 彩信 Multimedia Message 5 基本原则 对个人信息处理活动中短信信息收集使用的原则应满足YD/TXXXXX.1《移动互联网应用程序 （APP）收集使用个人信息最小必要评估规范第1部分：总则”中的最小必要原则。 3 YD/TXXXX-XXXX 6短信信息分类 本文件将短信信息包含的信息类型划分为如下类型： 一本机用户标识：用于识别或区分短信、彩信信息所在移动终端设备用户的的标识信息，可包括发 送者的手机号等：依据短信信息的发送方，本机用户标识可以是短信信息的发送者标识，也可以是短信 信息的接收者标识。 一对端标识：用于识别或区分短信、彩信信息所在移动终端设备用户的的短信通信对端标识信息， 包据接收者的手机号等。 一短信内容：为短信发送者编辑并发送给接收者的各种格式的内容，单一的短信内容是否包含个人 信息、包含的个人信息的类目数量以及包含的具体个人信息类型取决于每个短信内容的本身。 一时间：移动终端设备用户接收或发送该条短信的时间。 7典型应用场景 短信信息是移动终端用户的个人通信内容，基于多条或单条短信信息可能泄露用户隐私，甚至危害 个人的人身安全和财产安全，其有较高敏感性，应在合理的场景下使用，在本文件中列举了以下场景为 合理必要收集使用短信信息的场录： 短信云备份：以数据备份为目的，APP将用户终端上的短信信息传输至远端服务器上存储的场 景. b) 验证码便捷获取：以协助用户完成登录或支付等操作为目的，APP识别短信中的验证码并提示 用户的场景。 cj 便捷短信查询与服务订阅：以使利用户操作为目的，APP帮助用户发送特定短信指令至特定号 码，查询相关信息或订阅服务的场录，如流量余额查询。 d) 短信优化编辑与发送：以协助用户编辑并发送短信为目的，APP提供短信编辑功能并发送短信 至用户指定号码的场景。 e) 短信功能体验增强：以增强用户短信功能体验为目的，APP为用户提供如短信发送商户识别和 图形化展示等增强短信功能的场景。 G 手机间数据互传：以在用户不同手机间传输数据为目的，将用户一部手机中的短信信息传输至 用户另一部手机的场景，如换机。 g) 强扰拦截：以帮助用户拦截、屏蔽诈骗、广告等用户不期望接收的短信信息为目的，APP识别、 展示并处置相关短信信息的场录。 h) 服务智能化：以改善服务智能化程度或用户体验为目的，APP访问用户短信信息的场录。 n) 已关联设备的配套应用：通过此类应用用户可将移动设备与已关联设备（例如暂能手表、汽车、 智能家居设备等）连接起来，还能够收发短信。 跨设备同步或转移短信：在多个设备上（例如手机和笔记本电脑之间）同步短信信息。 k) 设备自动化：用户可让设备根据其设置的一个或多个条件（触发条件），在操作系统的多个区 域自动执行重复性操作。 YD/T XXXXXXXX 企业存档及设备管理：企业存档、客户关系管理CRM和/或设备管理，如运营商通过短信上报 设备信息与驻网状态。 m) 车载免提使用和投影显示：与驾驶/出行的核心功能（例如导航）直接相关的APPs，大 尤其是在 用户与设备的物理互动受到限制的情况下。 n 呼救短信：可在发生人身安全或紧急状况时发送报警短信。 用户数据本地备份与还原：用户的事务性备份和还原以及企业的归档（限时/非连续）。 8 基本要求 8.1 告知同意要求 除终端基本通信功能外的APP，若需收集处理个人信息，应遵循以下要求： a) 基于用户个人同意收集处理个人信息的：若仅在本地收集处理短信信息，APP应向用户声明收 集处理短信信息仅在用户设备上进行，并告知收集处理短信信息的目的，经用户确认后方可开 始收集：若存在非本地处理的情形，APP应明确告知用户需传输至远端的短信信息类型及收集 处理的目的、方式、范围，并经用户选择同意后方可收集： 若短信信息的处理目的、处理方式、保存期限等发生变更，应重新告知并取得个人信息主体同 意: c) 免于同意的情形应按GB/T352735.6征得投权同意的例外要求执行： (P APP处理的短信信息若涉及著作权、肖像权等法律问题的，应遵循国家相关规定的要求，本文 件不做专门规定。 8.2 权限要求 8.2.1 权限申请最小化 短信权限作为敏感权限，除终端基本通信功能外的APP在申请短信权限时应满足如下要求 a）首次启动时，若用户拒绝投权短信权限，应用不应退出或关闭： b）APP应基于自身业务