《APP收集使用个人信息最小必要评估规范 第19部分：日历信息》.doc

TAF-WG4AS0001-V1.0.0

PAGE6

团体标准

T/TAFXXX—XXXX

APP收集使用个人信息最小必要评估规范

第19部分：日历信息

Applicationsoftwareuserpersonalinformationcollectionandusage

minimizationandnecessityevaluationspecification--

Part19:Calendarinformation

XXXX-XX-XX发布

XXXX-XX-XX实施

电信终端产业协会发布

ICS33.030

CCSM21

T/TAFXXX—XXXX

T/TAFXXX—XXXX

PAGE

PAGE1

APP收集使用个人信息最小必要评估规范

第19部分：日历信息

范围

本文件旨在贯彻个人信息收集使用的最小必要的原则，针对APP在收集、存储、使用、传输、删除等各环节提出相应的最小必要性符合度评估项，并结合典型场景，对APP最小必要处理日历信息进行规定。

本文件适用于APP提供者规范用户个人信息（日历信息）的处理活动，也适用于主管监管部门、第三方评估机构等组织对APP处理日历信息行为进行监督、管理和评估。

规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T35273—2020信息安全技术个人信息安全规范

T/TAF077.1—2022APP收集使用个人信息最小必要评估规范第1部分：总则

术语和定义

GB/T35273—2020和T/TAF077.1—2022界定的以及下列术语和定义适用于本文件。

移动智能终端smartmobileterminal

能够接入移动通信网，具有能够提供应用软件开发接口的操作系统，具有安装、加载和运行应用软件能力的终端。

移动应用软件mobileapplication

针对移动智能终端所开发的应用程序，包括移动智能终端预置应用软件以及互联网信息服务提供者提供的可以通过智能终端下载、安装、升级、卸载的应用软件。

缩略语

下列缩略语适用于本文件。

APP：移动应用软件（MobileApplication）

基本原则

应满足T/TAF077.1—2022中的最小必要原则。

日历信息涉及的收集场景

电商类场景

用户在使用订票提醒、热门商品秒杀提醒等电商类APP的功能，而产生的最小必要的记录信息。

运动类场景

用户在使用运动提醒等运动类APP的功能，而产生的最小必要的记录信息。

金融类场景

用户在使用还款提醒、生活缴费提醒等金融类APP的功能，而产生的最小必要的记录信息。

工具类场景

用户在使用垃圾清理提醒、预定会议提醒等工具类APP的功能，而产生的最小必要的记录信息。

日历类场景

用户在使用生日提醒、重要日期提醒等日历类APP的功能，而产生的最小必要的记录信息。

社交通信类场景

用户在使用好友生日提醒等社交通信类APP的功能，而产生的最小必要的记录信息。

生活娱乐类场景

用户在使用喝水提醒、游戏活动提醒等生活娱乐类APP的功能，而产生的最小必要的记录信息。

备份迁移类场景

用户在使用数据备份迁移提醒等备份迁移类APP的功能，而产生的最小必要的记录信息。

个人信息处理活动中日历信息的最小必要规范

告知同意

访问系统日历功能的APP收集日历信息前，应向用户告知收集、使用日历信息的目的、方式、范围等，并获得用户的授权同意。

权限要求

日历信息的权限申请，包含如下情况：

a)APP应在具备合理应用场景前提下申请日历信息权限；

b)用户拒绝日历相关权限申请后，APP不应拒绝为用户提供与日历权限无关的服务；

c)用户拒绝日历相关权限申请后，APP宜间隔48小时以上再进行重新申请，不应频繁请求权限干扰用户正常使用APP其他功能。

典型应用场景下的读写日历时所必须的权限，见表1。

表1访问日历时的最小必要权限

访问日历

对应权限

用途

是否必要

读取日历

日历读取权限

读取日历信息

是

写入日历

日历写入权限

写入日历信息

是

收集阶段

日历信息的收集阶段，包含如下要求：

收集日历信息的范围要求：系统日历信息的收集，应遵循最小必要原则，不应超出业务场景的实际需要，法律法规要求的除外。收集日历信息包括但不仅限于上述列举的典型应用场景；

b)收集日历信息的频率要求：如不是用户主动发起或授权同意APP读写日历信息，APP应限定满足业务目的的最低收集