ICS 33.050 CCS M 30 团体标 准 T/TAF 180.4—2023 小程序个人信息保护规范 第4部分：全生命周期 Specification of personal information protection for mini program — Part 4: Life cycle 2023-10-31发布 2023-10-31实施 电信终端产业协会 发布 T/TAF 180.4—2023 I 目 次 前言 ................................ ................................ ................ II 引言 ................................ ................................ ............... III 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语和定义 ................................ ................................ ......... 1 4 基本原则 ................................ ................................ ........... 1 5 个人信息处理全生命周期要求 ................................ ......................... 2 5.1 个人信息收集 ................................ ................................ ... 2 5.2 个人信息存储 ................................ ................................ ... 2 5.3 个人信息使用 ................................ ................................ ... 2 5.4 个人信息加工 ................................ ................................ ... 2 5.5 个人信息传输 ................................ ................................ ... 3 5.6 个人信息删除 ................................ ................................ ... 3 T/TAF 180.4—2023 II 前 言 本文件按照 GB/T 1.1 —2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件是 T/TAF 180 《小程序个人信息保护规范》的第 4部分。T/TAF 180 已经发布了以下部分： ——第1部分：申请授权行为； ——第2部分：个人信息收集行为； ——第3部分：全流程开发管理； ——第4部分：全生命周期。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由电信终端产业协会提出并归口。 本文件起草单位： 中国信息通信研究院、泰尔认证中心有限公司、北京抖音信息服务有限公司 、阿 里巴巴(中国)有限公司、北京快手科技有限公司、蚂蚁科技集团股份有限公司、荣耀终端有限公司、厦 门美柚股份有限公司、小米通讯技术有限公司、上海兆言网络科技有限公司、郑州信大捷安信息技术股 份有限公司、北京三快在线科技有限公司、华为技术有限公司、博鼎实华（北京）技术有限公司、中兴 通讯股份有限公司。 本文件主要起草人： 王淞鹤、宋恺、刘陶、王艳红、武林娜、王宇晓、桑明臣、李可心、李京典、 周飞、陈鑫爱、宁华、杜蕾、李昳婧、方强、落红卫、谷晨、王昕、林冠辰、赵晓娜、黄鹏华、顾泽宇、 钱雷、刘献伦、刘为华、刘瑾、王芳、李 实、董霁、张宏伟。 T/TAF 180.4—2023 III 引 言 随着移动互联网的发展，小程序作为常用互联网服务入口，已全面渗透用户生活，成为数字化时代 不可或缺的一部分。小程序在汇聚大量用户个人信息的同时，也存在处理个人信息方面的风险隐患。本 文件依据《中华人民共和国个人信息保护法》、《工业和信息化部关于开展纵深推进 APP侵害用户权益 转向整治行动的通知》（工信部信管 [2020] 164 号）等法律法规及规范性文件要求，对小程序的申请 授权行为进行规范，进一步提升小程序提供者的个人信息保护水平，促进移动互联网行业的健康稳定发 展。T/TAF 180拟由4个部分构成 ： ——小程序个人信息保护规范 第1部分：申请授权 行为； ——小程序个人信息保护规范 第2部分：个人信息 收集行为； ——小程序个人信息保护规范 第3部分：全流程开发管理； ——小程序个人信息保护规范 第4部分：全生命周期。 T/TAF 180.4—2023 1 小程序个人信息保护规范 第4部分：全生命周期 1 范围 本文件主要规定了小程序个人信息处理的规范，包括小程序处理个人信息的基本要求，明确个人信 息在小程序中不同的处理环节中的保护规范，适用于小程序对个人信息的处理，同时适用于监管机构、 第三方测评机构对小程序进行监督、评估与认证。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 T/TAF 180.2—2023 小程序个人信息保护规范 第2部分：个人信息收集行为 3 术语和定义 下列术语和定义适用于本文件。 3.1 框架型应用软件 frame-based application software 在移动智能终端上运行，提供数据访问控制和应用软件管理能力，并为在其上运行的第三方小程序 提供相应开发接口的应用软件。 3.2 小程序 mini-program 在框架型应用软件上运行的，通过框架型应用软件提供的功能接口，实现某项或某几项特定功能的 免安装的应用软件。 3.3 授权 authorization 框架型应用软件为小程序提供的申请数据或资源的一种方式。 范围涵盖框架型应用所存储的数据或 资源及其从操作系统中获取到的数据或资源 4 基本原则 小程序开展个人信息处理活动应遵循合法、正当、必要的原则，具体包括： T/TAF 180.4-2023 2 a) 合法必要：处理个人信息应合法、正当、必要和诚信，不应通过误导、欺诈、胁迫等方式处理 个人信息 ； b) 目的明确：处理个人信息应具有明确、合理的目的，应与处理目的直接相关，应采取对个人权 益影响最小的方式 ； c) 最小必要：收集个人信息时，应当限于实现处理目的的最小范围，不得过度收集个人信息； d) 公开透明： 应以明确、清晰、易懂的方式公开个人信息的处理规则； e) 确保安全：应采取必要的管理措施和技术手段保障所处理的个人信息的安全 ； f) 主体参与： 应向个人信息主体提供能够查询、更正、删除其个人信息，以及撤回授权同意、投 诉等方法 ； g) 知情自愿：基于用户同意处理个人信息的，该同意应由用户在充分知情的前提下自愿、明确作 出。 5 个人信息处理全 生命周期要求 5.1 个人信息收集 小程序的个人信息收集应符合 T/TAF 180.2—2023的相关要求。 5.2 个人信息存储 小程序的个人信息存储应符合以下要求： a） 小程序若在移动智能终端本地存储 敏感个人信息， 应采取加密或访问控制等安全技术保证 敏感 个人信息不被 破坏或损毁 ； b） 小程序应对其服务端存储的个人信息进行分类分级管理， 采取不同级别的安全保障措施以确保 个人信息在服务器端的安全存储； c） 个人信息存储不应超过实现个人信息主体授权使用的目的所必需的最短时间， 不应在存储期满 或小程序停止提供产品或服务之后继续存储个人信息或仅作匿 名化处理， 但法律法规另有规定 或者个人信息主体另行授权同意的除外； d） 除有合法性基础的， 小程序不应将其生成的可用于唯一标识移动智能终端的个人信息存储在移 动智能终端本地，并分享给其他小程序或服务用于用户画像或商业营销等目的。 5.3 个人信息使用 小程序个人信息的使用应符合以下要求： a） 小程序使用个人信息时，其目的应与告知用户的目的一致。 使用个人信息以告知同意为合法性 基础的， 若存在超出 或变更的情况， 应主动告知用户，并重新征得用户同意； b） 小程序若存在敏感个人信息展示的功能， 宜对其展示的 敏感个人信息采取 脱敏处理等措施