1 ICS 33.050 CCS M 30 团体标 准 T/TAF 151—2023 2023-02-08发布 2023-02-08实施 电信终端产业协会 发布 移动应用分发平台 APP个人信息保护自动 化检测实施指南 Implementation guide for automatic detection of APP personal information protection for mobile application distribution platform T/TAF 151 —2023 I 目 次 前言 ................................ ................................ .................. II 引言 ................................ ................................ ................. III 1 范围 ................................ ................................ ................. 1 2 规范性引用文件 ................................ ................................ .......1 3 术语和定义 ................................ ................................ ........... 1 4 缩略语 ................................ ................................ ............... 2 5 概述 ................................ ................................ ................. 2 5.1自动化检测范围 ................................ ................................ ....2 5.2自动化检测方式 ................................ ................................ ....2 5.3检测环境 ................................ ................................ .......... 2 6 个人信息保护自动化检测方法 ................................ ........................... 3 6.1违规收集个人信息检测 ................................ .............................. 3 6.2 超范围收集个人信息检测 ................................ ........................... 6 6.3 违规使用个人信息检测 ................................ ............................. 9 6.4 强制、频繁、过度索取权限检测 ................................ ..................... 9 6.5 APP频繁自启动和关联启动检测 ................................ ..................... 10 T/TAF 151 —2023 II 前 言 本文件按照 GB/T 1.1 —2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由电信终端产业协会提出并归口。 本文件起草单位：中国信息通信研究院、维沃移动通信有限公司、 OPPO广东移动通信有限公司、华 为技术有限公司、荣耀终端有限公司、小米通讯技术有限公司、北京快手科技有限公司、北京奇虎科技 有限公司、北京抖音信息服务有限公司、高通无线通信技术（中国）有限公司、上海兆言网络科技有限 公司、郑州信大捷安信息技术股份有限公司、武汉安 天信息技术有限责任公司、百度在线网络技术（北 京）有限公司、北京三星通信技术研究有限公司、阿里巴巴（中国）有限公司、北京三快在线科技有限 公司、恒安嘉新（北京）科技股份公司、三七互娱网络科技集团股份有限公司、 南德认证检测（中国） 有限公司深圳分公司 、北京京东世纪贸易有限公司。 本文件主要起草人：贾科、张玮、武林娜、王宇晓、李腾、李实、赵晓娜、付艳艳、 杜文博、落红 卫、王昕、姚一楠、 杨骁涵、安潇羽 、王江胜、 郑云、王润辉 、刘献伦、刘为华 、王淞鹤、徐茂森、赵 梓伊、梁冬冉、宣伟、陈辉军、 郑如忠、冉高攀、张倞诚 、顾泽宇、余丽 娜、王海棠、郭建领、吴越、 黄天宁、 刘瑾、吴斌、唐佳伟、梁小雨、 孟娟、李肖肖、 冯娜、李然。 T/TAF 151 —2023 III 引 言 随着APP的广泛应用， APP的个人信息 保护问题也日益凸显， APP违规处理用户个人信息的事件成 为监管机构 和社会关注 焦点。移动应用 分发平台 作为APP分发的第一阵地，是 APP生态体系的主要角色 和重要纽带。 国内各大应用分发平台 都有自己的自动化检测措施， 在具体的自动化检测 方法上的判定规则不统 一，可能导致相同的 APP在不同的应用商店的检测结果存在差异，引发公平性的争议 。本文件针对应用 分发平台对 APP个人信息保护相关要求（包括 164号文及其配套 APP用户权益保护系列标准、移动应用 分发平台 APP上架审核规范中个人信息保护相关要求），聚焦其中可以实现自动化检测的部分，提出了 自动化检测方法，以提升应用分发平台实现对 APP个人信息保护的自动化检测能力与检测效率。 T/TAF 151 —2023 1 应用分发平台个人信息保护自动化检测实施指南 1 范围 本文件为APP个人信息保护相关要求的自动化检测提供指导。 本文件适用于应用商店等应用分发平台对其上架 APP的个人信息保护自动化检测，也适用于 APP对自 身个人信息保护的自检测， 以及第三方对 APP个人信息保护相关要求的自动化检测。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用 于本文件。 YD/T 4184 —2022 移动互联网应用程序（ APP）用户权益保护测评规范 T/TAF 078 APP用户权益保护测评规范系列标准 T/TAF 125—2023 应用分发平台 APP审核规范 3 术语和定义 下列术语和定义适用于本文件。 3.1 移动智能终端 smart mobile terminal 能够接入移动通信网，具有能够提供应用软件开发接口的操作系统，具有安装、加载和运行应用软 件能力的终端。 3.2 移动互联网应用程序 mobile Internet application 可安装在移动智能终端内，能够利用移动智能终端操作系统提供的公开开发接口，实现某项或某 几项特定任务的 应用程序。 注：包含移动智能终端预置应用软件、小程序、快应用以及互联网信息服务提供者提供的可以通过网站 、应用商店 等应用分发平台下载、安装、升级的应用 程序，简称 APP。 3.3 应用分发平台 application distribution platform 提供APP下载、安装、升级等分发服务的平台，包括网站、应用商店、 APP等各类平台。 3.4 T/TAF 151 —2023 2 静默状态 silence state APP处于前台，用户未使用该 APP的任何相关功能且未主动触发任何操作的状态。 4 缩略语 下列缩略语适用于本文件。 APP：移动互联网应用程序（ Mobile Internet Application ） SDK：软件开发包 （Software Development Kit ） OCR：光学字符识别（ Optical Character Recognition ） 5 概述 5.1自动化检测范围 移动应用分发平台构建个人信息保护技术检测能力，在上架前审核和上架后定期巡检两个阶段，对 对APP个人信息处理活动进行检测和跟踪。 移动应用分发平台个人信息保护违规行为引自 YD/T 4184—2022，主要包括违规收集个人信息、超 范围收集个人信息、违规使用个人信息、强制 /频繁/过度索取