ICS 33.050 CCS M 30 团体标 准 T/TAF 187—2023 框架型应用软件个人信息保护规范 Specification of personal information protection on frame -based application software 2023-10-31发布 2023-10-31实施 电信终端产业协会 发布 T/TAF 187—2023 I 目 次 前言 ................................ ................................ ................. Ⅱ 引言 ................................ ................................ ................. Ⅲ 1 范围 ................................ ................................ ................ 1 2 规范性引用文件 ................................ ................................ ...... 1 3 术语和定义 ................................ ................................ .......... 1 4 框架型应用软件安全能力要求 ................................ .......................... 2 4.1 访问控制管理 ................................ ................................ .... 2 4.2 敏感行为记录能力 ................................ ................................ 2 5 框架型应用软件用户权益保护要求 ................................ ...................... 2 6 框架型应用软件分发平台管理要求 ................................ ...................... 3 6.1 分发平台信息明示 ................................ ................................ 3 6.2 小程序开发者审核 ................................ ................................ 3 6.3 小程序安全要求 ................................ ................................ .. 3 6.4 小程序用户权益要求 ................................ .............................. 3 6.5 小程序内容安全要求 ................................ .............................. 4 6.6 小程序广告要求 ................................ ................................ .. 4 6.7 小程序付费审核 ................................ ................................ .. 4 6.8 申诉投诉 ................................ ................................ ........ 5 T/TAF 187—2023 II 前 言 本文件按照 GB/T 1.1 —2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由电信终端产业协会提出并归口。 本文件起草单位：中国信息通信研究院、泰尔认证中心有限公司、北京抖音信息 服务有限公司、蚂 蚁科技集团股份有限公司、北京快手科技有限公司、阿里巴巴（中国）有限公司、北京三快在线科技有 限公司、华为技术有限公司、荣耀终端有限公司、 小米通讯技术有限公司、维沃移动通信有限公司、博 鼎实华 (北京) 技术有限公司、中兴通讯股份有限公司、厦门美柚股份有限公司。 本文件主要起草人：王淞鹤、宋恺、刘陶、王艳红、武林娜、王宇晓、桑明臣、周飞、陈鑫爱、李 京典、李可心、宁华、钱康、杜蕾、李昳婧、林冠辰、落红卫、王昕、方强、刘瑾、王芳、李实、赵晓 娜、李辰淑、顾泽宇、张玮、董霁、张宏伟、黄鹏华。 T/TAF 187—2023 III 引 言 当前移动互联网行业，小程序等轻量级应用快速发展，其中框架型应用软件作为小程序载体平台， 对于当前小程序领域中存在的个人信息保护和用户权益等方面的相关问题，承担着重要责任和义务。 因此，本文件根据《个人信息保护法》 《电信和互联网用户个人信息保护规定》（工业和信息化部 第24号令）《工业和信息化部关于开展纵深推进 APP侵害用户权益专项整治行动的通知》（工信部信管 [2020] 164号） 等法律法规及规范性文件要求， 对框架型应用软件的个人信息保护及安全能力进行规范， 进一步促进移动互联网行业的健康稳定发展。 T/TAF 187—2023 1 框架型应用软件个人信息保护规范 1 范围 本文件规定了框架型应用软件安全能力及用户权益保护相关个人信息保护要求。 本文件适用于框架型应用软件规范个人信息保护能力，也适用于主管监管部门、第三方评估机构等 组织对相关个人信息保护能力进行监督、管理和评估。 2 规范性引用文 件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 YD/T 4184 —2022 移动互联网应用程序（ APP）用户权益保护测评规范 T/TAF 180.1 —2023 小程序个人信息保护规范 第1部分：申请授权行为 T/TAF 180.2 —2023 小程序个人信息保护规范 第2部分：个人信息收集行为 T/TAF 078.2—2020 APP用户权益保护测评规范 定向推送 T/TAF 078.3—2020 APP用户权益保护测评规范 个人信息获取行为 T/TAF 078.5—2020 APP用户权益保护测评规范 违规使用个人信息 T/TAF 078.7—2023 APP用户权益保护测评规范 第7部分：欺骗误导强迫行为 3 术语和定义 YD/T 4184—2022 界定的术语和定义适用于本文件。 3.1 框架型应用软件 frame-based application software 框架型应用软件是指在移动智能终端上，提供数据访问控制和小程序分发等管理能力，并为在其上 运行的第三方的小程序提供相应开发接口的应用软件 。 3.2 小程序 mini-program 小程序是指在框架型应用软件上运行的，通过框架型应用软件提供的功能接口，实现某项或某几项 特定功能的免安装的应用软件 。 3.3 个人信息 personal information 以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息， 不包括匿名化处理后的 信息。 T/TAF 187—2023 2 3.4 敏感个人信息 sensitive personal informat ion 一旦泄露或者非法使用，可能导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人 信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周 岁未成年人的个人信息 。 3.5 授权 authorization 框架型应用软件为小程序提供的申请数据或资源的一种方式。 范围涵盖框架型应用所存储的数据或 资源及其从操作系统中获取到的数据或资源。 4 框架型应用软件安全能力要求 4.1 访问控制管理 4.1.1 访问控制能力要求 框架型应用软件个人信息访问控制能力应满足以下要求： a) 应对小程序可申请的信息和授 权进行安全访问控制； b) 涉及小程序通过框架型应用软件的开放接口获取个人信息或授权的，在用户对弹窗授权前， 框架型应用软件应保证小程序无法对相关数据或资源进行访问及控制； c) 涉及框架型应用软件向小程序共享个人信息的，框架型应用软件应向用户明示，并获得用户 的单独同意。 注1：小程序可申请的信息参见 T/TAF 180.2-2023附录A。 注2：小程序可申请的授权参见 T/TAF 180.